Cyber Resilience Act 2023/2841 FR

1)	« entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités;

2)	« réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555;

3)	« sécurité_des_réseaux_et_des_systèmes_d’information», la sécurité_des_réseaux_et_des_systèmes_d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555;

4)	« cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881;

« niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs;

6)	« incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555;

7)	« incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555;

8)	« incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union;

9)	« incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555;

10)	«traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555;

11)	« cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881;

12)	« cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555;

13)	« vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555;

14)	«risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555;

15)	« service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555.

Article 4

Traitement des données à caractère personnel

1. Le traitement, par le CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et les entités_de_l’Union, de données à caractère personnel au titre du présent règlement est effectué conformément au règlement (UE) 2018/1725.

2. Lorsqu’ils exécutent des tâches ou remplissent des obligations en vertu du présent règlement, le CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et les entités_de_l’Union ne traitent et n’échangent des données à caractère personnel que dans la mesure nécessaire et dans le seul but d’exécuter ces tâches ou de remplir ces obligations.

3. Le traitement de catégories particulières de données à caractère personnel visées à l’article 10, paragraphe 1, du règlement (UE) 2018/1725 est considéré comme nécessaire pour des raisons d’intérêt public important conformément à l’article 10, paragraphe 2, point g), dudit règlement. Ces données ne peuvent être traitées que dans la mesure nécessaire à la mise en œuvre des mesures de gestion des risques de cybersécurité visées aux articles 6 et 8, à la fourniture de services par le CERT-UE au titre de l’article 13, au partage d’informations propres à un incident au titre de l’article 17, paragraphe 3, et de l’article 18, paragraphe 3, au partage d’informations au titre de l’article 20, aux obligations en matière de communication d’informations prévues à l’article 21, à la coordination de la réaction aux incidents et à la coopération au titre de l’article 22 et à la gestion des incidents majeurs au titre de l’article 23 du présent règlement. Les entités_de_l’Union et le CERT-UE, lorsqu’ils agissent en qualité de responsables du traitement, appliquent des mesures techniques pour empêcher le traitement des catégories particulières de données à caractère personnel à d’autres fins et prévoient des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes concernées.

CHAPITRE II

MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE

Article 10

Conseil interinstitutionnel de cybersécurité

1. Un conseil interinstitutionnel de cybersécurité (IICB) est institué.

2. L’IICB est chargé:

a)	de suivre et de soutenir la mise en œuvre du présent règlement par les entités_de_l’Union;

b)	de superviser la mise en œuvre des priorités et objectifs généraux par le CERT-UE et de lui fournir des orientations stratégiques.

3. L’IICB est composé:

d’un représentant désigné par chacune des entités suivantes:

i)	le Parlement européen;

ii)	le Conseil européen;

iii)	le Conseil de l’Union européenne;

iv)	la Commission;

v)	la Cour de justice de l’Union européenne;

vi)	la Banque centrale européenne;

vii)	la Cour des comptes européenne;

viii)

le Service européen pour l’action extérieure;

ix)	le Comité économique et social européen;

x)	le Comité européen des régions;

xi)	la Banque européenne d’investissement;

xii)	le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité;

xiii)

l’ENISA;

xiv)	le Contrôleur européen de la protection des données (CEPD);

xv)	l’Agence de l’Union européenne pour le programme spatial.

b)	de trois représentants désignés par le réseau des agences de l’Union européenne (EUAN), sur proposition de son comité consultatif sur les TIC, pour représenter les intérêts des organes et organismes de l’Union qui gèrent leur propre environnement TIC, autres que ceux visés au point a).

Les entités_de_l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.

4. Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités_de_l’Union visées au paragraphe 3 ou d’autres entités_de_l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.

5. Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.

6. L’IICB adopte son règlement intérieur.

7. L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.

8. L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.

9. Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.

10. L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.

11. Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.

12. Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.

13. L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.

14. Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

Article 11

Tâches de l’IICB

Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:

a)	fournir des orientations au chef du CERT-UE;

b)	suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE;

c)	à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier;

mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union;

e)	approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre;

f)	approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci;

g)	approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE;

h)	approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service;

i)	examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds;

j)	approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi;

k)	approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18;

l)	adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction;

m)	créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs;

n)	recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité;

o)	faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement;

p)	compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles;

établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets;

r)	coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2;

adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité;

Article 12

Respect

1. L’IICB suit efficacement, conformément à l’article 10, paragraphe 2, et à l’article 11, la mise en œuvre du présent règlement et des orientations, recommandations et injonctions adoptées par les entités_de_l’Union. L’IICB peut demander aux entités_de_l’Union les informations ou les documents nécessaires à cette fin. Aux fins de l’adoption de mesures de conformité au titre du présent article, lorsque l’entité de l’Union concernée est directement représentée au sein de l’IICB, cette entité de l’Union ne dispose pas du droit de vote.

2. Lorsque l’IICB constate qu’une entité de l’Union n’a pas effectivement mis en œuvre le présent règlement ou les orientations, recommandations ou injonctions élaborées au titre du présent règlement, il peut, sans préjudice des procédures internes de l’entité de l’Union concernée, et après avoir donné à l’entité concernée la possibilité de présenter ses observations:

a)	faire part à l’entité de l’Union concernée de son avis motivé relatif aux lacunes observées dans la mise en œuvre du présent règlement;

b)	après consultation du CERT-UE, fournir des orientations à l’entité de l’Union concernée afin que son cadre, ses mesures de gestion des risques de cybersécurité, son plan de cybersécurité et ses rapports soient conformes au présent règlement, dans un délai déterminé;

c)	émettre un avertissement pour remédier aux lacunes constatées dans un délai déterminé, y compris des recommandations visant à modifier les mesures adoptées par l’entité de l’Union concernée au titre du présent règlement;

d)	transmettre une notification motivée à l’entité de l’Union concernée, dans le cas où il n’a pas été suffisamment remédié, dans le délai imparti, aux lacunes constatées dans un avertissement émis conformément au point c);

formuler:

i)	une recommandation de procéder à un audit; ou

ii)	une demande visant à ce qu’un audit soit effectué par un service d’audit tiers;

f)	le cas échéant, informer la Cour des comptes, dans le cadre de son mandat, du non-respect présumé;

g)	émettre une recommandation à l’intention de tous les États membres et toutes les entités_de_l’Union de suspendre temporairement les flux de données vers l’entité de l’Union concernée.

Aux fins du premier alinéa, point c), les destinataires d’un avertissement sont limités de manière appropriée, lorsque cela s’avère nécessaire en raison du risque de cybersécurité.

Les avertissements et recommandations émis au titre du premier alinéa sont adressés au niveau_hiérarchique_le_plus_élevé de l’entité de l’Union concernée.

3. Lorsque l’IICB a adopté des mesures en vertu du paragraphe 2, premier alinéa, points a) à g), l’entité de l’Union concernée fournit des informations détaillées sur les mesures prises et les actions menées pour remédier aux lacunes alléguées constatées par l’IICB. L’entité de l’Union communique ces informations détaillées dans un délai raisonnable à convenir avec l’IICB.

4. Lorsque l’IICB estime qu’il y a une violation persistante du présent règlement par une entité de l’Union directement imputable aux actions ou omissions d’un fonctionnaire ou d’un autre agent de l’Union, y compris au niveau_hiérarchique_le_plus_élevé, l’IICB demande à l’entité de l’Union concernée de prendre les mesures appropriées, y compris en lui demandant d’envisager des mesures de nature disciplinaire, conformément aux règles et procédures énoncées dans le statut des fonctionnaires et à toutes autres règles et procédures applicables. À cette fin, l’IICB transfère les informations nécessaires à l’entité de l’Union concernée.

5. Lorsque des entités_de_l’Union indiquent être incapables de respecter les délais visés à l’article 6, paragraphe 1, et à l’article 8, paragraphe 1, l’IICB peut, dans des cas dûment motivés, compte tenu de la taille de l’entité de l’Union, autoriser la prolongation de ces délais.

CHAPITRE IV

CERT-UE

Article 16

Questions financières et de personnel

1. Le CERT-UE est intégré à la structure administrative d’une direction générale de la Commission afin de bénéficier des structures d’appui de la Commission en matière administrative, de gestion financière et de comptabilité tout en préservant son statut de fournisseur interinstitutionnel autonome de services destinés à l’ensemble des entités_de_l’Union. La Commission informe l’IICB du siège administratif du CERT-UE et de toute modification de celui-ci. La Commission procède régulièrement au réexamen des modalités administratives relatives au CERT-UE et, en tout état de cause, avant l’établissement de tout cadre financier pluriannuel conformément à l’article 312 du traité sur le fonctionnement de l’Union européenne, pour permettre l’adoption de mesures adéquates. Le réexamen prévoit la possibilité de faire du CERT-UE un organisme de l’Union.

2. Pour l’application des procédures administratives et financières, le chef du CERT-UE agit sous l’autorité de la Commission et sous la surveillance de l’IICB.

3. Les tâches et activités du CERT-UE, y compris les services qu’il fournit, conformément à l’article 13, paragraphes 3, 4, 5 et 7, et à l’article 14, paragraphe 1, aux entités_de_l’Union et qui sont financés au titre de la rubrique du cadre financier pluriannuel consacrée à l’administration publique européenne, sont financées par une ligne budgétaire distincte du budget de la Commission. Les postes réservés au CERT-UE sont détaillés dans une note de bas de page du tableau des effectifs de la Commission.

4. Les entités_de_l’Union autres que celles visées au paragraphe 3 du présent article versent une contribution financière annuelle au CERT-UE pour couvrir les services fournis par le CERT-UE en vertu dudit paragraphe 3. Les contributions sont fondées sur les orientations données par l’IICB et convenues entre chaque entité de l’Union et le CERT-UE dans les accords de niveau de service. Les contributions représentent une part équitable et proportionnée de l’ensemble des coûts des services fournis. Elles sont affectées à la ligne budgétaire distincte visée au paragraphe 3 du présent article en tant que recettes affectées internes comme prévu à l’article 21, paragraphe 3, point c), du règlement (UE, Euratom) 2018/1046.

5. Les coûts des services prévus à l’article 13, paragraphe 6, sont recouvrés auprès des entités_de_l’Union qui bénéficient des services du CERT-UE. Les recettes sont affectées aux lignes budgétaires dont relèvent les coûts.

Article 21

Obligations d’information

1. Un incident est considéré comme important si:

a)	il a causé ou est susceptible de causer une perturbation opérationnelle grave au fonctionnement de l’entité de l’Union concernée ou des pertes financières pour celle-ci;

b)	il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

2. Les entités_de_l’Union transmettent au CERT-UE:

sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’ incident important, une alerte précoce qui, le cas échéant, indique que l’on suspecte l’ incident important d’avoir été causé par des actes illicites ou malveillants ou qu’il pourrait avoir un impact inter-entités ou transfrontière;

sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’ incident important, une notification d’ incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’ incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;

c)	à la demande du CERT-UE, un rapport intermédiaire sur les mises à jour pertinentes de la situation;

un rapport final au plus tard un mois après la présentation de la notification d’ incident visée au point b), comprenant les éléments suivants:

i)	une description détaillée de l’ incident, y compris de sa gravité et de son impact;

ii)	le type de menace ou la cause profonde qui a probablement déclenché l’ incident;

iii)	les mesures d’atténuation appliquées et en cours;

iv)	le cas échéant, l’impact transfrontière ou inter-entités de l’ incident;

e)	en cas d’ incident en cours au moment de la présentation du rapport final visé au point d), un rapport d’avancement à ce moment-là puis un rapport final dans un délai d’un mois à compter du traitement de l’ incident.

3. Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.

4. Les entités_de_l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’ incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.

5. Le cas échéant, les entités_de_l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités_de_l’Union informent ces utilisateurs de la cybermenace importante elle-même.

6. Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.

7. Les entités_de_l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.

8. Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

9. Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités_de_l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.

10. Les obligations d’information énoncées au présent article ne s’étendent pas:

aux ICUE;

b)	aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé.

Article 22

Coordination de la réaction aux incidents et coopération

1. En faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents, le CERT-UE facilite l’échange d’informations en ce qui concerne les cybermenaces, les vulnérabilités et les incidents évités entre:

a)	les entités_de_l’Union;

b)	les homologues visés aux articles 17 et 18.

2. Le CERT-UE, le cas échéant en étroite coopération avec l’ENISA, facilite la coordination entre les entités_de_l’Union en matière de réaction aux incidents, notamment par les moyens suivants:

a)	contribution à une communication externe cohérente;

b)	soutien mutuel, comme le partage d’informations pertinentes avec les entités_de_l’Union, ou fourniture d’une assistance, le cas échéant directement sur site;

c)	utilisation optimale des ressources opérationnelles;

d)	coordination avec d’autres mécanismes de réaction aux crises au niveau de l’Union.

3. Le CERT-UE, en étroite coopération avec l’ENISA, soutient les entités_de_l’Union en ce qui concerne la conscience situationnelle des incidents, des cybermenaces, des vulnérabilités et des incidents évités ainsi qu’en ce qui concerne le partage des évolutions pertinentes dans le domaine de la cybersécurité.

4. Au plus tard le 8 janvier 2025, sur la base d’une proposition du CERT-UE, l’IICB adopte des orientations ou des recommandations sur la coordination de la réaction aux incidents et la coopération en cas d’ incident important. Lorsqu’il est suspecté qu’un incident est de nature criminelle, le CERT-UE conseille sur la manière de signaler l’ incident aux autorités répressives sans retard injustifié.

5. À la demande spécifique d’un État membre et moyennant l’approbation des entités_de_l’Union concernées, le CERT-UE peut inviter des experts figurant sur la liste visée à l’article 23, paragraphe 4, à contribuer à la réaction à un incident majeur qui a un impact dans cet État membre ou à un incident de cybersécurité majeur conformément à l’article 15, paragraphe 3, point g), de la directive (UE) 2022/2555. Des règles spécifiques relatives à l’accès et au recours à des experts techniques issus des entités_de_l’Union sont approuvées par l’IICB sur la base d’une proposition du CERT-UE.

whereas

keyboard_tab Cyber Resilience Act 2023/2841 FR

Cyber Resilience Act 2023/2841 FR