keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 5 Mise en œuvre des mesures
- 5 Art. 7 Évaluations de la maturité en matière de cybersécurité
- 2 Art. 9 Plans de cybersécurité
- 1 Art. 11 Tâches de l’IICB
- 2 Art. 14 Orientations, recommandations et injonctions
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cybersécurité 50
- entités_de_l’union 21
- cert-ue 20
- l’article 18
- matière 15
- gestion 12
- conformément 11
- maturité 11
- risques 10
- l’union 10
- plan 9
- dans 9
- mesures 9
- niveau 8
- approuver 8
- d’une 8
- évaluations 7
- proposition 7
- mise 7
- recommandations 7
- chef 7
- échéant 7
- pour 6
- orientations 6
- œuvre 6
- présent 5
- l’iicb 5
- concernant 5
- sécurité 5
- base 5
- article 5
- conseil 5
- vertu 4
- plus 4
- l’entité 4
- renforcer 4
- interinstitutionnel 4
- sont 4
- règlement 4
- compris 4
- adopter 4
- ainsi 4
- compte 4
- pratiques 4
- modalités 4
- communes 3
- d’approvisionnement 3
- les 3
- entité 3
- faciliter 3
Article 5
Mise en œuvre des mesures
1. Au plus tard le 8 septembre 2024, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 publie, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et après avoir reçu des orientations du CERT-UE, des lignes directrices à l’intention des entités_de_l’Union aux fins de procéder à un examen initial de la cybersécurité et d’établir un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité conformément à l’article 6, de procéder à des évaluations de la maturité en matière de cybersécurité conformément à l’article 7, de prendre des mesures de gestion des risques de cybersécurité conformément à l’article 8 et d’adopter le plan de cybersécurité conformément à l’article 9.
2. Lorsqu’elles mettent en œuvre les articles 6 à 9, les entités_de_l’Union tiennent compte des lignes directrices visées au paragraphe 1 du présent article, ainsi que des lignes directrices et recommandations pertinentes adoptées en vertu des articles 11 et 14.
Article 7
Évaluations de la maturité en matière de cybersécurité
1. Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.
2. Les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.
3. Les entités_de_l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.
4. Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.
Article 9
Plans de cybersécurité
1. Compte tenu de la conclusion de l’évaluation de la maturité en matière de cybersécurité effectuée conformément à l’article 7 et des actifs et des risques de cybersécurité identifiés dans le cadre, ainsi que des mesures de gestion des risques de cybersécurité prises conformément à l’article 8, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union approuve un plan de cybersécurité dans les meilleurs délais et en tout état de cause au plus tard le 8 janvier 2026. Le plan de cybersécurité vise à accroître la cybersécurité globale de l’entité de l’Union et contribue ainsi à renforcer le niveau élevé commun de cybersécurité au sein des entités_de_l’Union. Le plan de cybersécurité comprend au moins les mesures de gestion des risques de cybersécurité prises conformément à l’article 8. Le plan de cybersécurité est révisé tous les deux ans ou plus fréquemment, le cas échéant, à la suite des évaluations de la maturité en matière de cybersécurité effectuées conformément à l’article 7 ou de toute révision substantielle du cadre.
2. Le plan de cybersécurité comprend le plan de gestion des crises de cybersécurité de l’entité de l’Union en cas d’ incidents majeurs.
3. L’entité de l’Union soumet le plan de cybersécurité complet au conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10.
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
Article 11
Tâches de l’IICB
Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:
| a) | fournir des orientations au chef du CERT-UE; |
| b) | suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE; |
| c) | à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier; |
| d) | mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union; |
| e) | approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre; |
| f) | approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci; |
| g) | approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE; |
| h) | approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service; |
| i) | examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds; |
| j) | approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi; |
| k) | approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18; |
| l) | adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction; |
| m) | créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs; |
| n) | recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité; |
| o) | faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement; |
| p) | compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles; |
| q) | établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets; |
| r) | coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2; |
| s) | adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité; |
Article 14
Orientations, recommandations et injonctions
1. Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:
| a) | des injonctions décrivant les mesures de sécurité urgentes que les entités_de_l’Union sont instamment invitées à prendre dans un délai déterminé; |
| b) | des propositions soumises à l’IICB concernant des orientations destinées à l’ensemble ou à une partie des entités_de_l’Union; |
| c) | des propositions soumises à l’IICB concernant des recommandations destinées à titre individuel aux entités_de_l’Union. |
En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.
2. Les orientations et les recommandations peuvent inclure:
| a) | des méthodes communes et un modèle d’évaluation de la maturité des entités_de_l’Union en matière de cybersécurité, y compris les barèmes ou les IPC correspondants, destinés à servir de référence pour soutenir l’amélioration continue de la cybersécurité dans toutes les entités_de_l’Union et à faciliter la hiérarchisation des domaines et des mesures de cybersécurité en tenant compte de la posture de cybersécurité des entités; |
| b) | les modalités de la gestion des risques de cybersécurité et les mesures de gestion des risques en matière de cybersécurité, ou les améliorations à y apporter; |
| c) | les modalités des évaluations du niveau de maturité en matière de cybersécurité et des plans de cybersécurité; |
| d) | le cas échéant, l’utilisation d’une technologie, d’une architecture et de pratiques de sources ouvertes communes, ainsi que des meilleures pratiques qui y sont associées, dans le but de parvenir à l’interopérabilité et à des normes communes, y compris une approche coordonnée de la sécurité de la chaîne d’approvisionnement; |
| e) | le cas échéant, des informations permettant de faciliter l’utilisation d’instruments d’acquisition conjointe pour l’acquisition de produits et services de cybersécurité pertinents auprès de prestataires tiers; |
| f) | des modalités de partage d’informations conformément à l’article 20. |
whereas