keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 13 Mission et tâches du CERT-UE
- 1 Art. 14 Orientations, recommandations et injonctions
- 1 Art. 16 Questions financières et de personnel
- 1 Art. 17 Coopération du CERT-UE avec les homologues des États membres
- 1 Art. 18 Coopération du CERT-UE avec d’autres homologues
- 1 Art. 20 Modalités de partage d’informations en matière de cybersécurité
- 2 Art. 21 Obligations d’information
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 66
- entités_de_l’union 39
- l’union 35
- avec 34
- dans 32
- incident 30
- incidents 29
- cybersécurité 29
- informations 26
- l’article 24
- pour 19
- sont 19
- l’iicb 19
- l’entité 18
- le 18
- services 17
- paragraphe 17
- peut 15
- compris 14
- coopération 13
- conformément 12
- rapport 12
- l’ 12
- sans 12
- échéant 12
- tout 12
- important 12
- homologues 11
- matière 11
- cybermenaces 11
- présent 11
- les 11
- vertu 11
- touchée 11
- été 11
- d’une 10
- mesures 10
- modalités 10
- niveau 10
- entité 9
- concerne 9
- vulnérabilités 9
- commission 8
- d’un 8
- recommandations 8
- orientations 8
- ue / 8
- point 8
- partage 8
- d’informations 8
Article 13
Mission et tâches du CERT-UE
1. La mission du CERT-UE est de contribuer à la sécurité de l’environnement TIC non classifié des entités_de_l’Union en leur fournissant des conseils concernant la cybersécurité, en les aidant à prévenir, à détecter et à traiter les incidents, ainsi qu’à en atténuer les effets, à y répondre et à s’en remettre, et en faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents.
2. Le CERT-UE recueille, gère, analyse et partage avec les entités_de_l’Union des informations sur les cybermenaces, les vulnérabilités et les incidents relatifs aux infrastructures TIC non classifiées. Il coordonne les réponses aux incidents au niveau interinstitutionnel et au niveau des entités_de_l’Union, y compris en assurant ou en coordonnant la fourniture d’une assistance opérationnelle spécialisée.
3. Le CERT-UE accomplit les tâches suivantes pour les entités_de_l’Union:
| a) | les soutenir dans la mise en œuvre du présent règlement et contribuer à la coordination de l’application du présent règlement par l’intermédiaire des mesures énoncées à l’article 14, paragraphe 1, ou des rapports ad hoc demandés par l’IICB; |
| b) | offrir des services CSIRT standard aux entités_de_l’Union au moyen d’un ensemble de services de cybersécurité décrits dans son catalogue de services (ci-après dénommés «services de base»); |
| c) | gérer un réseau de pairs et de partenaires pour soutenir les services visés aux articles 17 et 18; |
| d) | attirer l’attention de l’IICB sur toute question relative à la mise en œuvre du présent règlement et à la mise en œuvre des orientations, recommandations et injonctions; |
| e) | sur la base des informations visées au paragraphe 2, contribuer à la conscience situationnelle de la cybersécurité de l’Union en étroite coopération avec l’ENISA; |
| f) | coordonner la gestion des incidents majeurs; |
| g) | jouer, pour les entités_de_l’Union, un rôle équivalent à celui de coordinateur désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555; |
| h) | réaliser, à la demande d’une entité de l’Union, un scan proactif et non intrusif des réseaux et des systèmes d’information accessibles au public de ladite entité de l’Union. |
Les informations visées au premier alinéa, point e), sont partagées avec l’IICB, le réseau des CSIRT et le Centre de situation et du renseignement de l’Union européenne (INTCEN), le cas échéant et selon le cas, et sont soumises à des conditions de confidentialité appropriées.
4. Le CERT-UE peut, conformément à l’article 17 ou à l’article 18 selon le cas, coopérer avec les communautés de cybersécurité pertinentes au sein de l’Union et de ses États membres, notamment dans les domaines suivants:
| a) | la préparation, la coordination face aux incidents, l’échange d’informations et la réaction aux crises au niveau technique dans les cas liés aux entités_de_l’Union; |
| b) | la coopération opérationnelle concernant le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), y compris en matière d’assistance mutuelle; |
| c) | les renseignements sur les cybermenaces, y compris la conscience situationnelle; |
| d) | tout sujet nécessitant l’expertise technique du CERT-UE en matière de cybersécurité. |
5. Dans la limite de ses compétences, le CERT-UE mène une coopération structurée avec l’ENISA en ce qui concerne le renforcement des capacités, la coopération opérationnelle et les analyses stratégiques à long terme des cybermenaces conformément au règlement (UE) 2019/881. Le CERT-UE peut coopérer et échanger des informations avec le Centre européen de lutte contre la cybercriminalité d’Europol.
6. Le CERT-UE peut fournir les services suivants non décrits dans son catalogue de services («services payants»):
| a) | des services soutenant la cybersécurité de l’environnement TIC des entités_de_l’Union, autres que ceux visés au paragraphe 3, sur la base d’accords de niveau de service et sous réserve des ressources disponibles, notamment une surveillance des réseaux à large spectre, y compris la surveillance 24 heures sur 24, 7 jours sur 7 de première ligne des cybermenaces d’une gravité élevée; |
| b) | des services soutenant les opérations ou projets de cybersécurité des entités_de_l’Union, autres que ceux visant à protéger leur environnement TIC, sur la base d’accords écrits et avec l’approbation préalable de l’IICB; |
| c) | sur demande, un scan proactif des réseaux et des systèmes d’information de l’entité de l’Union concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important; |
| d) | des services soutenant la sécurité de l’environnement TIC fournis à des entités autres que les entités_de_l’Union qui coopèrent étroitement avec les entités_de_l’Union, par exemple par l’intermédiaire de tâches ou de responsabilités confiées en vertu du droit de l’Union, sur la base d’accords écrits et avec l’approbation préalable de l’IICB. |
En ce qui concerne le premier alinéa, point d), le CERT-UE peut, à titre exceptionnel, conclure des accords de niveau de service avec des entités autres que les entités_de_l’Union, avec l’approbation préalable de l’IICB.
7. Le CERT-UE organise et peut participer à des exercices de cybersécurité ou recommander la participation à des exercices existants, le cas échéant en étroite coopération avec l’ENISA, afin de tester le niveau de cybersécurité des entités_de_l’Union.
8. Le CERT-UE peut fournir une assistance aux entités_de_l’Union en ce qui concerne les incidents survenant dans des réseaux et systèmes d’information traitant des ICUE s’il y est explicitement invité par les entités_de_l’Union concernées, conformément à leurs procédures respectives. La fourniture d’une assistance par le CERT-UE en vertu du présent paragraphe est sans préjudice des règles applicables en ce qui concerne la protection des informations classifiées.
9. Le CERT-UE informe les entités_de_l’Union de ses procédures et processus de gestion des incidents.
10. Le CERT-UE fournit, avec un niveau de confidentialité et de fiabilité élevé, au moyen des mécanismes de coopération et des lignes hiérarchiques appropriées, des informations pertinentes et anonymisées sur les incidents majeurs et la façon dont ils ont été traités. Ces informations sont intégrées dans le rapport visé à l’article 10, paragraphe 14.
11. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, le CERT-UE, en coopération avec le CEPD, soutient les entités_de_l’Union concernées, sans préjudice de la compétence et des missions du CEPD en tant qu’autorité de contrôle au titre du règlement (UE) 2018/1725.
12. Le CERT-UE peut, si les services politiques des entités_de_l’Union en font expressément la demande, fournir des conseils ou des contributions techniques sur des questions politiques pertinentes.
Article 14
Orientations, recommandations et injonctions
1. Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:
| a) | des injonctions décrivant les mesures de sécurité urgentes que les entités_de_l’Union sont instamment invitées à prendre dans un délai déterminé; |
| b) | des propositions soumises à l’IICB concernant des orientations destinées à l’ensemble ou à une partie des entités_de_l’Union; |
| c) | des propositions soumises à l’IICB concernant des recommandations destinées à titre individuel aux entités_de_l’Union. |
En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.
2. Les orientations et les recommandations peuvent inclure:
| a) | des méthodes communes et un modèle d’évaluation de la maturité des entités_de_l’Union en matière de cybersécurité, y compris les barèmes ou les IPC correspondants, destinés à servir de référence pour soutenir l’amélioration continue de la cybersécurité dans toutes les entités_de_l’Union et à faciliter la hiérarchisation des domaines et des mesures de cybersécurité en tenant compte de la posture de cybersécurité des entités; |
| b) | les modalités de la gestion des risques de cybersécurité et les mesures de gestion des risques en matière de cybersécurité, ou les améliorations à y apporter; |
| c) | les modalités des évaluations du niveau de maturité en matière de cybersécurité et des plans de cybersécurité; |
| d) | le cas échéant, l’utilisation d’une technologie, d’une architecture et de pratiques de sources ouvertes communes, ainsi que des meilleures pratiques qui y sont associées, dans le but de parvenir à l’interopérabilité et à des normes communes, y compris une approche coordonnée de la sécurité de la chaîne d’approvisionnement; |
| e) | le cas échéant, des informations permettant de faciliter l’utilisation d’instruments d’acquisition conjointe pour l’acquisition de produits et services de cybersécurité pertinents auprès de prestataires tiers; |
| f) | des modalités de partage d’informations conformément à l’article 20. |
Article 16
Questions financières et de personnel
1. Le CERT-UE est intégré à la structure administrative d’une direction générale de la Commission afin de bénéficier des structures d’appui de la Commission en matière administrative, de gestion financière et de comptabilité tout en préservant son statut de fournisseur interinstitutionnel autonome de services destinés à l’ensemble des entités_de_l’Union. La Commission informe l’IICB du siège administratif du CERT-UE et de toute modification de celui-ci. La Commission procède régulièrement au réexamen des modalités administratives relatives au CERT-UE et, en tout état de cause, avant l’établissement de tout cadre financier pluriannuel conformément à l’article 312 du traité sur le fonctionnement de l’Union européenne, pour permettre l’adoption de mesures adéquates. Le réexamen prévoit la possibilité de faire du CERT-UE un organisme de l’Union.
2. Pour l’application des procédures administratives et financières, le chef du CERT-UE agit sous l’autorité de la Commission et sous la surveillance de l’IICB.
3. Les tâches et activités du CERT-UE, y compris les services qu’il fournit, conformément à l’article 13, paragraphes 3, 4, 5 et 7, et à l’article 14, paragraphe 1, aux entités_de_l’Union et qui sont financés au titre de la rubrique du cadre financier pluriannuel consacrée à l’administration publique européenne, sont financées par une ligne budgétaire distincte du budget de la Commission. Les postes réservés au CERT-UE sont détaillés dans une note de bas de page du tableau des effectifs de la Commission.
4. Les entités_de_l’Union autres que celles visées au paragraphe 3 du présent article versent une contribution financière annuelle au CERT-UE pour couvrir les services fournis par le CERT-UE en vertu dudit paragraphe 3. Les contributions sont fondées sur les orientations données par l’IICB et convenues entre chaque entité de l’Union et le CERT-UE dans les accords de niveau de service. Les contributions représentent une part équitable et proportionnée de l’ensemble des coûts des services fournis. Elles sont affectées à la ligne budgétaire distincte visée au paragraphe 3 du présent article en tant que recettes affectées internes comme prévu à l’article 21, paragraphe 3, point c), du règlement (UE, Euratom) 2018/1046.
5. Les coûts des services prévus à l’article 13, paragraphe 6, sont recouvrés auprès des entités_de_l’Union qui bénéficient des services du CERT-UE. Les recettes sont affectées aux lignes budgétaires dont relèvent les coûts.
Article 17
Coopération du CERT-UE avec les homologues des États membres
1. Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités_de_l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la Commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.
2. Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.
3. À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’ incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’ incident qu’en cas de survenance de l’un des événements suivants:
| a) | l’entité de l’Union touchée donne son consentement; |
| b) | l’entité de l’Union touchée ne donne pas son consentement comme le prévoit le point a), mais la divulgation de l’identité de l’entité de l’Union touchée augmente la probabilité d’éviter ou d’atténuer d’autres incidents survenant par ailleurs; |
| c) | l’entité de l’Union touchée a déjà fait savoir publiquement qu’elle a été touchée. |
Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’ incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.
Article 18
Coopération du CERT-UE avec d’autres homologues
1. Le CERT-UE peut coopérer avec des homologues dans l’Union, autres que ceux visés à l’article 17, qui sont soumis aux exigences de l’Union en matière de cybersécurité, y compris les homologues de secteurs spécifiques de l’industrie, en ce qui concerne les outils et méthodes, tels que les techniques, les tactiques, les procédures et les meilleures pratiques, et en ce qui concerne les cybermenaces et les vulnérabilités. Pour toute coopération avec lesdits homologues, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas. Lorsque le CERT-UE met en place une coopération avec de tels homologues, il informe tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel l’homologue est situé. Le cas échéant et selon le cas, cette coopération et les conditions de celle-ci, y compris en ce qui concerne la cybersécurité, la protection des données et le traitement des informations, sont établis dans des modalités spécifiques de confidentialité tels que des contrats ou des arrangements administratifs. Les modalités de confidentialité ne nécessitent pas l’approbation préalable de l’IICB, mais le président de celui-ci en est informé. En cas de besoin urgent et imminent d’échanger des informations en matière de cybersécurité dans l’intérêt d’ entités_de_l’Union ou d’une autre partie, le CERT-UE peut y procéder avec une entité dont la compétence, la capacité et l’expertise spécifiques sont indispensables à juste titre pour aider à répondre à ce besoin urgent et imminent, même si le CERT-UE ne dispose pas de modalités de confidentialité avec cette entité. Dans ce cas, le CERT-UE en informe immédiatement le président de l’IICB et fait rapport à l’IICB par l’intermédiaire de rapports réguliers ou de réunions.
2. Le CERT-UE peut coopérer avec d’autres partenaires, tels que des entités commerciales, y compris des entités de secteurs spécifiques de l’industrie, des organisations internationales, des entités nationales ou des experts individuels de pays tiers, afin de recueillir des informations sur des cybermenaces générales et spécifiques, des incidents évités, des vulnérabilités et d’éventuelles contre-mesures. Pour pouvoir élargir la coopération avec ces partenaires, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas.
3. Le CERT-UE peut, avec le consentement de l’entité de l’Union touchée par un incident et à condition que des modalités ou un contrat de non-divulgation aient été conclus avec l’homologue ou le partenaire concerné, fournir des informations relatives à l’ incident spécifique aux homologues ou partenaires visés aux paragraphes 1 et 2 à la seule fin de contribuer à son analyse.
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
Article 20
Modalités de partage d’informations en matière de cybersécurité
1. Les entités_de_l’Union peuvent volontairement faire part au CERT-UE des incidents, cybermenaces, incidents évités et vulnérabilités qui les touchent et lui transmettre des informations à leur propos. Le CERT-UE veille à ce que des moyens de communication efficaces, avec un niveau de traçabilité, de confidentialité et de fiabilité élevé, soient disponibles pour faciliter le partage d’informations avec les entités_de_l’Union. Lors du traitement des notifications, le CERT-UE peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Sans préjudice de l’article 12, une notification volontaire n’a pas pour effet d’imposer à l’entité de l’Union qui en est à l’origine des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.
2. Afin d’accomplir sa mission et les tâches qui lui sont confiées en vertu de l’article 13, le CERT-UE peut demander aux entités_de_l’Union de lui fournir des informations à partir de leurs inventaires respectifs des systèmes TIC, notamment des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission et aux alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les incidents. L’entité de l’Union requise transmet les informations demandées, ainsi que toute mise à jour ultérieure de celles-ci, dans les meilleurs délais.
3. Le CERT-UE peut échanger avec les entités_de_l’Union des informations propres à un incident qui révèlent l’identité de l’entité de l’Union touchée par cet incident sous réserve du consentement de l’entité de l’Union touchée. Lorsqu’une entité de l’Union n’accorde pas son consentement, elle fournit au CERT-UE les motifs de cette décision.
4. Les entités_de_l’Union partagent avec le Parlement européen et le Conseil, à leur demande, des informations sur l’achèvement des plans de cybersécurité.
5. L’IICB ou le CERT-UE, selon le cas, partage les orientations, les recommandations et les injonctions avec le Parlement européen et le Conseil, à leur demande.
6. Les obligations en matière de partage énoncées au présent article ne s’étendent pas:
| a) | aux ICUE; |
| b) | aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé. |
Article 21
Obligations d’information
1. Un incident est considéré comme important si:
| a) | il a causé ou est susceptible de causer une perturbation opérationnelle grave au fonctionnement de l’entité de l’Union concernée ou des pertes financières pour celle-ci; |
| b) | il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. |
2. Les entités_de_l’Union transmettent au CERT-UE:
| a) | sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’ incident important, une alerte précoce qui, le cas échéant, indique que l’on suspecte l’ incident important d’avoir été causé par des actes illicites ou malveillants ou qu’il pourrait avoir un impact inter-entités ou transfrontière; |
| b) | sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’ incident important, une notification d’ incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’ incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles; |
| c) | à la demande du CERT-UE, un rapport intermédiaire sur les mises à jour pertinentes de la situation; |
| d) | un rapport final au plus tard un mois après la présentation de la notification d’ incident visée au point b), comprenant les éléments suivants:
|
| e) | en cas d’ incident en cours au moment de la présentation du rapport final visé au point d), un rapport d’avancement à ce moment-là puis un rapport final dans un délai d’un mois à compter du traitement de l’ incident. |
3. Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.
4. Les entités_de_l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’ incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.
5. Le cas échéant, les entités_de_l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités_de_l’Union informent ces utilisateurs de la cybermenace importante elle-même.
6. Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.
7. Les entités_de_l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.
8. Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
9. Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités_de_l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.
10. Les obligations d’information énoncées au présent article ne s’étendent pas:
| a) | aux ICUE; |
| b) | aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé. |
whereas