keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 5 Art. 3 Définitions
- 1 Art. 5 Mise en œuvre des mesures
- 1 Art. 17 Coopération du CERT-UE avec les homologues des États membres
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- l’article 21
- l’union 16
- ue / 15
- point 14
- directive 14
- incident 12
- cert-ue 12
- cybersécurité 12
- l’entité 9
- touchée 8
- conformément 8
- incidents 7
- défini 7
- qu’il 7
- vertu 7
- telle 6
- qu’elle 6
- définie 5
- sans 5
- entités_de_l’union 4
- informations 4
- pour 4
- dans 4
- gestion 4
- consentement 4
- européenne 4
- pertinentes 3
- survenant 3
- avec 3
- lignes 3
- homologues 3
- directrices 3
- entité 3
- d’un 3
- article 3
- États 3
- risques 3
- membres 3
- l’identité 3
- matière 3
- règlement 3
- donne 3
- chef 3
- cybermenace 3
- propres 3
- divulgation 3
- traité 3
- après 2
- œuvre 2
- compte 2
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité_des_réseaux_et_des_systèmes_d’information», la sécurité_des_réseaux_et_des_systèmes_d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 5
Mise en œuvre des mesures
1. Au plus tard le 8 septembre 2024, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 publie, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et après avoir reçu des orientations du CERT-UE, des lignes directrices à l’intention des entités_de_l’Union aux fins de procéder à un examen initial de la cybersécurité et d’établir un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité conformément à l’article 6, de procéder à des évaluations de la maturité en matière de cybersécurité conformément à l’article 7, de prendre des mesures de gestion des risques de cybersécurité conformément à l’article 8 et d’adopter le plan de cybersécurité conformément à l’article 9.
2. Lorsqu’elles mettent en œuvre les articles 6 à 9, les entités_de_l’Union tiennent compte des lignes directrices visées au paragraphe 1 du présent article, ainsi que des lignes directrices et recommandations pertinentes adoptées en vertu des articles 11 et 14.
Article 17
Coopération du CERT-UE avec les homologues des États membres
1. Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités_de_l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la Commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.
2. Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.
3. À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’ incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’ incident qu’en cas de survenance de l’un des événements suivants:
| a) | l’entité de l’Union touchée donne son consentement; |
| b) | l’entité de l’Union touchée ne donne pas son consentement comme le prévoit le point a), mais la divulgation de l’identité de l’entité de l’Union touchée augmente la probabilité d’éviter ou d’atténuer d’autres incidents survenant par ailleurs; |
| c) | l’entité de l’Union touchée a déjà fait savoir publiquement qu’elle a été touchée. |
Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’ incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.
whereas