search


keyboard_tab Cyber Resilience Act 2023/2841 FR

BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf

2023/2841 FR cercato: 'concernant' . Output generated live by software developed by IusOnDemand srl


expand index concernant:


whereas concernant:


definitions:


cloud tag: and the number of total unique words without stopwords is: 818

 

Article 8

Mesures de gestion des risques de cybersécurité

1.   Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau_hiérarchique_le_plus_élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’ incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.

2.   Les entités_de_l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:

a)

la politique de cybersécurité, y compris les mesures nécessaires pour atteindre les objectifs et les priorités visés à l’article 6 et au paragraphe 3 du présent article;

b)

les politiques relatives à l’analyse des risques de cybersécurité et à la sécurité des systèmes d’information;

c)

les objectifs stratégiques concernant l’utilisation des services d’informatique en nuage;

d)

un audit de cybersécurité, le cas échéant, qui peut inclure une évaluation des risques de cybersécurité, de la vulnérabilité et des cybermenaces, et des tests d’intrusion effectués régulièrement par un fournisseur privé de confiance;

e)

la mise en œuvre des recommandations découlant des audits de cybersécurité visés au point d) au moyen de mises à jour de la cybersécurité et des politiques;

f)

l’organisation de la cybersécurité, y compris la définition des rôles et des responsabilités;

g)

la gestion des actifs, y compris l’inventaire des actifs TIC et la cartographie des réseaux TIC;

h)

la sécurité des ressources humaines et le contrôle d’accès;

i)

la sécurité des activités;

j)

la sécurité des communications;

k)

l’acquisition, le développement et la maintenance des systèmes, y compris les politiques de traitement et de divulgation des vulnérabilités;

l)

dans la mesure du possible, les politiques en matière de transparence du code source des systèmes;

m)

la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité de l’Union et ses fournisseurs ou prestataires de services directs;

n)

le traitement des incidents et la coopération avec le CERT-UE, par exemple la maintenance du suivi de la sécurité et de la journalisation;

o)

la gestion de la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; et

p)

la promotion et le développement de programmes d’éducation, de renforcement des compétences, de sensibilisation, d’exercices et de formation en matière de cybersécurité.

Aux fins du premier alinéa, point m), les entités_de_l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.

3.   Les entités_de_l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:

a)

les modalités techniques visant à permettre le télétravail et à en assurer la pérennité;

b)

des mesures concrètes pour progresser vers les principes de vérification systématique;

c)

l’utilisation de l’authentification à facteurs multiples comme norme dans l’ensemble des réseaux et des systèmes d’information;

d)

l’utilisation de la cryptographie et du chiffrement, en particulier le chiffrement de bout en bout, ainsi que les signatures numériques sécurisées;

e)

le cas échéant, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité de l’Union;

f)

des mesures préventives de détection et de suppression des logiciels malveillants et des logiciels espions;

g)

la sécurisation de la chaîne d’approvisionnement des logiciels au moyen de critères pour le développement et l’évaluation sécurisés des logiciels;

h)

l’élaboration et l’adoption de programmes de formation à la cybersécurité en fonction des missions confiées et des capacités escomptées à l’intention du niveau_hiérarchique_le_plus_élevé et des membres du personnel de l’entité de l’Union chargés d’assurer la mise en œuvre effective du présent règlement;

i)

la formation régulière des membres du personnel à la cybersécurité;

j)

le cas échéant, la participation à des analyses des risques que présente l’interconnexion entre les entités_de_l’Union;

k)

le renforcement des règles de passation des marchés publics afin de faciliter un niveau élevé commun de cybersécurité par:

i)

la suppression des obstacles contractuels qui limitent le partage d’informations sur les incidents, les vulnérabilités et les cybermenaces entre les fournisseurs de services TIC et le CERT-UE;

ii)

l’obligation contractuelle de signaler les incidents, les vulnérabilités et les cybermenaces ainsi que de veiller à ce que des mécanismes appropriés de réaction et de suivi en cas d’ incident soient en place.

Article 11

Tâches de l’IICB

Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:

a)

fournir des orientations au chef du CERT-UE;

b)

suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE;

c)

à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier;

d)

mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union;

e)

approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre;

f)

approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci;

g)

approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE;

h)

approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service;

i)

examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds;

j)

approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi;

k)

approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18;

l)

adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction;

m)

créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs;

n)

recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité;

o)

faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement;

p)

compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles;

q)

établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets;

r)

coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2;

s)

adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité;

Article 13

Mission et tâches du CERT-UE

1.   La mission du CERT-UE est de contribuer à la sécurité de l’environnement TIC non classifié des entités_de_l’Union en leur fournissant des conseils concernant la cybersécurité, en les aidant à prévenir, à détecter et à traiter les incidents, ainsi qu’à en atténuer les effets, à y répondre et à s’en remettre, et en faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents.

2.   Le CERT-UE recueille, gère, analyse et partage avec les entités_de_l’Union des informations sur les cybermenaces, les vulnérabilités et les incidents relatifs aux infrastructures TIC non classifiées. Il coordonne les réponses aux incidents au niveau interinstitutionnel et au niveau des entités_de_l’Union, y compris en assurant ou en coordonnant la fourniture d’une assistance opérationnelle spécialisée.

3.   Le CERT-UE accomplit les tâches suivantes pour les entités_de_l’Union:

a)

les soutenir dans la mise en œuvre du présent règlement et contribuer à la coordination de l’application du présent règlement par l’intermédiaire des mesures énoncées à l’article 14, paragraphe 1, ou des rapports ad hoc demandés par l’IICB;

b)

offrir des services CSIRT standard aux entités_de_l’Union au moyen d’un ensemble de services de cybersécurité décrits dans son catalogue de services (ci-après dénommés «services de base»);

c)

gérer un réseau de pairs et de partenaires pour soutenir les services visés aux articles 17 et 18;

d)

attirer l’attention de l’IICB sur toute question relative à la mise en œuvre du présent règlement et à la mise en œuvre des orientations, recommandations et injonctions;

e)

sur la base des informations visées au paragraphe 2, contribuer à la conscience situationnelle de la cybersécurité de l’Union en étroite coopération avec l’ENISA;

f)

coordonner la gestion des incidents majeurs;

g)

jouer, pour les entités_de_l’Union, un rôle équivalent à celui de coordinateur désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555;

h)

réaliser, à la demande d’une entité de l’Union, un scan proactif et non intrusif des réseaux et des systèmes d’information accessibles au public de ladite entité de l’Union.

Les informations visées au premier alinéa, point e), sont partagées avec l’IICB, le réseau des CSIRT et le Centre de situation et du renseignement de l’Union européenne (INTCEN), le cas échéant et selon le cas, et sont soumises à des conditions de confidentialité appropriées.

4.   Le CERT-UE peut, conformément à l’article 17 ou à l’article 18 selon le cas, coopérer avec les communautés de cybersécurité pertinentes au sein de l’Union et de ses États membres, notamment dans les domaines suivants:

a)

la préparation, la coordination face aux incidents, l’échange d’informations et la réaction aux crises au niveau technique dans les cas liés aux entités_de_l’Union;

b)

la coopération opérationnelle concernant le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), y compris en matière d’assistance mutuelle;

c)

les renseignements sur les cybermenaces, y compris la conscience situationnelle;

d)

tout sujet nécessitant l’expertise technique du CERT-UE en matière de cybersécurité.

5.   Dans la limite de ses compétences, le CERT-UE mène une coopération structurée avec l’ENISA en ce qui concerne le renforcement des capacités, la coopération opérationnelle et les analyses stratégiques à long terme des cybermenaces conformément au règlement (UE) 2019/881. Le CERT-UE peut coopérer et échanger des informations avec le Centre européen de lutte contre la cybercriminalité d’Europol.

6.   Le CERT-UE peut fournir les services suivants non décrits dans son catalogue de services («services payants»):

a)

des services soutenant la cybersécurité de l’environnement TIC des entités_de_l’Union, autres que ceux visés au paragraphe 3, sur la base d’accords de niveau de service et sous réserve des ressources disponibles, notamment une surveillance des réseaux à large spectre, y compris la surveillance 24 heures sur 24, 7 jours sur 7 de première ligne des cybermenaces d’une gravité élevée;

b)

des services soutenant les opérations ou projets de cybersécurité des entités_de_l’Union, autres que ceux visant à protéger leur environnement TIC, sur la base d’accords écrits et avec l’approbation préalable de l’IICB;

c)

sur demande, un scan proactif des réseaux et des systèmes d’information de l’entité de l’Union concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important;

d)

des services soutenant la sécurité de l’environnement TIC fournis à des entités autres que les entités_de_l’Union qui coopèrent étroitement avec les entités_de_l’Union, par exemple par l’intermédiaire de tâches ou de responsabilités confiées en vertu du droit de l’Union, sur la base d’accords écrits et avec l’approbation préalable de l’IICB.

En ce qui concerne le premier alinéa, point d), le CERT-UE peut, à titre exceptionnel, conclure des accords de niveau de service avec des entités autres que les entités_de_l’Union, avec l’approbation préalable de l’IICB.

7.   Le CERT-UE organise et peut participer à des exercices de cybersécurité ou recommander la participation à des exercices existants, le cas échéant en étroite coopération avec l’ENISA, afin de tester le niveau de cybersécurité des entités_de_l’Union.

8.   Le CERT-UE peut fournir une assistance aux entités_de_l’Union en ce qui concerne les incidents survenant dans des réseaux et systèmes d’information traitant des ICUE s’il y est explicitement invité par les entités_de_l’Union concernées, conformément à leurs procédures respectives. La fourniture d’une assistance par le CERT-UE en vertu du présent paragraphe est sans préjudice des règles applicables en ce qui concerne la protection des informations classifiées.

9.   Le CERT-UE informe les entités_de_l’Union de ses procédures et processus de gestion des incidents.

10.   Le CERT-UE fournit, avec un niveau de confidentialité et de fiabilité élevé, au moyen des mécanismes de coopération et des lignes hiérarchiques appropriées, des informations pertinentes et anonymisées sur les incidents majeurs et la façon dont ils ont été traités. Ces informations sont intégrées dans le rapport visé à l’article 10, paragraphe 14.

11.   Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, le CERT-UE, en coopération avec le CEPD, soutient les entités_de_l’Union concernées, sans préjudice de la compétence et des missions du CEPD en tant qu’autorité de contrôle au titre du règlement (UE) 2018/1725.

12.   Le CERT-UE peut, si les services politiques des entités_de_l’Union en font expressément la demande, fournir des conseils ou des contributions techniques sur des questions politiques pertinentes.

Article 14

Orientations, recommandations et injonctions

1.   Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:

a)

des injonctions décrivant les mesures de sécurité urgentes que les entités_de_l’Union sont instamment invitées à prendre dans un délai déterminé;

b)

des propositions soumises à l’IICB concernant des orientations destinées à l’ensemble ou à une partie des entités_de_l’Union;

c)

des propositions soumises à l’IICB concernant des recommandations destinées à titre individuel aux entités_de_l’Union.

En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.

2.   Les orientations et les recommandations peuvent inclure:

a)

des méthodes communes et un modèle d’évaluation de la maturité des entités_de_l’Union en matière de cybersécurité, y compris les barèmes ou les IPC correspondants, destinés à servir de référence pour soutenir l’amélioration continue de la cybersécurité dans toutes les entités_de_l’Union et à faciliter la hiérarchisation des domaines et des mesures de cybersécurité en tenant compte de la posture de cybersécurité des entités;

b)

les modalités de la gestion des risques de cybersécurité et les mesures de gestion des risques en matière de cybersécurité, ou les améliorations à y apporter;

c)

les modalités des évaluations du niveau de maturité en matière de cybersécurité et des plans de cybersécurité;

d)

le cas échéant, l’utilisation d’une technologie, d’une architecture et de pratiques de sources ouvertes communes, ainsi que des meilleures pratiques qui y sont associées, dans le but de parvenir à l’interopérabilité et à des normes communes, y compris une approche coordonnée de la sécurité de la chaîne d’approvisionnement;

e)

le cas échéant, des informations permettant de faciliter l’utilisation d’instruments d’acquisition conjointe pour l’acquisition de produits et services de cybersécurité pertinents auprès de prestataires tiers;

f)

des modalités de partage d’informations conformément à l’article 20.

Article 20

Modalités de partage d’informations en matière de cybersécurité

1.   Les entités_de_l’Union peuvent volontairement faire part au CERT-UE des incidents, cybermenaces, incidents évités et vulnérabilités qui les touchent et lui transmettre des informations à leur propos. Le CERT-UE veille à ce que des moyens de communication efficaces, avec un niveau de traçabilité, de confidentialité et de fiabilité élevé, soient disponibles pour faciliter le partage d’informations avec les entités_de_l’Union. Lors du traitement des notifications, le CERT-UE peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Sans préjudice de l’article 12, une notification volontaire n’a pas pour effet d’imposer à l’entité de l’Union qui en est à l’origine des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.

2.   Afin d’accomplir sa mission et les tâches qui lui sont confiées en vertu de l’article 13, le CERT-UE peut demander aux entités_de_l’Union de lui fournir des informations à partir de leurs inventaires respectifs des systèmes TIC, notamment des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission et aux alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les incidents. L’entité de l’Union requise transmet les informations demandées, ainsi que toute mise à jour ultérieure de celles-ci, dans les meilleurs délais.

3.   Le CERT-UE peut échanger avec les entités_de_l’Union des informations propres à un incident qui révèlent l’identité de l’entité de l’Union touchée par cet incident sous réserve du consentement de l’entité de l’Union touchée. Lorsqu’une entité de l’Union n’accorde pas son consentement, elle fournit au CERT-UE les motifs de cette décision.

4.   Les entités_de_l’Union partagent avec le Parlement européen et le Conseil, à leur demande, des informations sur l’achèvement des plans de cybersécurité.

5.   L’IICB ou le CERT-UE, selon le cas, partage les orientations, les recommandations et les injonctions avec le Parlement européen et le Conseil, à leur demande.

6.   Les obligations en matière de partage énoncées au présent article ne s’étendent pas:

a)

aux ICUE;

b)

aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé.

Article 26

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Strasbourg, le 13 décembre 2023.

Par le Parlement européen

La présidente

R. METSOLA

Par le Conseil

Le président

P. NAVARRO RÍOS


(1)  Position du Parlement européen du 21 novembre 2023 (non encore parue au Journal officiel) et décision du Conseil du 8 décembre 2023.

(2)  Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).

(3)  Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

(4)  Accord interinstitutionnel entre le Parlement européen, le Conseil européen, le Conseil de l’Union européenne, la Commission européenne, la Cour de justice de l’Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l’action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d’investissement relatif à l’organisation et au fonctionnement d’une équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union (CERT-UE) (JO C 12 du 13.1.2018, p. 1).

(5)  Règlement (CEE, Euratom, CECA) no 259/68 du Conseil du 29 février 1968 fixant le statut des fonctionnaires des Communautés européennes ainsi que le régime applicable aux autres agents de ces Communautés, et instituant des mesures particulières temporairement applicables aux fonctionnaires de la Commission (JO L 56 du 4.3.1968, p. 1).

(6)  Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

(7)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).

(8)   JO C 258 du 5.7.2022, p. 10.

(9)  Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).

(10)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).


ELI: http://data.europa.eu/eli/reg/2023/2841/oj

ISSN 1977-0693 (electronic edition)



whereas









keyboard_arrow_down