keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
- 2 Art. 15 Chef du CERT-UE
- 1 Art. 22 Coordination de la réaction aux incidents et coopération
- 1 Art. 23 Gestion des incidents majeurs
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 32
- cybersécurité 25
- l’union 19
- incidents 17
- gestion 14
- l’article 13
- l’iicb 13
- cadre 13
- entités_de_l’union 13
- entité 12
- le 12
- pour 12
- mise 11
- œuvre 10
- présent 10
- dans 10
- règlement 10
- chef 10
- chaque 9
- niveau 9
- paragraphe 9
- majeurs 8
- d’une 8
- avec 8
- responsable 8
- l’entité 7
- compte 7
- coordination 7
- services 7
- entre 6
- compris 6
- base 6
- concerne 6
- proposition 6
- jour 6
- coopération 6
- membres 5
- local 5
- rapports 5
- crises 5
- liste 5
- réaction 5
- risques 5
- d’informations 5
- point 5
- ainsi 5
- incident 5
- fait 5
- régulièrement 5
- niveau_hiérarchique_le_plus_élevé 5
Article 6
Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
1. Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau_hiérarchique_le_plus_élevé de l’entité de l’Union.
2. Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».
3. Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité_des_réseaux_et_des_systèmes_d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.
4. Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.
5. Le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.
6. Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau_hiérarchique_le_plus_élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.
7. Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.
8. Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau_hiérarchique_le_plus_élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités_de_l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.
Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.
9. Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.
Article 15
Chef du CERT-UE
1. La Commission, après avoir obtenu l’approbation d’une majorité des deux tiers des membres de l’IICB, désigne le chef du CERT-UE. L’IICB est consulté à tous les stades de la procédure de désignation, notamment en ce qui concerne l’établissement des avis de vacance, l’examen des candidatures et la désignation des comités de sélection relatifs au poste. La procédure de sélection, y compris la liste restreinte finale des candidats à partir de laquelle le chef du CERT-UE sera désigné, garantit une représentation juste de chaque sexe en tenant compte des candidatures présentées.
2. Le chef du CERT-UE est responsable du bon fonctionnement de celui-ci et agit dans le cadre de ses attributions et sous la direction de l’IICB. Le chef du CERT-UE communique régulièrement des rapports au président de l’IICB et présente des rapports ponctuels à l’IICB à sa demande.
3. Le chef du CERT-UE aide l’ordonnateur délégué compétent à élaborer le rapport annuel d’activités contenant des informations financières et de gestion, y compris les résultats des contrôles, établi conformément à l’article 74, paragraphe 9, du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (9), et rend régulièrement compte à l’ordonnateur délégué de la mise en œuvre des mesures pour lesquelles des pouvoirs ont été sous-délégués au chef du CERT-UE.
4. Le chef du CERT-UE établit chaque année une planification financière des recettes et dépenses administratives pour ses activités, une proposition de programme de travail annuel, une proposition de catalogue de services du CERT-UE, des propositions de révision du catalogue de services, une proposition de modalités des accords de niveau de service et une proposition d’IPC relatifs au CERT-UE en vue de leur approbation par l’IICB conformément à l’article 11. Lors de la révision de la liste des services figurant dans le catalogue de services du CERT-UE, le chef du CERT-UE tient compte des ressources allouées au CERT-UE.
5. Le chef du CERT-UE présente au moins une fois par an des rapports à l’IICB et au président de l’IICB sur les activités exercées et les résultats obtenus par le CERT-UE pendant la période de référence, notamment en ce qui concerne l’exécution du budget, les accords de niveau de service et les accords écrits conclus, la coopération avec les homologues et les partenaires, ainsi que les missions effectuées par le personnel, y compris les rapports visés à l’article 11. Ces rapports comprennent un programme de travail pour la période suivante, la planification financière des recettes et des dépenses, y compris en matière d’effectifs, les mises à jour prévues du catalogue des services du CERT-UE et une évaluation de l’incidence attendue de ces mises à jour pour les ressources financières et humaines.
Article 22
Coordination de la réaction aux incidents et coopération
1. En faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents, le CERT-UE facilite l’échange d’informations en ce qui concerne les cybermenaces, les vulnérabilités et les incidents évités entre:
| a) | les entités_de_l’Union; |
| b) | les homologues visés aux articles 17 et 18. |
2. Le CERT-UE, le cas échéant en étroite coopération avec l’ENISA, facilite la coordination entre les entités_de_l’Union en matière de réaction aux incidents, notamment par les moyens suivants:
| a) | contribution à une communication externe cohérente; |
| b) | soutien mutuel, comme le partage d’informations pertinentes avec les entités_de_l’Union, ou fourniture d’une assistance, le cas échéant directement sur site; |
| c) | utilisation optimale des ressources opérationnelles; |
| d) | coordination avec d’autres mécanismes de réaction aux crises au niveau de l’Union. |
3. Le CERT-UE, en étroite coopération avec l’ENISA, soutient les entités_de_l’Union en ce qui concerne la conscience situationnelle des incidents, des cybermenaces, des vulnérabilités et des incidents évités ainsi qu’en ce qui concerne le partage des évolutions pertinentes dans le domaine de la cybersécurité.
4. Au plus tard le 8 janvier 2025, sur la base d’une proposition du CERT-UE, l’IICB adopte des orientations ou des recommandations sur la coordination de la réaction aux incidents et la coopération en cas d’ incident important. Lorsqu’il est suspecté qu’un incident est de nature criminelle, le CERT-UE conseille sur la manière de signaler l’ incident aux autorités répressives sans retard injustifié.
5. À la demande spécifique d’un État membre et moyennant l’approbation des entités_de_l’Union concernées, le CERT-UE peut inviter des experts figurant sur la liste visée à l’article 23, paragraphe 4, à contribuer à la réaction à un incident majeur qui a un impact dans cet État membre ou à un incident de cybersécurité majeur conformément à l’article 15, paragraphe 3, point g), de la directive (UE) 2022/2555. Des règles spécifiques relatives à l’accès et au recours à des experts techniques issus des entités_de_l’Union sont approuvées par l’IICB sur la base d’une proposition du CERT-UE.
Article 23
Gestion des incidents majeurs
1. Afin de soutenir au niveau opérationnel la gestion coordonnée des incidents majeurs affectant des entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes entre les entités_de_l’Union et avec les États membres, l’IICB définit, conformément à l’article 11, point q), un plan de gestion des crises de cybersécurité sur la base des activités visées à l’article 22, paragraphe 2, en étroite coopération avec le CERT-UE et l’ENISA. Le plan de gestion des crises de cybersécurité comprend au moins les éléments suivants:
| a) | les modalités de coordination et de flux d’informations entre les entités_de_l’Union pour la gestion des incidents majeurs au niveau opérationnel; |
| b) | les instructions permanentes communes; |
| c) | une taxinomie commune de la gravité des incidents majeurs et des points déclencheurs de crise; |
| d) | des exercices réguliers; |
| e) | les canaux de communication sécurisés à utiliser. |
2. Sous réserve du plan de gestion des crises de cybersécurité défini en vertu du paragraphe 1 du présent article et sans préjudice de l’article 16, paragraphe 2, premier alinéa, de la directive (UE) 2022/2555, le représentant de la Commission à l’IICB fait office de point de contact pour le partage des informations pertinentes relatives aux incidents majeurs avec EU-CyCLONe.
3. Le CERT-UE coordonne la gestion des incidents majeurs entre les entités_de_l’Union. Il tient à jour un inventaire de l’expertise technique disponible qui serait nécessaire pour réagir aux incidents en cas d’ incidents majeurs et assiste l’IICB dans la coordination des plans de gestion des crises de cybersécurité des entités_de_l’Union en cas d’ incidents majeurs visés à l’article 9, paragraphe 2.
4. Les entités_de_l’Union contribuent à l’inventaire de l’expertise technique en fournissant une liste des experts disponibles au sein de leurs entités respectives, qui est mise à jour chaque année et détaille les compétences techniques spécifiques de ces experts.
CHAPITRE VI
DISPOSITIONS FINALES
whereas