keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 3 Définitions
- 1 Art. 11 Tâches de l’IICB
- 1 Art. 20 Modalités de partage d’informations en matière de cybersécurité
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 26
- l’article 20
- cybersécurité 19
- entités_de_l’union 18
- point 14
- ue / 14
- directive 12
- l’union 12
- niveau 9
- informations 9
- approuver 8
- proposition 7
- incidents 7
- chef 7
- incident 7
- matière 7
- défini 7
- qu’il 7
- d’une 6
- leur 6
- mise 6
- pour 6
- gestion 6
- avec 6
- règlement 6
- partage 5
- entité 5
- recommandations 5
- définie 5
- telle 5
- qu’elle 5
- présent 5
- dans 5
- concernant 4
- base 4
- risques 4
- l’entité 4
- adopter 4
- conformément 4
- leurs 3
- respectifs 3
- d’informations 3
- échéant 3
- été 3
- accords 3
- cybermenace 3
- l’iicb 3
- orientations 3
- les 3
- évaluations 3
Article 3
Définitions
Aux fins du présent règlement, on entend par:
| 1) | « entités_de_l’Union», les institutions, organes et organismes de l’Union créés par le traité sur l’Union européenne, le traité sur le fonctionnement de l’Union européenne ou le traité instituant la Communauté européenne de l’énergie atomique, ou conformément à ces traités; |
| 2) | « réseau_et_système_d’information», un réseau_et_système_d’information tel qu’il est défini à l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | « sécurité_des_réseaux_et_des_systèmes_d’information», la sécurité_des_réseaux_et_des_systèmes_d’information telle qu’elle est définie à l’article 6, point 2), de la directive (UE) 2022/2555; |
| 4) | « cybersécurité», la cybersécurité telle qu’elle est définie l’article 2, point 1), du règlement (UE) 2019/881; |
| 5) | « niveau_hiérarchique_le_plus_élevé», un responsable, un organe de direction ou un organe de coordination et de surveillance chargés du fonctionnement d’une entité de l’Union au niveau administratif le plus élevé, ayant pour mandat d’adopter ou d’autoriser des décisions conformément aux dispositifs de gouvernance à haut niveau de cette entité, sans préjudice des responsabilités formelles incombant aux autres niveaux hiérarchiques en matière de conformité et en ce qui concerne la gestion des risques de cybersécurité dans leurs domaines de compétence respectifs; |
| 6) | « incident_évité», un incident_évité tel qu’il est défini à l’article 6, point 5), de la directive (UE) 2022/2555; |
| 7) | « incident», un incident tel qu’il est défini à l’article 6, point 6), de la directive (UE) 2022/2555; |
| 8) | « incident majeur», un incident qui provoque des perturbations dépassant les capacités de réaction d’une entité de l’Union et du CERT-UE ou qui a une incidence notable sur au moins deux entités_de_l’Union; |
| 9) | « incident de cybersécurité majeur», un incident de cybersécurité majeur tel qu’il est défini à l’article 6, point 7), de la directive (UE) 2022/2555; |
| 10) | «traitement des incidents», le traitement des incidents tel qu’il est défini à l’article 6, point 8), de la directive (UE) 2022/2555; |
| 11) | « cybermenace», une cybermenace telle qu’elle est définie à l’article 2, point 8), du règlement (UE) 2019/881; |
| 12) | « cybermenace importante», une cybermenace importante telle qu’elle est définie à l’article 6, point 11), de la directive (UE) 2022/2555; |
| 13) | « vulnérabilité», une vulnérabilité telle qu’elle est définie à l’article 6, point 15), de la directive (UE) 2022/2555; |
| 14) | «risque de cybersécurité», un risque tel qu’il est défini à l’article 6, point 9), de la directive (UE) 2022/2555; |
| 15) | « service_d’informatique_en_nuage», un service_d’informatique_en_nuage tel qu’il est défini à l’article 6, point 30), de la directive (UE) 2022/2555. |
Article 11
Tâches de l’IICB
Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:
| a) | fournir des orientations au chef du CERT-UE; |
| b) | suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE; |
| c) | à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier; |
| d) | mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union; |
| e) | approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre; |
| f) | approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci; |
| g) | approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE; |
| h) | approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service; |
| i) | examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds; |
| j) | approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi; |
| k) | approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18; |
| l) | adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction; |
| m) | créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs; |
| n) | recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité; |
| o) | faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement; |
| p) | compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles; |
| q) | établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets; |
| r) | coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2; |
| s) | adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité; |
Article 20
Modalités de partage d’informations en matière de cybersécurité
1. Les entités_de_l’Union peuvent volontairement faire part au CERT-UE des incidents, cybermenaces, incidents évités et vulnérabilités qui les touchent et lui transmettre des informations à leur propos. Le CERT-UE veille à ce que des moyens de communication efficaces, avec un niveau de traçabilité, de confidentialité et de fiabilité élevé, soient disponibles pour faciliter le partage d’informations avec les entités_de_l’Union. Lors du traitement des notifications, le CERT-UE peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Sans préjudice de l’article 12, une notification volontaire n’a pas pour effet d’imposer à l’entité de l’Union qui en est à l’origine des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.
2. Afin d’accomplir sa mission et les tâches qui lui sont confiées en vertu de l’article 13, le CERT-UE peut demander aux entités_de_l’Union de lui fournir des informations à partir de leurs inventaires respectifs des systèmes TIC, notamment des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission et aux alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les incidents. L’entité de l’Union requise transmet les informations demandées, ainsi que toute mise à jour ultérieure de celles-ci, dans les meilleurs délais.
3. Le CERT-UE peut échanger avec les entités_de_l’Union des informations propres à un incident qui révèlent l’identité de l’entité de l’Union touchée par cet incident sous réserve du consentement de l’entité de l’Union touchée. Lorsqu’une entité de l’Union n’accorde pas son consentement, elle fournit au CERT-UE les motifs de cette décision.
4. Les entités_de_l’Union partagent avec le Parlement européen et le Conseil, à leur demande, des informations sur l’achèvement des plans de cybersécurité.
5. L’IICB ou le CERT-UE, selon le cas, partage les orientations, les recommandations et les injonctions avec le Parlement européen et le Conseil, à leur demande.
6. Les obligations en matière de partage énoncées au présent article ne s’étendent pas:
| a) | aux ICUE; |
| b) | aux informations dont la distribution ultérieure a été exclue au moyen d’un marquage visible, à moins que le partage de celles-ci avec le CERT-UE ait été explicitement autorisé. |
whereas