keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 10 Conseil interinstitutionnel de cybersécurité
- 1 Art. 17 Coopération du CERT-UE avec les homologues des États membres
- 1 Art. 18 Coopération du CERT-UE avec d’autres homologues
- 1 Art. 21 Obligations d’information
- 1 Art. 24 Réaffectation budgétaire initiale
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 34
- incident 28
- l’union 26
- dans 25
- l’iicb 24
- pour 16
- avec 15
- incidents 14
- rapport 13
- homologues 12
- l’article 12
- entités_de_l’union 12
- l’ 12
- l’entité 12
- informations 11
- important 11
- peut 11
- sans 10
- président 10
- membres 10
- cybersécurité 10
- membre 10
- vertu 9
- tout 9
- touchée 9
- d’un 9
- règlement 9
- échéant 8
- européen 8
- conformément 8
- compris 8
- d’autres 8
- coopération 8
- directive 8
- le 8
- présent 7
- l’iicb 7
- européenne 7
- ue / 7
- sont 7
- été 6
- réseau 6
- paragraphe 6
- impact 6
- États 6
- intérieur 5
- données 5
- représentants 5
- conseil 5
- retard 5
Article 10
Conseil interinstitutionnel de cybersécurité
1. Un conseil interinstitutionnel de cybersécurité (IICB) est institué.
2. L’IICB est chargé:
| a) | de suivre et de soutenir la mise en œuvre du présent règlement par les entités_de_l’Union; |
| b) | de superviser la mise en œuvre des priorités et objectifs généraux par le CERT-UE et de lui fournir des orientations stratégiques. |
3. L’IICB est composé:
| a) | d’un représentant désigné par chacune des entités suivantes:
|
| b) | de trois représentants désignés par le réseau des agences de l’Union européenne (EUAN), sur proposition de son comité consultatif sur les TIC, pour représenter les intérêts des organes et organismes de l’Union qui gèrent leur propre environnement TIC, autres que ceux visés au point a). |
Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.
4. Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.
5. Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.
6. L’IICB adopte son règlement intérieur.
7. L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.
8. L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.
9. Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.
10. L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.
11. Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.
12. Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.
13. L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.
14. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
Article 17
Coopération du CERT-UE avec les homologues des États membres
1. Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités_de_l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la Commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.
2. Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.
3. À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’ incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’ incident qu’en cas de survenance de l’un des événements suivants:
| a) | l’entité de l’Union touchée donne son consentement; |
| b) | l’entité de l’Union touchée ne donne pas son consentement comme le prévoit le point a), mais la divulgation de l’identité de l’entité de l’Union touchée augmente la probabilité d’éviter ou d’atténuer d’autres incidents survenant par ailleurs; |
| c) | l’entité de l’Union touchée a déjà fait savoir publiquement qu’elle a été touchée. |
Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’ incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.
Article 18
Coopération du CERT-UE avec d’autres homologues
1. Le CERT-UE peut coopérer avec des homologues dans l’Union, autres que ceux visés à l’article 17, qui sont soumis aux exigences de l’Union en matière de cybersécurité, y compris les homologues de secteurs spécifiques de l’industrie, en ce qui concerne les outils et méthodes, tels que les techniques, les tactiques, les procédures et les meilleures pratiques, et en ce qui concerne les cybermenaces et les vulnérabilités. Pour toute coopération avec lesdits homologues, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas. Lorsque le CERT-UE met en place une coopération avec de tels homologues, il informe tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel l’homologue est situé. Le cas échéant et selon le cas, cette coopération et les conditions de celle-ci, y compris en ce qui concerne la cybersécurité, la protection des données et le traitement des informations, sont établis dans des modalités spécifiques de confidentialité tels que des contrats ou des arrangements administratifs. Les modalités de confidentialité ne nécessitent pas l’approbation préalable de l’IICB, mais le président de celui-ci en est informé. En cas de besoin urgent et imminent d’échanger des informations en matière de cybersécurité dans l’intérêt d’ entités_de_l’Union ou d’une autre partie, le CERT-UE peut y procéder avec une entité dont la compétence, la capacité et l’expertise spécifiques sont indispensables à juste titre pour aider à répondre à ce besoin urgent et imminent, même si le CERT-UE ne dispose pas de modalités de confidentialité avec cette entité. Dans ce cas, le CERT-UE en informe immédiatement le président de l’IICB et fait rapport à l’IICB par l’intermédiaire de rapports réguliers ou de réunions.
2. Le CERT-UE peut coopérer avec d’autres partenaires, tels que des entités commerciales, y compris des entités de secteurs spécifiques de l’industrie, des organisations internationales, des entités nationales ou des experts individuels de pays tiers, afin de recueillir des informations sur des cybermenaces générales et spécifiques, des incidents évités, des vulnérabilités et d’éventuelles contre-mesures. Pour pouvoir élargir la coopération avec ces partenaires, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas.
3. Le CERT-UE peut, avec le consentement de l’entité de l’Union touchée par un incident et à condition que des modalités ou un contrat de non-divulgation aient été conclus avec l’homologue ou le partenaire concerné, fournir des informations relatives à l’ incident spécifique aux homologues ou partenaires visés aux paragraphes 1 et 2 à la seule fin de contribuer à son analyse.
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
Article 21
Obligations d’information
1. Un incident est considéré comme important si:
| a) | il a causé ou est susceptible de causer une perturbation opérationnelle grave au fonctionnement de l’entité de l’Union concernée ou des pertes financières pour celle-ci; |
| b) | il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. |
2. Les entités_de_l’Union transmettent au CERT-UE:
| a) | sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’ incident important, une alerte précoce qui, le cas échéant, indique que l’on suspecte l’ incident important d’avoir été causé par des actes illicites ou malveillants ou qu’il pourrait avoir un impact inter-entités ou transfrontière; |
| b) | sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’ incident important, une notification d’ incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’ incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles; |
| c) | à la demande du CERT-UE, un rapport intermédiaire sur les mises à jour pertinentes de la situation; |
| d) | un rapport final au plus tard un mois après la présentation de la notification d’ incident visée au point b), comprenant les éléments suivants:
|
| e) | en cas d’ incident en cours au moment de la présentation du rapport final visé au point d), un rapport d’avancement à ce moment-là puis un rapport final dans un délai d’un mois à compter du traitement de l’ incident. |
3. Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.
4. Les entités_de_l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’ incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.
5. Le cas échéant, les entités_de_l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités_de_l’Union informent ces utilisateurs de la cybermenace importante elle-même.
6. Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.
7. Les entités_de_l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.
8. Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.
9. Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités_de_l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.
10. Les obligations d’information énoncées au présent article ne s’étendent pas:
| a) | aux ICUE; |
| b) | aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé. |
Article 24
Réaffectation budgétaire initiale
Afin d’assurer un fonctionnement adapté et stable du CERT-UE, la Commission peut proposer la réaffectation de personnel et de ressources financières vers le budget de la Commission à destination des activités du CERT-UE. La réaffectation prend effet à la même date que le premier budget annuel de l’Union adopté après l’entrée en vigueur du présent règlement.
whereas