keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 6 Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
- 1 Art. 7 Évaluations de la maturité en matière de cybersécurité
- 1 Art. 8 Mesures de gestion des risques de cybersécurité
- 1 Art. 11 Tâches de l’IICB
- 2 Art. 14 Orientations, recommandations et injonctions
- 1 Art. 17 Coopération du CERT-UE avec les homologues des États membres
- 1 Art. 18 Coopération du CERT-UE avec d’autres homologues
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cybersécurité 65
- cert-ue 48
- l’union 41
- dans 25
- entités_de_l’union 25
- l’entité 22
- gestion 20
- risques 19
- pour 19
- matière 19
- l’article 19
- entité 18
- compris 18
- mise 18
- avec 16
- œuvre 16
- mesures 15
- présent 15
- incidents 15
- règlement 14
- échéant 13
- cadre 13
- d’une 13
- niveau 13
- sécurité 13
- compte 12
- informations 11
- chef 10
- le 10
- chaque 10
- homologues 10
- incident 10
- l’iicb 10
- peut 9
- membres 9
- services 9
- sont 9
- modalités 9
- touchée 9
- coopération 8
- point 8
- base 8
- fait 8
- vertu 8
- maturité 8
- pratiques 8
- afin 8
- spécifiques 8
- approuver 8
- entre 7
Article 6
Cadre de gestion, de gouvernance et de contrôle des risques de cybersécurité
1. Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau_hiérarchique_le_plus_élevé de l’entité de l’Union.
2. Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».
3. Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité_des_réseaux_et_des_systèmes_d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.
4. Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.
5. Le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.
6. Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau_hiérarchique_le_plus_élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau_hiérarchique_le_plus_élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.
7. Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.
8. Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau_hiérarchique_le_plus_élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités_de_l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.
Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.
9. Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.
Article 7
Évaluations de la maturité en matière de cybersécurité
1. Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.
2. Les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.
3. Les entités_de_l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.
4. Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.
Article 8
Mesures de gestion des risques de cybersécurité
1. Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau_hiérarchique_le_plus_élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’ incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.
2. Les entités_de_l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:
| a) | la politique de cybersécurité, y compris les mesures nécessaires pour atteindre les objectifs et les priorités visés à l’article 6 et au paragraphe 3 du présent article; |
| b) | les politiques relatives à l’analyse des risques de cybersécurité et à la sécurité des systèmes d’information; |
| c) | les objectifs stratégiques concernant l’utilisation des services d’informatique en nuage; |
| d) | un audit de cybersécurité, le cas échéant, qui peut inclure une évaluation des risques de cybersécurité, de la vulnérabilité et des cybermenaces, et des tests d’intrusion effectués régulièrement par un fournisseur privé de confiance; |
| e) | la mise en œuvre des recommandations découlant des audits de cybersécurité visés au point d) au moyen de mises à jour de la cybersécurité et des politiques; |
| f) | l’organisation de la cybersécurité, y compris la définition des rôles et des responsabilités; |
| g) | la gestion des actifs, y compris l’inventaire des actifs TIC et la cartographie des réseaux TIC; |
| h) | la sécurité des ressources humaines et le contrôle d’accès; |
| i) | la sécurité des activités; |
| j) | la sécurité des communications; |
| k) | l’acquisition, le développement et la maintenance des systèmes, y compris les politiques de traitement et de divulgation des vulnérabilités; |
| l) | dans la mesure du possible, les politiques en matière de transparence du code source des systèmes; |
| m) | la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité de l’Union et ses fournisseurs ou prestataires de services directs; |
| n) | le traitement des incidents et la coopération avec le CERT-UE, par exemple la maintenance du suivi de la sécurité et de la journalisation; |
| o) | la gestion de la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; et |
| p) | la promotion et le développement de programmes d’éducation, de renforcement des compétences, de sensibilisation, d’exercices et de formation en matière de cybersécurité. |
Aux fins du premier alinéa, point m), les entités_de_l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.
3. Les entités_de_l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:
| a) | les modalités techniques visant à permettre le télétravail et à en assurer la pérennité; |
| b) | des mesures concrètes pour progresser vers les principes de vérification systématique; |
| c) | l’utilisation de l’authentification à facteurs multiples comme norme dans l’ensemble des réseaux et des systèmes d’information; |
| d) | l’utilisation de la cryptographie et du chiffrement, en particulier le chiffrement de bout en bout, ainsi que les signatures numériques sécurisées; |
| e) | le cas échéant, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité de l’Union; |
| f) | des mesures préventives de détection et de suppression des logiciels malveillants et des logiciels espions; |
| g) | la sécurisation de la chaîne d’approvisionnement des logiciels au moyen de critères pour le développement et l’évaluation sécurisés des logiciels; |
| h) | l’élaboration et l’adoption de programmes de formation à la cybersécurité en fonction des missions confiées et des capacités escomptées à l’intention du niveau_hiérarchique_le_plus_élevé et des membres du personnel de l’entité de l’Union chargés d’assurer la mise en œuvre effective du présent règlement; |
| i) | la formation régulière des membres du personnel à la cybersécurité; |
| j) | le cas échéant, la participation à des analyses des risques que présente l’interconnexion entre les entités_de_l’Union; |
| k) | le renforcement des règles de passation des marchés publics afin de faciliter un niveau élevé commun de cybersécurité par:
|
Article 11
Tâches de l’IICB
Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:
| a) | fournir des orientations au chef du CERT-UE; |
| b) | suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE; |
| c) | à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier; |
| d) | mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union; |
| e) | approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre; |
| f) | approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci; |
| g) | approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE; |
| h) | approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service; |
| i) | examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds; |
| j) | approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi; |
| k) | approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18; |
| l) | adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction; |
| m) | créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs; |
| n) | recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité; |
| o) | faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement; |
| p) | compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles; |
| q) | établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets; |
| r) | coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2; |
| s) | adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité; |
Article 14
Orientations, recommandations et injonctions
1. Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:
| a) | des injonctions décrivant les mesures de sécurité urgentes que les entités_de_l’Union sont instamment invitées à prendre dans un délai déterminé; |
| b) | des propositions soumises à l’IICB concernant des orientations destinées à l’ensemble ou à une partie des entités_de_l’Union; |
| c) | des propositions soumises à l’IICB concernant des recommandations destinées à titre individuel aux entités_de_l’Union. |
En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.
2. Les orientations et les recommandations peuvent inclure:
| a) | des méthodes communes et un modèle d’évaluation de la maturité des entités_de_l’Union en matière de cybersécurité, y compris les barèmes ou les IPC correspondants, destinés à servir de référence pour soutenir l’amélioration continue de la cybersécurité dans toutes les entités_de_l’Union et à faciliter la hiérarchisation des domaines et des mesures de cybersécurité en tenant compte de la posture de cybersécurité des entités; |
| b) | les modalités de la gestion des risques de cybersécurité et les mesures de gestion des risques en matière de cybersécurité, ou les améliorations à y apporter; |
| c) | les modalités des évaluations du niveau de maturité en matière de cybersécurité et des plans de cybersécurité; |
| d) | le cas échéant, l’utilisation d’une technologie, d’une architecture et de pratiques de sources ouvertes communes, ainsi que des meilleures pratiques qui y sont associées, dans le but de parvenir à l’interopérabilité et à des normes communes, y compris une approche coordonnée de la sécurité de la chaîne d’approvisionnement; |
| e) | le cas échéant, des informations permettant de faciliter l’utilisation d’instruments d’acquisition conjointe pour l’acquisition de produits et services de cybersécurité pertinents auprès de prestataires tiers; |
| f) | des modalités de partage d’informations conformément à l’article 20. |
Article 17
Coopération du CERT-UE avec les homologues des États membres
1. Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités_de_l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la Commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.
2. Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.
3. À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’ incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’ incident qu’en cas de survenance de l’un des événements suivants:
| a) | l’entité de l’Union touchée donne son consentement; |
| b) | l’entité de l’Union touchée ne donne pas son consentement comme le prévoit le point a), mais la divulgation de l’identité de l’entité de l’Union touchée augmente la probabilité d’éviter ou d’atténuer d’autres incidents survenant par ailleurs; |
| c) | l’entité de l’Union touchée a déjà fait savoir publiquement qu’elle a été touchée. |
Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’ incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.
Article 18
Coopération du CERT-UE avec d’autres homologues
1. Le CERT-UE peut coopérer avec des homologues dans l’Union, autres que ceux visés à l’article 17, qui sont soumis aux exigences de l’Union en matière de cybersécurité, y compris les homologues de secteurs spécifiques de l’industrie, en ce qui concerne les outils et méthodes, tels que les techniques, les tactiques, les procédures et les meilleures pratiques, et en ce qui concerne les cybermenaces et les vulnérabilités. Pour toute coopération avec lesdits homologues, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas. Lorsque le CERT-UE met en place une coopération avec de tels homologues, il informe tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel l’homologue est situé. Le cas échéant et selon le cas, cette coopération et les conditions de celle-ci, y compris en ce qui concerne la cybersécurité, la protection des données et le traitement des informations, sont établis dans des modalités spécifiques de confidentialité tels que des contrats ou des arrangements administratifs. Les modalités de confidentialité ne nécessitent pas l’approbation préalable de l’IICB, mais le président de celui-ci en est informé. En cas de besoin urgent et imminent d’échanger des informations en matière de cybersécurité dans l’intérêt d’ entités_de_l’Union ou d’une autre partie, le CERT-UE peut y procéder avec une entité dont la compétence, la capacité et l’expertise spécifiques sont indispensables à juste titre pour aider à répondre à ce besoin urgent et imminent, même si le CERT-UE ne dispose pas de modalités de confidentialité avec cette entité. Dans ce cas, le CERT-UE en informe immédiatement le président de l’IICB et fait rapport à l’IICB par l’intermédiaire de rapports réguliers ou de réunions.
2. Le CERT-UE peut coopérer avec d’autres partenaires, tels que des entités commerciales, y compris des entités de secteurs spécifiques de l’industrie, des organisations internationales, des entités nationales ou des experts individuels de pays tiers, afin de recueillir des informations sur des cybermenaces générales et spécifiques, des incidents évités, des vulnérabilités et d’éventuelles contre-mesures. Pour pouvoir élargir la coopération avec ces partenaires, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas.
3. Le CERT-UE peut, avec le consentement de l’entité de l’Union touchée par un incident et à condition que des modalités ou un contrat de non-divulgation aient été conclus avec l’homologue ou le partenaire concerné, fournir des informations relatives à l’ incident spécifique aux homologues ou partenaires visés aux paragraphes 1 et 2 à la seule fin de contribuer à son analyse.
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
whereas