keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 3 Art. 13 Mission et tâches du CERT-UE
- 3 Art. 18 Coopération du CERT-UE avec d’autres homologues
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 27
- avec 24
- entités_de_l’union 18
- dans 13
- cybersécurité 13
- incidents 12
- le 12
- coopération 12
- informations 11
- l’iicb 11
- peut 11
- services 10
- l’union 10
- concerne 7
- niveau 7
- paragraphe 7
- l’article 7
- compris 7
- homologues 7
- l’approbation 6
- pour 6
- cybermenaces 6
- sont 6
- préalable 6
- règlement 5
- d’une 5
- visés 5
- spécifiques 5
- autres 5
- vulnérabilités 5
- confidentialité 5
- entités 5
- réseaux 4
- partenaires 4
- coopérer 4
- contribuer 4
- matière 4
- modalités 4
- conformément 4
- fournir 4
- tels 4
- présent 4
- base 4
- entité 4
- pertinentes 3
- échéant 3
- l’intermédiaire 3
- réseau 3
- opérationnelle 3
- csirt 3
Article 13
Mission et tâches du CERT-UE
1. La mission du CERT-UE est de contribuer à la sécurité de l’environnement TIC non classifié des entités_de_l’Union en leur fournissant des conseils concernant la cybersécurité, en les aidant à prévenir, à détecter et à traiter les incidents, ainsi qu’à en atténuer les effets, à y répondre et à s’en remettre, et en faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents.
2. Le CERT-UE recueille, gère, analyse et partage avec les entités_de_l’Union des informations sur les cybermenaces, les vulnérabilités et les incidents relatifs aux infrastructures TIC non classifiées. Il coordonne les réponses aux incidents au niveau interinstitutionnel et au niveau des entités_de_l’Union, y compris en assurant ou en coordonnant la fourniture d’une assistance opérationnelle spécialisée.
3. Le CERT-UE accomplit les tâches suivantes pour les entités_de_l’Union:
| a) | les soutenir dans la mise en œuvre du présent règlement et contribuer à la coordination de l’application du présent règlement par l’intermédiaire des mesures énoncées à l’article 14, paragraphe 1, ou des rapports ad hoc demandés par l’IICB; |
| b) | offrir des services CSIRT standard aux entités_de_l’Union au moyen d’un ensemble de services de cybersécurité décrits dans son catalogue de services (ci-après dénommés «services de base»); |
| c) | gérer un réseau de pairs et de partenaires pour soutenir les services visés aux articles 17 et 18; |
| d) | attirer l’attention de l’IICB sur toute question relative à la mise en œuvre du présent règlement et à la mise en œuvre des orientations, recommandations et injonctions; |
| e) | sur la base des informations visées au paragraphe 2, contribuer à la conscience situationnelle de la cybersécurité de l’Union en étroite coopération avec l’ENISA; |
| f) | coordonner la gestion des incidents majeurs; |
| g) | jouer, pour les entités_de_l’Union, un rôle équivalent à celui de coordinateur désigné aux fins de la divulgation coordonnée des vulnérabilités conformément à l’article 12, paragraphe 1, de la directive (UE) 2022/2555; |
| h) | réaliser, à la demande d’une entité de l’Union, un scan proactif et non intrusif des réseaux et des systèmes d’information accessibles au public de ladite entité de l’Union. |
Les informations visées au premier alinéa, point e), sont partagées avec l’IICB, le réseau des CSIRT et le Centre de situation et du renseignement de l’Union européenne (INTCEN), le cas échéant et selon le cas, et sont soumises à des conditions de confidentialité appropriées.
4. Le CERT-UE peut, conformément à l’article 17 ou à l’article 18 selon le cas, coopérer avec les communautés de cybersécurité pertinentes au sein de l’Union et de ses États membres, notamment dans les domaines suivants:
| a) | la préparation, la coordination face aux incidents, l’échange d’informations et la réaction aux crises au niveau technique dans les cas liés aux entités_de_l’Union; |
| b) | la coopération opérationnelle concernant le réseau des centres de réponse aux incidents de sécurité informatique (CSIRT), y compris en matière d’assistance mutuelle; |
| c) | les renseignements sur les cybermenaces, y compris la conscience situationnelle; |
| d) | tout sujet nécessitant l’expertise technique du CERT-UE en matière de cybersécurité. |
5. Dans la limite de ses compétences, le CERT-UE mène une coopération structurée avec l’ENISA en ce qui concerne le renforcement des capacités, la coopération opérationnelle et les analyses stratégiques à long terme des cybermenaces conformément au règlement (UE) 2019/881. Le CERT-UE peut coopérer et échanger des informations avec le Centre européen de lutte contre la cybercriminalité d’Europol.
6. Le CERT-UE peut fournir les services suivants non décrits dans son catalogue de services («services payants»):
| a) | des services soutenant la cybersécurité de l’environnement TIC des entités_de_l’Union, autres que ceux visés au paragraphe 3, sur la base d’accords de niveau de service et sous réserve des ressources disponibles, notamment une surveillance des réseaux à large spectre, y compris la surveillance 24 heures sur 24, 7 jours sur 7 de première ligne des cybermenaces d’une gravité élevée; |
| b) | des services soutenant les opérations ou projets de cybersécurité des entités_de_l’Union, autres que ceux visant à protéger leur environnement TIC, sur la base d’accords écrits et avec l’approbation préalable de l’IICB; |
| c) | sur demande, un scan proactif des réseaux et des systèmes d’information de l’entité de l’Union concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important; |
| d) | des services soutenant la sécurité de l’environnement TIC fournis à des entités autres que les entités_de_l’Union qui coopèrent étroitement avec les entités_de_l’Union, par exemple par l’intermédiaire de tâches ou de responsabilités confiées en vertu du droit de l’Union, sur la base d’accords écrits et avec l’approbation préalable de l’IICB. |
En ce qui concerne le premier alinéa, point d), le CERT-UE peut, à titre exceptionnel, conclure des accords de niveau de service avec des entités autres que les entités_de_l’Union, avec l’approbation préalable de l’IICB.
7. Le CERT-UE organise et peut participer à des exercices de cybersécurité ou recommander la participation à des exercices existants, le cas échéant en étroite coopération avec l’ENISA, afin de tester le niveau de cybersécurité des entités_de_l’Union.
8. Le CERT-UE peut fournir une assistance aux entités_de_l’Union en ce qui concerne les incidents survenant dans des réseaux et systèmes d’information traitant des ICUE s’il y est explicitement invité par les entités_de_l’Union concernées, conformément à leurs procédures respectives. La fourniture d’une assistance par le CERT-UE en vertu du présent paragraphe est sans préjudice des règles applicables en ce qui concerne la protection des informations classifiées.
9. Le CERT-UE informe les entités_de_l’Union de ses procédures et processus de gestion des incidents.
10. Le CERT-UE fournit, avec un niveau de confidentialité et de fiabilité élevé, au moyen des mécanismes de coopération et des lignes hiérarchiques appropriées, des informations pertinentes et anonymisées sur les incidents majeurs et la façon dont ils ont été traités. Ces informations sont intégrées dans le rapport visé à l’article 10, paragraphe 14.
11. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, le CERT-UE, en coopération avec le CEPD, soutient les entités_de_l’Union concernées, sans préjudice de la compétence et des missions du CEPD en tant qu’autorité de contrôle au titre du règlement (UE) 2018/1725.
12. Le CERT-UE peut, si les services politiques des entités_de_l’Union en font expressément la demande, fournir des conseils ou des contributions techniques sur des questions politiques pertinentes.
Article 18
Coopération du CERT-UE avec d’autres homologues
1. Le CERT-UE peut coopérer avec des homologues dans l’Union, autres que ceux visés à l’article 17, qui sont soumis aux exigences de l’Union en matière de cybersécurité, y compris les homologues de secteurs spécifiques de l’industrie, en ce qui concerne les outils et méthodes, tels que les techniques, les tactiques, les procédures et les meilleures pratiques, et en ce qui concerne les cybermenaces et les vulnérabilités. Pour toute coopération avec lesdits homologues, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas. Lorsque le CERT-UE met en place une coopération avec de tels homologues, il informe tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel l’homologue est situé. Le cas échéant et selon le cas, cette coopération et les conditions de celle-ci, y compris en ce qui concerne la cybersécurité, la protection des données et le traitement des informations, sont établis dans des modalités spécifiques de confidentialité tels que des contrats ou des arrangements administratifs. Les modalités de confidentialité ne nécessitent pas l’approbation préalable de l’IICB, mais le président de celui-ci en est informé. En cas de besoin urgent et imminent d’échanger des informations en matière de cybersécurité dans l’intérêt d’ entités_de_l’Union ou d’une autre partie, le CERT-UE peut y procéder avec une entité dont la compétence, la capacité et l’expertise spécifiques sont indispensables à juste titre pour aider à répondre à ce besoin urgent et imminent, même si le CERT-UE ne dispose pas de modalités de confidentialité avec cette entité. Dans ce cas, le CERT-UE en informe immédiatement le président de l’IICB et fait rapport à l’IICB par l’intermédiaire de rapports réguliers ou de réunions.
2. Le CERT-UE peut coopérer avec d’autres partenaires, tels que des entités commerciales, y compris des entités de secteurs spécifiques de l’industrie, des organisations internationales, des entités nationales ou des experts individuels de pays tiers, afin de recueillir des informations sur des cybermenaces générales et spécifiques, des incidents évités, des vulnérabilités et d’éventuelles contre-mesures. Pour pouvoir élargir la coopération avec ces partenaires, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas.
3. Le CERT-UE peut, avec le consentement de l’entité de l’Union touchée par un incident et à condition que des modalités ou un contrat de non-divulgation aient été conclus avec l’homologue ou le partenaire concerné, fournir des informations relatives à l’ incident spécifique aux homologues ou partenaires visés aux paragraphes 1 et 2 à la seule fin de contribuer à son analyse.
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
whereas