keyboard_tab Cyber Resilience Act 2023/2841 FR

1.   Au plus tard le 8 septembre 2024, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 publie, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et après avoir reçu des orientations du CERT-UE, des lignes directrices à l’intention des entités_de_l’Union aux fins de procéder à un examen initial de la cybersécurité et d’établir un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité conformément à l’article 6, de procéder à des évaluations de la maturité en matière de cybersécurité conformément à l’article 7, de prendre des mesures de gestion des risques de cybersécurité conformément à l’article 8 et d’adopter le plan de cybersécurité conformément à l’article 9.

2.   Lorsqu’elles mettent en œuvre les articles 6 à 9, les entités_de_l’Union tiennent compte des lignes directrices visées au paragraphe 1 du présent article, ainsi que des lignes directrices et recommandations pertinentes adoptées en vertu des articles 11 et 14.

1.   Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau_hiérarchique_le_plus_élevé de l’entité de l’Union.

2.   Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».

3.   Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité_des_réseaux_et_des_systèmes_d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.

4.   Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.

5.   Le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.

6.   Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau_hiérarchique_le_plus_élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.

7.   Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.

8.   Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau_hiérarchique_le_plus_élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités_de_l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.

Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.

9.   Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.

1.   Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.

2.   Les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.

3.   Les entités_de_l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.

4.   Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.

1.   Compte tenu de la conclusion de l’évaluation de la maturité en matière de cybersécurité effectuée conformément à l’article 7 et des actifs et des risques de cybersécurité identifiés dans le cadre, ainsi que des mesures de gestion des risques de cybersécurité prises conformément à l’article 8, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union approuve un plan de cybersécurité dans les meilleurs délais et en tout état de cause au plus tard le 8 janvier 2026. Le plan de cybersécurité vise à accroître la cybersécurité globale de l’entité de l’Union et contribue ainsi à renforcer le niveau élevé commun de cybersécurité au sein des entités_de_l’Union. Le plan de cybersécurité comprend au moins les mesures de gestion des risques de cybersécurité prises conformément à l’article 8. Le plan de cybersécurité est révisé tous les deux ans ou plus fréquemment, le cas échéant, à la suite des évaluations de la maturité en matière de cybersécurité effectuées conformément à l’article 7 ou de toute révision substantielle du cadre.

2.   Le plan de cybersécurité comprend le plan de gestion des crises de cybersécurité de l’entité de l’Union en cas d’ incidents majeurs.

3.   L’entité de l’Union soumet le plan de cybersécurité complet au conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10.

1.   Un conseil interinstitutionnel de cybersécurité (IICB) est institué.

2.   L’IICB est chargé:

3.   L’IICB est composé:

Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.

4.   Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.

5.   Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.

6.   L’IICB adopte son règlement intérieur.

7.   L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.

8.   L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.

9.   Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.

10.   L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.

11.   Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.

12.   Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.

13.   L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.

14.   Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.