keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 21 Obligations d’information
- 1 Art. 24 Réaffectation budgétaire initiale
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- incident 19
- cert-ue 10
- important 10
- rapport 9
- l’ 9
- dans 9
- l’union 7
- incidents 7
- tout 7
- échéant 6
- impact 6
- entités_de_l’union 6
- après 5
- l’article 5
- sans 5
- les 4
- retard 4
- injustifié 4
- cause 4
- avoir 4
- mesures 4
- présent 4
- été 4
- d’information 4
- pour 4
- réaffectation 3
- entité 3
- final 3
- connaissance 3
- heures 3
- mois 3
- état 3
- importante 3
- cybermenace 3
- d’atténuation 3
- l’iicb 3
- touchés 3
- d’ 3
- transfrontière 3
- inter-entités 3
- conformément 3
- d’un 3
- informations 3
- article 3
- paragraphe 3
- adopté 3
- l’environnement 3
- présentation 2
- cybersécurité 2
- plus 2
Article 21
Obligations d’information
1. Un incident est considéré comme important si:
| a) | il a causé ou est susceptible de causer une perturbation opérationnelle grave au fonctionnement de l’entité de l’Union concernée ou des pertes financières pour celle-ci; |
| b) | il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. |
2. Les entités_de_l’Union transmettent au CERT-UE:
| a) | sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’ incident important, une alerte précoce qui, le cas échéant, indique que l’on suspecte l’ incident important d’avoir été causé par des actes illicites ou malveillants ou qu’il pourrait avoir un impact inter-entités ou transfrontière; |
| b) | sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’ incident important, une notification d’ incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’ incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles; |
| c) | à la demande du CERT-UE, un rapport intermédiaire sur les mises à jour pertinentes de la situation; |
| d) | un rapport final au plus tard un mois après la présentation de la notification d’ incident visée au point b), comprenant les éléments suivants:
|
| e) | en cas d’ incident en cours au moment de la présentation du rapport final visé au point d), un rapport d’avancement à ce moment-là puis un rapport final dans un délai d’un mois à compter du traitement de l’ incident. |
3. Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.
4. Les entités_de_l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’ incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.
5. Le cas échéant, les entités_de_l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités_de_l’Union informent ces utilisateurs de la cybermenace importante elle-même.
6. Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.
7. Les entités_de_l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.
8. Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
9. Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités_de_l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.
10. Les obligations d’information énoncées au présent article ne s’étendent pas:
| a) | aux ICUE; |
| b) | aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé. |
Article 24
Réaffectation budgétaire initiale
Afin d’assurer un fonctionnement adapté et stable du CERT-UE, la Commission peut proposer la réaffectation de personnel et de ressources financières vers le budget de la Commission à destination des activités du CERT-UE. La réaffectation prend effet à la même date que le premier budget annuel de l’Union adopté après l’entrée en vigueur du présent règlement.
whereas