keyboard_tab Cyber Resilience Act 2023/2841 FR
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Art. 8 Mesures de gestion des risques de cybersécurité
- 1 Art. 11 Tâches de l’IICB
- 2 Art. 15 Chef du CERT-UE
CHAPITRE I
DISPOSITIONS GENERALES
CHAPITRE II
MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE CYBERSECURITE
CHAPITRE III
CONSEIL INTERINSTITUTIONNEL DE CYBERSECURITE
CHAPITRE IV
CERT-UE
CHAPITRE V
OBLIGATIONS EN MATIERE DE COOPERATION ET DE COMMUNICATION D’INFORMATIONS
CHAPITRE VI
DISPOSITIONS FINALES
- entités de l’Union
- réseau et système d’information
- sécurité des réseaux et des systèmes d’information
- cybersécurité
- niveau hiérarchique le plus élevé
- incident évité
- incident
- incident majeur
- incident de cybersécurité majeur
- traitement des incidents
- cybermenace
- cybermenace importante
- vulnérabilité
- risque de cybersécurité
- service d’informatique en nuage
- cert-ue 35
- cybersécurité 27
- chef 17
- entités_de_l’union 16
- compris 13
- gestion 13
- risques 12
- mesures 11
- l’iicb 11
- services 11
- proposition 11
- sécurité 10
- niveau 10
- pour 10
- l’article 10
- compte 9
- dans 9
- mise 9
- matière 8
- approuver 8
- rapports 7
- œuvre 7
- incidents 7
- l’union 7
- activités 7
- échéant 6
- systèmes 6
- accords 6
- entre 5
- présent 5
- concernant 5
- règlement 5
- d’une 5
- catalogue 5
- chaque 5
- annuel 4
- base 4
- le 4
- régulièrement 4
- vulnérabilités 4
- adopter 4
- leur 4
- recommandations 4
- développement 4
- leurs 4
- jour 4
- logiciels 4
- d’approvisionnement 4
- politiques 4
- paragraphe 4
Article 8
Mesures de gestion des risques de cybersécurité
1. Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau_hiérarchique_le_plus_élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’ incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.
2. Les entités_de_l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:
| a) | la politique de cybersécurité, y compris les mesures nécessaires pour atteindre les objectifs et les priorités visés à l’article 6 et au paragraphe 3 du présent article; |
| b) | les politiques relatives à l’analyse des risques de cybersécurité et à la sécurité des systèmes d’information; |
| c) | les objectifs stratégiques concernant l’utilisation des services d’informatique en nuage; |
| d) | un audit de cybersécurité, le cas échéant, qui peut inclure une évaluation des risques de cybersécurité, de la vulnérabilité et des cybermenaces, et des tests d’intrusion effectués régulièrement par un fournisseur privé de confiance; |
| e) | la mise en œuvre des recommandations découlant des audits de cybersécurité visés au point d) au moyen de mises à jour de la cybersécurité et des politiques; |
| f) | l’organisation de la cybersécurité, y compris la définition des rôles et des responsabilités; |
| g) | la gestion des actifs, y compris l’inventaire des actifs TIC et la cartographie des réseaux TIC; |
| h) | la sécurité des ressources humaines et le contrôle d’accès; |
| i) | la sécurité des activités; |
| j) | la sécurité des communications; |
| k) | l’acquisition, le développement et la maintenance des systèmes, y compris les politiques de traitement et de divulgation des vulnérabilités; |
| l) | dans la mesure du possible, les politiques en matière de transparence du code source des systèmes; |
| m) | la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité de l’Union et ses fournisseurs ou prestataires de services directs; |
| n) | le traitement des incidents et la coopération avec le CERT-UE, par exemple la maintenance du suivi de la sécurité et de la journalisation; |
| o) | la gestion de la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises; et |
| p) | la promotion et le développement de programmes d’éducation, de renforcement des compétences, de sensibilisation, d’exercices et de formation en matière de cybersécurité. |
Aux fins du premier alinéa, point m), les entités_de_l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.
3. Les entités_de_l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:
| a) | les modalités techniques visant à permettre le télétravail et à en assurer la pérennité; |
| b) | des mesures concrètes pour progresser vers les principes de vérification systématique; |
| c) | l’utilisation de l’authentification à facteurs multiples comme norme dans l’ensemble des réseaux et des systèmes d’information; |
| d) | l’utilisation de la cryptographie et du chiffrement, en particulier le chiffrement de bout en bout, ainsi que les signatures numériques sécurisées; |
| e) | le cas échéant, des communications vocales, vidéo et textuelles sécurisées, et des systèmes de communication d’urgence sécurisés au sein de l’entité de l’Union; |
| f) | des mesures préventives de détection et de suppression des logiciels malveillants et des logiciels espions; |
| g) | la sécurisation de la chaîne d’approvisionnement des logiciels au moyen de critères pour le développement et l’évaluation sécurisés des logiciels; |
| h) | l’élaboration et l’adoption de programmes de formation à la cybersécurité en fonction des missions confiées et des capacités escomptées à l’intention du niveau_hiérarchique_le_plus_élevé et des membres du personnel de l’entité de l’Union chargés d’assurer la mise en œuvre effective du présent règlement; |
| i) | la formation régulière des membres du personnel à la cybersécurité; |
| j) | le cas échéant, la participation à des analyses des risques que présente l’interconnexion entre les entités_de_l’Union; |
| k) | le renforcement des règles de passation des marchés publics afin de faciliter un niveau élevé commun de cybersécurité par:
|
Article 11
Tâches de l’IICB
Lorsqu’il exerce ses responsabilités, l’IICB doit notamment:
| a) | fournir des orientations au chef du CERT-UE; |
| b) | suivre et superviser efficacement la mise en œuvre du présent règlement et aider les entités_de_l’Union à renforcer leur cybersécurité, y compris, le cas échéant, en demandant des rapports ad hoc aux entités_de_l’Union et au CERT-UE; |
| c) | à la suite de discussions stratégiques, adopter une stratégie pluriannuelle visant à relever le niveau de cybersécurité dans les entités_de_l’Union, l’évaluer régulièrement et en tout état de cause tous les cinq ans et, le cas échéant, la modifier; |
| d) | mettre au point la méthodologie et les aspects organisationnels concernant la réalisation d’évaluations volontaires par les pairs par les entités_de_l’Union, en vue de tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle, d’atteindre un niveau élevé commun de cybersécurité et de renforcer les capacités des entités_de_l’Union en matière de cybersécurité, en veillant à ce que ces évaluations par les pairs soient menées par des experts en cybersécurité désignés par une entité de l’Union différente de celle qui en fait l’objet et à ce que la méthodologie soit fondée sur l’article 19 de la directive (UE) 2022/2555 et soit, le cas échéant, adaptée aux entités_de_l’Union; |
| e) | approuver, sur la base d’une proposition du chef du CERT-UE, le programme de travail annuel du CERT-UE et en suivre la mise en œuvre; |
| f) | approuver, sur la base d’une proposition du chef du CERT-UE, le catalogue de services du CERT-UE et toute mise à jour de celui-ci; |
| g) | approuver, sur la base d’une proposition du chef du CERT-UE, la planification financière annuelle des recettes et des dépenses, y compris en matière d’effectifs, pour les activités du CERT-UE; |
| h) | approuver, sur la base d’une proposition du chef du CERT-UE, les modalités des accords de niveau de service; |
| i) | examiner et approuver le rapport annuel établi par le chef du CERT-UE concernant les activités du CERT-UE et sa gestion des fonds; |
| j) | approuver les indicateurs clés de performance (ICP) relatifs au CERT-UE qui sont définis sur proposition du chef du CERT-UE, et en assurer le suivi; |
| k) | approuver les accords de coopération et les accords ou contrats de niveau de service conclus entre le CERT-UE et d’autres entités conformément à l’article 18; |
| l) | adopter des orientations et des recommandations sur proposition du CERT-UE conformément à l’article 14 et donner instruction au CERT-UE d’élaborer, de retirer ou de modifier une proposition d’orientations ou de recommandations, ou une injonction; |
| m) | créer des groupes consultatifs techniques chargés de missions spécifiques afin d’assister l’IICB dans ses travaux, approuver leur mandat et désigner leurs présidents respectifs; |
| n) | recevoir et évaluer les documents et rapports présentés par les entités_de_l’Union au titre du présent règlement, tels que les évaluations de la maturité en matière de cybersécurité; |
| o) | faciliter la mise en place d’un groupe informel de responsables locaux de la cybersécurité des entités_de_l’Union, soutenu par l’ENISA, dans le but d’échanger de bonnes pratiques et des informations relatives à la mise en œuvre du présent règlement; |
| p) | compte tenu des informations fournies par le CERT-UE sur les risques de cybersécurité identifiés et les enseignements tirés, contrôler l’adéquation des dispositifs d’interconnexion entre les environnements TIC des entités_de_l’Union et donner des conseils sur les améliorations possibles; |
| q) | établir un plan de gestion des crises de cybersécurité en vue de soutenir, au niveau opérationnel, la gestion coordonnée des incidents majeurs affectant les entités_de_l’Union et de contribuer à l’échange régulier d’informations pertinentes, en particulier en ce qui concerne les conséquences et la gravité des incidents majeurs et les moyens possibles d’en atténuer les effets; |
| r) | coordonner l’adoption des plans individuels de gestion des crises de cybersécurité des entités_de_l’Union visés à l’article 9, paragraphe 2; |
| s) | adopter des recommandations concernant la sécurité des chaînes d’approvisionnement visée à l’article 8, paragraphe 2, premier alinéa, point m), compte tenu des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques visées à l’article 22 de la directive (UE) 2022/2555, afin d’aider les entités_de_l’Union à adopter des mesures efficaces et proportionnées en matière de gestion des risques de cybersécurité; |
Article 15
Chef du CERT-UE
1. La Commission, après avoir obtenu l’approbation d’une majorité des deux tiers des membres de l’IICB, désigne le chef du CERT-UE. L’IICB est consulté à tous les stades de la procédure de désignation, notamment en ce qui concerne l’établissement des avis de vacance, l’examen des candidatures et la désignation des comités de sélection relatifs au poste. La procédure de sélection, y compris la liste restreinte finale des candidats à partir de laquelle le chef du CERT-UE sera désigné, garantit une représentation juste de chaque sexe en tenant compte des candidatures présentées.
2. Le chef du CERT-UE est responsable du bon fonctionnement de celui-ci et agit dans le cadre de ses attributions et sous la direction de l’IICB. Le chef du CERT-UE communique régulièrement des rapports au président de l’IICB et présente des rapports ponctuels à l’IICB à sa demande.
3. Le chef du CERT-UE aide l’ordonnateur délégué compétent à élaborer le rapport annuel d’activités contenant des informations financières et de gestion, y compris les résultats des contrôles, établi conformément à l’article 74, paragraphe 9, du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (9), et rend régulièrement compte à l’ordonnateur délégué de la mise en œuvre des mesures pour lesquelles des pouvoirs ont été sous-délégués au chef du CERT-UE.
4. Le chef du CERT-UE établit chaque année une planification financière des recettes et dépenses administratives pour ses activités, une proposition de programme de travail annuel, une proposition de catalogue de services du CERT-UE, des propositions de révision du catalogue de services, une proposition de modalités des accords de niveau de service et une proposition d’IPC relatifs au CERT-UE en vue de leur approbation par l’IICB conformément à l’article 11. Lors de la révision de la liste des services figurant dans le catalogue de services du CERT-UE, le chef du CERT-UE tient compte des ressources allouées au CERT-UE.
5. Le chef du CERT-UE présente au moins une fois par an des rapports à l’IICB et au président de l’IICB sur les activités exercées et les résultats obtenus par le CERT-UE pendant la période de référence, notamment en ce qui concerne l’exécution du budget, les accords de niveau de service et les accords écrits conclus, la coopération avec les homologues et les partenaires, ainsi que les missions effectuées par le personnel, y compris les rapports visés à l’article 11. Ces rapports comprennent un programme de travail pour la période suivante, la planification financière des recettes et des dépenses, y compris en matière d’effectifs, les mises à jour prévues du catalogue des services du CERT-UE et une évaluation de l’incidence attendue de ces mises à jour pour les ressources financières et humaines.
whereas