Youtube Linkedin
Demandez-nous n'importe quoi
FR 🇫🇷
FR 🇫🇷 ENG 🇬🇧 SLO 🇸🇮 HR 🇭🇷 DE 🇩🇪
Consulter
Nis2Compliant.org
Parlez à un expert

Texte intégral de la directive NIS 2

Chapitre 1 – Dispositions générales

  1. La présente directive établit des mesures visant à atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union, en vue d'améliorer le fonctionnement du marché intérieur.
  2. À cette fin, la présente directive prévoit :

    • des obligations qui obligent les États membres à adopter des stratégies nationales de cybersécurité et à désigner ou établir des autorités compétentes, des autorités de gestion des cyber-crises, des points de contact uniques en matière de cybersécurité (points de contact uniques) et des équipes de réponse aux incidents de sécurité informatique (CSIRT);
    • mesures de gestion des risques de cybersécurité et obligations de déclaration pour les entités d'un type visé à l'annexe I ou II ainsi que pour les entités identifiées comme entités critiques au titre de la directive (UE) 2022/2557 ;
    • règles et obligations en matière de partage d'informations sur la cybersécurité ;
    • obligations de surveillance et d’exécution pour les États membres.
 
  1. La présente directive s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou II qui sont considérées comme des entreprises de taille moyenne au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds pour les entreprises de taille moyenne prévus pour au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

    L'article 3, paragraphe 4, de l'annexe de cette recommandation ne s'applique pas aux fins de la présente directive.

  2. Quelle que soit leur taille, la présente directive s'applique également aux entités d'un type visé à l'annexe I ou II, lorsque :
    1. les services sont fournis par :
      1. les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public ;
      2. prestataires de services de confiance ;
      3. registres de noms de domaine de premier niveau et fournisseurs de services de systèmes de noms de domaine ;
    2. l'entité est le seul fournisseur dans un État membre d'un service essentiel au maintien d'activités sociétales ou économiques critiques ;
    3. une interruption du service fourni par l'entité pourrait avoir un impact significatif sur la sûreté publique, la sécurité publique ou la santé publique ;
    4. une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où une telle perturbation pourrait avoir un impact transfrontalier ;
    5. l'entité est essentielle en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service particulier, ou pour d'autres secteurs interdépendants dans l'État membre ;
    6. l'entité est une entité de l'administration publique :
      1. du gouvernement central tel que défini par un État membre conformément au droit national ; ou
      2. au niveau régional tel que défini par un État membre conformément à la législation nationale qui, après une évaluation fondée sur les risques, fournit des services dont la perturbation pourrait avoir un impact significatif sur des activités sociétales ou économiques critiques.
  3. Quelle que soit leur taille, la présente directive s'applique aux entités identifiées comme entités critiques au sens de la directive (UE) 2022/2557.
  4. Quelle que soit leur taille, cette directive s'applique aux entités fournissant des services d'enregistrement de noms de domaine.
  5. Les États membres peuvent prévoir que la présente directive s'applique:
    1. les entités de l'administration publique au niveau local ;
    2. établissements d’enseignement, en particulier lorsqu’ils mènent des activités de recherche essentielles.
  6. La présente directive est sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de sauvegarder d'autres fonctions essentielles de l'État, notamment la garantie de l'intégrité territoriale de l'État et le maintien de l'ordre public.
  7. La présente directive ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou du maintien de l'ordre, y compris la prévention, les enquêtes, la détection et la poursuite des infractions pénales.
  8. Les États membres peuvent exempter certaines entités qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou du maintien de l'ordre, y compris la prévention, les enquêtes, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 7 du présent article, des obligations prévues au Article 21 ou 23 en ce qui concerne ces activités ou services. Dans de tels cas, les mesures de contrôle et d'exécution visées au chapitre VII ne s'appliquent pas à ces activités ou services spécifiques. Lorsque les entités exercent des activités ou fournissent des services exclusivement du type visé au présent paragraphe, les États membres peuvent également décider d'exempter ces entités des obligations prévues au Article 3 et 27.
  9. Les paragraphes 7 et 8 ne s'appliquent pas lorsqu'une entité agit en tant que prestataire de services de confiance.
  10. La présente directive ne s'applique pas aux entités que les États membres ont exemptées du champ d'application du règlement (UE) 2022/2554 conformément à l'article 2, paragraphe 4, de ce règlement.
  11. Les obligations prévues par la présente directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels de la sécurité nationale, de la sécurité publique ou de la défense des États membres.
  12. La présente directive s'applique sans préjudice du règlement (UE) 2016/679, de la directive 2002/58/CE et des directives 2011/93/UE. (27) et 2013/40/UE (28) du Parlement européen et du Conseil et la directive (UE) 2022/2557.
  13. Sans préjudice de l'article 346 du TFUE, les informations confidentielles en vertu des règles de l'Union ou nationales, telles que les règles relatives au secret des affaires, sont échangées avec la Commission et d'autres autorités compétentes conformément à la présente directive uniquement lorsque cet échange est nécessaire à l'application des présente directive. Les informations échangées sont limitées à celles qui sont pertinentes et proportionnées à l'objectif de cet échange. L'échange d'informations préserve la confidentialité de ces informations et protège la sécurité et les intérêts commerciaux des entités concernées.
  14. Les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la présente directive et conformément au règlement (UE) 2016/679, en particulier ce traitement repose sur l'article 6 de celle-ci. .

    Le traitement des données à caractère personnel en vertu de la présente directive par les fournisseurs de réseaux publics de communications électroniques ou les fournisseurs de services de communications électroniques accessibles au public est effectué conformément au droit de l'Union en matière de protection des données et au droit de l'Union en matière de protection de la vie privée, en particulier la directive 2002/58/CE.

(27) Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants ainsi que la pédopornographie, et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
(28) Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
 
  1. Aux fins de la présente directive, les entités suivantes sont considérées comme des entités essentielles :
    1. les entités d'un type visé à l'annexe I qui dépassent les plafonds pour les entreprises de taille moyenne prévus à l'article 2, paragraphe 1, de l'annexe de la recommandation 2003/361/CE ;
    2. les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les prestataires de services DNS, quelle que soit leur taille ;
    3. les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public qui sont considérés comme des entreprises de taille moyenne au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE ;
    4. les entités de l'administration publique visées à l'article 2, paragraphe 2, point f) i);
    5. toute autre entité d'un type visé à l'annexe I ou II qui est identifiée par un État membre comme entité essentielle conformément à l'article 2, paragraphe 2, points b) à e);
    6. les entités identifiées comme entités critiques au sens de la directive (UE) 2022/2557, visée à l'article 2, paragraphe 3, de la présente directive ;
    7. si l'État membre le prévoit, les entités que cet État membre a identifiées avant le 16 janvier 2023 comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 ou au droit national.
  2. Aux fins de la présente directive, les entités d'un type visé à l'annexe I ou II qui ne sont pas considérées comme des entités essentielles au sens du paragraphe 1 du présent article sont considérées comme des entités importantes. Cela inclut les entités identifiées par les États membres comme des entités importantes conformément à l'article 2, paragraphe 2, points (b) à (e).
  3. D'ici le 17 avril 2025, les États membres établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d'enregistrement de noms de domaine. Les États membres réexaminent et, le cas échéant, mettent à jour cette liste régulièrement, puis au moins tous les deux ans.
  4.  Aux fins de l'établissement de la liste visée au paragraphe 3, les États membres exigent que les entités visées dans ce paragraphe soumettent au moins les informations suivantes aux autorités compétentes:
    1. le nom de l'entité ;
    2. l'adresse et les coordonnées à jour, y compris les adresses e-mail, les plages IP et les numéros de téléphone ;
    3. le cas échéant, le secteur et le sous-secteur concernés visés à l'annexe I ou II; et
    4. le cas échéant, une liste des États membres dans lesquels ils fournissent des services entrant dans le champ d'application de la présente directive.

    Les entités visées au paragraphe 3 notifient sans délai toute modification apportée aux informations soumises conformément au premier alinéa du présent paragraphe et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

    La Commission, avec l'aide de l'Agence de l'Union européenne pour la cybersécurité (ENISA), fournit sans retard injustifié des lignes directrices et des modèles concernant les obligations énoncées dans le présent paragraphe.

    Les États membres peuvent établir des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

  5. Au plus tard le 17 avril 2025 et tous les deux ans par la suite, les autorités compétentes notifient :
    1. à la Commission et au groupe de coopération le nombre d'entités essentielles et importantes énumérées conformément au paragraphe 3 pour chaque secteur et sous-secteur visé à l'annexe I ou II; et
    2. à la Commission des informations pertinentes sur le nombre d'entités essentielles et importantes identifiées conformément à l'article 2, paragraphe 2, points b) à e), le secteur et le sous-secteur visés à l'annexe I ou II auxquels elles appartiennent, le type de service qu'ils fournissent, ainsi que la prestation, parmi celles prévues à l'article 2, paragraphe 2, points b) à e), en vertu de laquelle ils ont été identifiés.
  6. Jusqu'au 17 avril 2025 et à la demande de la Commission, les États membres peuvent notifier à la Commission les noms des entités essentielles et importantes visées au paragraphe 5, point b).
  1. Lorsque des actes juridiques sectoriels de l'Union imposent aux entités essentielles ou importantes d'adopter des mesures de gestion des risques de cybersécurité ou de notifier des incidents significatifs et lorsque ces exigences ont un effet au moins équivalent aux obligations établies dans la présente directive, les dispositions pertinentes de la présente directive, y compris les dispositions relatives à la surveillance et à l'exécution prévues au chapitre VII, ne s'appliquent pas à ces entités. Lorsque les actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la présente directive, les dispositions pertinentes de la présente directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.
  2. Les exigences visées au paragraphe 1 du présent article sont considérées comme ayant un effet équivalent aux obligations énoncées dans la présente directive lorsque:
    1. les mesures de gestion des risques de cybersécurité ont un effet au moins équivalent à celles prévues à l'article 21, paragraphes 1 et 2 ; ou
    2. l'acte juridique sectoriel de l'Union prévoit un accès immédiat, le cas échéant automatique et direct, aux notifications d'incidents par les CSIRT, les autorités compétentes ou les points de contact uniques au titre de la présente directive et lorsque les exigences de notification des incidents significatifs sont au moins équivalentes dans effet à ceux prévus à l’article 23, paragraphes 1 à 6, de la présente directive.
  3. La Commission fournit, au plus tard le 17 juillet 2023, des lignes directrices clarifiant l’application des paragraphes 1 et 2. La Commission réexamine ces lignes directrices sur une base régulière. Lors de l'élaboration de ces lignes directrices, la Commission tient compte de toute observation du groupe de coopération et de l'ENISA.
 

La présente directive n'empêche pas les États membres d'adopter ou de maintenir des dispositions garantissant un niveau plus élevé de cybersécurité, pour autant que ces dispositions soient compatibles avec les obligations des États membres prévues par le droit de l'Union.

Aux fins de la présente directive, les définitions suivantes s'appliquent :

  1. «réseau et système d'information»:
    1. un réseau de communications électroniques tel que défini à l'article 2, point (1), de la directive (UE) 2018/1972 ;
    2. tout appareil ou groupe d'appareils interconnectés ou associés dont un ou plusieurs, en exécution d'un programme, effectuent un traitement automatique de données numériques ; ou
    3. les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points (a) et (b) aux fins de leur exploitation, utilisation, protection et maintenance ;
  2. "sécurité des réseaux et des systèmes d'information", la capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services. proposés par ou accessibles via ces réseaux et systèmes d'information ;
  3. « cybersécurité » : la cybersécurité telle que définie à l'article 2, point (1), du règlement (UE) 2019/881 ;
  4. "stratégie nationale de cybersécurité", un cadre cohérent d'un État membre définissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité ainsi que la gouvernance permettant de les atteindre dans cet État membre ;
  5. «quasi-accident», un événement qui aurait pu compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par, ou accessibles via, les réseaux et les systèmes d'information, mais qui a été empêché avec succès de se matérialiser ou cela ne s’est pas concrétisé ;
  6. « incident » : un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts ou accessibles via les réseaux et les systèmes d'information ;
  7. "incident de cybersécurité à grande échelle": un incident qui provoque un niveau de perturbation qui dépasse la capacité d'un État membre à y répondre ou qui a un impact significatif sur au moins deux États membres;
  8. « gestion des incidents » : toutes les actions et procédures visant à prévenir, détecter, analyser et contenir ou à répondre à un incident et à s'en remettre ;
  9. « risque » désigne le potentiel de perte ou de perturbation causée par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité de survenance de l'incident ;
  10. « cybermenace » : une cybermenace telle que définie à l'article 2, point (8), du règlement (UE) 2019/881 ;
  11. « cybermenace significative » : une cybermenace qui, sur la base de ses caractéristiques techniques, peut être considérée comme susceptible d'avoir un impact grave sur le réseau et les systèmes d'information d'une entité ou sur les utilisateurs des services de l'entité en provoquant des dommages matériels ou considérables. les dommages immatériels ;
  12. « Produit TIC » : un produit TIC tel que défini à l'article 2, point (12), du règlement (UE) 2019/881 ;
  13. « Service TIC » : un service TIC tel que défini à l'article 2, point (13), du règlement (UE) 2019/881 ;
  14. « processus TIC » : un processus TIC tel que défini à l'article 2, point (14), du règlement (UE) 2019/881 ;
  15. « vulnérabilité » : une faiblesse, une susceptibilité ou un défaut des produits TIC ou des services TIC qui peuvent être exploités par une cybermenace ;
  16. «norme», une norme telle que définie à l'article 2, point (1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil (29);
  17. « spécification technique » : une spécification technique telle que définie à l'article 2, point (4), du règlement (UE) n° 1025/2012 ;
  18. «point d'échange Internet», une installation de réseau qui permet l'interconnexion de plus de deux réseaux indépendants (systèmes autonomes), principalement dans le but de faciliter l'échange de trafic Internet, qui assure l'interconnexion uniquement pour les systèmes autonomes et qui ne nécessite aucun trafic Internet. passer entre n'importe quelle paire de systèmes autonomes participants pour traverser un système autonome tiers, ni modifier ou interférer de toute autre manière avec ce trafic ;
  19. « système de noms de domaine » ou « DNS » : un système de dénomination hiérarchique distribué qui permet l'identification de services et de ressources Internet, permettant ainsi aux appareils des utilisateurs finaux d'utiliser les services de routage et de connectivité Internet pour accéder à ces services et ressources ;
  20. « Fournisseur de services DNS » désigne une entité qui fournit :
    1. services de résolution récursive de noms de domaine accessibles au public pour les utilisateurs finaux d'Internet ; ou
    2. services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l'exception des serveurs de noms racine ;
  21. «registre de noms de domaine de premier niveau» ou «registre de noms de TLD» désigne une entité à laquelle un TLD spécifique a été délégué et qui est responsable de l'administration du TLD, y compris de l'enregistrement des noms de domaine sous le TLD et du fonctionnement technique du TLD, y compris le l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone TLD entre les serveurs de noms, indépendamment du fait que l'une de ces opérations soit effectuée par l'entité elle-même ou soit externalisée, mais à l'exclusion des situations dans lesquelles les noms TLD sont utilisés par un registre uniquement pour son propre usage ;
  22. « entité fournissant des services d'enregistrement de noms de domaine » : un bureau d'enregistrement ou un agent agissant au nom de bureaux d'enregistrement, tel qu'un fournisseur ou un revendeur de services d'enregistrement de confidentialité ou de proxy ;
  23. «service numérique», un service tel que défini à l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (30);
  24. "service de confiance": un service de confiance tel que défini à l'article 3, point (16), du règlement (UE) n° 910/2014 ;
  25. « prestataire de services de confiance » : un prestataire de services de confiance tel que défini à l'article 3, point (19), du règlement (UE) n° 910/2014 ;
  26. "service de confiance qualifié": un service de confiance qualifié tel que défini à l'article 3, point (17), du règlement (UE) n° 910/2014 ;
  27. « prestataire de services de confiance qualifié » : un prestataire de services de confiance qualifié tel que défini à l'article 3, point (20), du règlement (UE) n° 910/2014 ;
  28. «place de marché en ligne», une place de marché en ligne telle que définie à l'article 2, point (n), de la directive 2005/29/CE du Parlement européen et du Conseil. (31);
  29. «moteur de recherche en ligne», un moteur de recherche en ligne tel que défini à l'article 2, point (5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil (32);
  30. « service de cloud computing » : un service numérique qui permet une administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites ;
  31. «service de centre de données», un service qui englobe des structures, ou des groupes de structures, dédiés à l'hébergement, à l'interconnexion et à l'exploitation centralisés d'équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport de données ainsi que toutes les installations et infrastructures de distribution d'énergie et contrôle environnemental;
  32. « réseau de diffusion de contenu » : un réseau de serveurs géographiquement répartis visant à garantir la haute disponibilité, l'accessibilité ou la fourniture rapide de contenus et de services numériques aux utilisateurs d'Internet pour le compte de fournisseurs de contenu et de services ;
  33. « plateforme de services de réseaux sociaux » : une plate-forme qui permet aux utilisateurs finaux de se connecter, de partager, de se découvrir et de communiquer entre eux sur plusieurs appareils, notamment via des chats, des publications, des vidéos et des recommandations ;
  34. «représentant», une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un fournisseur de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un fournisseur de services de cloud computing, d'un fournisseur de services de centre de données, un fournisseur de réseau de diffusion de contenu, un fournisseur de services gérés, un fournisseur de services de sécurité gérés ou un fournisseur d'un marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseaux sociaux qui n'est pas établi dans l'Union, qui peut être adressé par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations de cette entité en vertu de la présente directive ;
  35. « entité de l'administration publique » : une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion du pouvoir judiciaire, des parlements ou des banques centrales, qui satisfait aux critères suivants :
    1. elle est créée en vue de répondre à des besoins d'intérêt général et ne présente aucun caractère industriel ou commercial ;
    2. il a la personnalité juridique ou est habilité par la loi à agir pour le compte d'une autre entité dotée de la personnalité juridique ;
    3. elle est financée en majeure partie par l'État, les collectivités territoriales ou par d'autres organismes de droit public, est soumise au contrôle de gestion de ces collectivités ou organismes, ou est dotée d'un conseil d'administration, de direction ou de surveillance dont plus de la moitié des membres les membres sont nommés par l'État, les collectivités territoriales ou par d'autres organismes de droit public ;
    4. elle a le pouvoir d'adresser aux personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits dans la circulation transfrontalière des personnes, des biens, des services ou des capitaux ;
  36. « réseau public de communications électroniques » : un réseau public de communications électroniques tel que défini à l'article 2, point (8), de la directive (UE) 2018/1972 ;
  37. « service de communications électroniques » : un service de communications électroniques tel que défini à l'article 2, point (4), de la directive (UE) 2018/1972 ;
  38. « entité » : une personne physique ou morale créée et reconnue comme telle en vertu du droit national de son lieu d'établissement, qui peut, agissant sous son propre nom, exercer des droits et être soumise à des obligations ;
  39. « prestataire de services gérés », une entité qui fournit des services liés à l'installation, à la gestion, à l'exploitation ou à la maintenance de produits, réseaux, infrastructures, applications ou tout autre réseau et système d'information TIC, via une assistance ou une administration active effectuée soit dans les locaux du client. ou à distance ;
  40. « prestataire de services de sécurité gérés », un fournisseur de services gérés qui exécute ou fournit une assistance pour des activités liées à la gestion des risques de cybersécurité ;
  41. «organisme de recherche», une entité dont l'objectif principal est de mener des recherches appliquées ou un développement expérimental en vue d'exploiter les résultats de ces recherches à des fins commerciales, mais qui n'inclut pas les établissements d'enseignement.
(29) Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil et les directives 94/9/CE, 94/25/ CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et de la Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
(30) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p.1).
(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 concernant les pratiques commerciales déloyales des entreprises envers les consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil, les directives 97/7/CE, 98/ 27/CE et 2002/65/CE du Parlement européen et du Conseil et règlement (CE) n° 2006/2004 du Parlement européen et du Conseil (« directive sur les pratiques commerciales déloyales ») (JO L 149 du 11.6.2005) , p.22).
(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 visant à promouvoir l'équité et la transparence pour les entreprises utilisatrices de services d'intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).

Chapitre 2 – Cadres coordonnés de cybersécurité

  1. Chaque État membre adopte une stratégie nationale de cybersécurité qui prévoit les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs, ainsi que les mesures politiques et réglementaires appropriées, en vue d'atteindre et de maintenir un niveau élevé de cybersécurité. La stratégie nationale de cybersécurité comprend :
    1. les objectifs et priorités de la stratégie de cybersécurité de l'État membre couvrant notamment les secteurs visés aux annexes I et II;
    2. un cadre de gouvernance pour atteindre les objectifs et les priorités visés au point (a) du présent paragraphe, y compris les politiques visées au paragraphe 2 ;
    3. un cadre de gouvernance clarifiant les rôles et responsabilités des parties prenantes concernées au niveau national, soutenant la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT au titre de la présente directive, ainsi que la coordination et la coopération entre ces organismes et autorités compétentes en vertu d'actes juridiques de l'Union spécifiques à un secteur;
    4. un mécanisme permettant d'identifier les actifs pertinents et une évaluation des risques dans cet État membre ;
    5. une identification des mesures garantissant la préparation, la réactivité et le rétablissement suite à des incidents, y compris la coopération entre les secteurs public et privé ;
    6. une liste des différentes autorités et parties prenantes impliquées dans la mise en œuvre de la stratégie nationale de cybersécurité ;
    7. un cadre politique pour une coordination renforcée entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 aux fins du partage d'informations sur les risques, les cybermenaces et les incidents ainsi que sur les risques, menaces et incidents non cybernétiques. les incidents et l'exercice de tâches de surveillance, le cas échéant ;
    8. un plan, comprenant les mesures nécessaires, pour améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.
  2.  Dans le cadre de la stratégie nationale de cybersécurité, les États membres adoptent notamment des politiques :
    1. aborder la cybersécurité dans la chaîne d'approvisionnement des produits et services TIC utilisés par les entités pour la fourniture de leurs services ;
    2. sur l'inclusion et la spécification d'exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris en ce qui concerne la certification de cybersécurité, le cryptage et l'utilisation de produits de cybersécurité open source ;
    3. gestion des vulnérabilités, englobant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités dans le cadre Article 12, paragraphe 1;
    4. liés au maintien de la disponibilité générale, de l'intégrité et de la confidentialité du noyau public de l'internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins ;
    5. promouvoir le développement et l'intégration de technologies avancées pertinentes visant à mettre en œuvre des mesures de pointe en matière de gestion des risques en matière de cybersécurité ;
    6. promouvoir et développer l'éducation et la formation sur la cybersécurité, les compétences en matière de cybersécurité, les initiatives de sensibilisation et de recherche et développement, ainsi que les orientations sur les bonnes pratiques et contrôles en matière de cyberhygiène, destinées aux citoyens, aux parties prenantes et aux entités ;
    7. aider les établissements universitaires et de recherche à développer, améliorer et promouvoir le déploiement d'outils de cybersécurité et d'infrastructures de réseau sécurisées ;
    8. y compris des procédures pertinentes et des outils de partage d'informations appropriés pour soutenir le partage volontaire d'informations sur la cybersécurité entre entités conformément au droit de l'Union;
    9. renforcer la cyber-résilience et les bases de cyber-hygiène des petites et moyennes entreprises, en particulier celles exclues du champ d'application de la présente directive, en fournissant des orientations et une assistance facilement accessibles pour leurs besoins spécifiques ;
    10. promouvoir une cyberprotection active.
  3. Les États membres notifient leurs stratégies nationales de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure de ces notifications les informations liées à leur sécurité nationale.
  4. Les États membres évaluent régulièrement et au moins tous les cinq ans leurs stratégies nationales de cybersécurité sur la base d'indicateurs de performance clés et, si nécessaire, les mettent à jour. L'ENISA assiste les États membres, à leur demande, dans l'élaboration ou la mise à jour d'une stratégie nationale de cybersécurité et d'indicateurs de performance clés pour l'évaluation de cette stratégie, afin de l'aligner sur les exigences et obligations énoncées dans la présente directive.
  1. Chaque État membre désigne ou établit une ou plusieurs autorités compétentes responsables de la cybersécurité et des tâches de surveillance visées au chapitre VII (autorités compétentes).
  2. Les autorités compétentes visées au paragraphe 1 contrôlent la mise en œuvre de la présente directive au niveau national.
  3. Chaque État membre désigne ou établit un point de contact unique. Lorsqu'un État membre désigne ou établit une seule autorité compétente conformément au paragraphe 1, cette autorité compétente est également le point de contact unique pour cet État membre.
  4. Chaque point de contact unique exerce une fonction de liaison pour assurer la coopération transfrontalière des autorités de son État membre avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l'ENISA, ainsi que pour assurer la coopération transsectorielle. avec d'autres autorités compétentes au sein de son État membre.
  5. Les États membres veillent à ce que leurs autorités compétentes et leurs points de contact uniques disposent de ressources adéquates pour mener à bien les tâches qui leur sont confiées de manière efficace et efficiente et ainsi atteindre les objectifs de la présente directive.
  6. Chaque État membre informe sans retard indu la Commission de l'identité de l'autorité compétente visée au paragraphe 1 et du point de contact unique visé au paragraphe 3, des tâches de ces autorités ainsi que de toute modification ultérieure de celles-ci. Chaque État membre rend publique l'identité de son autorité compétente. La Commission rend publique une liste des points de contact uniques.
  1. Chaque État membre désigne ou établit une ou plusieurs autorités compétentes chargées de la gestion des incidents et des crises de cybersécurité à grande échelle (autorités de gestion des cyber-crises). Les États membres veillent à ce que ces autorités disposent de ressources adéquates pour mener à bien les tâches qui leur sont confiées de manière efficace et efficiente. Les États membres veillent à la cohérence avec les cadres existants pour la gestion générale des crises au niveau national.
  2. Lorsqu'un État membre désigne ou établit plusieurs autorités de gestion des crises de cybersécurité conformément au paragraphe 1, il indique clairement laquelle de ces autorités doit faire office de coordinateur pour la gestion des incidents et des crises de cybersécurité à grande échelle.
  3. Chaque État membre identifie les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise aux fins de la présente directive.
  4. Chaque État membre adopte un plan national de réponse aux incidents et crises de cybersécurité à grande échelle, dans lequel sont fixés les objectifs et les modalités de gestion des incidents et crises de cybersécurité à grande échelle. Ce plan prévoit notamment :
    1. les objectifs des mesures et activités nationales de préparation ;
    2. les tâches et responsabilités des autorités de gestion de crise cyber ;
    3. les procédures de gestion des crises cyber, y compris leur intégration dans le cadre général national de gestion des crises et les canaux d'échange d'informations ;
    4. des mesures nationales de préparation, y compris des exercices et des activités de formation ;
    5. les acteurs publics et privés concernés et les infrastructures impliquées ;
    6. les procédures et arrangements nationaux entre les autorités et organismes nationaux concernés pour garantir la participation effective de l'État membre et son soutien à la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau de l'Union.
  5. Dans les trois mois suivant la désignation ou la création de l'autorité de gestion de crise cyber visée au paragraphe 1, chaque État membre notifie à la Commission l'identité de son autorité et toute modification ultérieure de celle-ci. Les États membres soumettent à la Commission et au réseau européen d'organisations de liaison en cas de cyber-crise (EU-CyCLONe) les informations pertinentes relatives aux exigences du paragraphe 4 concernant leurs plans nationaux de réponse aux incidents de cybersécurité et aux crises à grande échelle dans les trois mois suivant l'adoption de ces plans. des plans. Les États membres peuvent exclure des informations lorsque et dans la mesure où une telle exclusion est nécessaire pour leur sécurité nationale.
  1. Chaque État membre désigne ou crée un ou plusieurs CSIRT. Les CSIRT peuvent être désignés ou établis au sein d'une autorité compétente. Les CSIRT doivent se conformer aux exigences énoncées dans Article 11, paragraphe 1, couvre au moins les secteurs, sous-secteurs et types d'entités visés aux annexes I et II et est responsable du traitement des incidents conformément à un processus bien défini.
  2. Les États membres veillent à ce que chaque CSIRT dispose de ressources adéquates pour mener à bien ses tâches telles que définies dans Article 11, paragraphe 3.
  3. Les États membres veillent à ce que chaque CSIRT dispose d'une infrastructure de communication et d'information appropriée, sécurisée et résiliente grâce à laquelle échanger des informations avec des entités essentielles et importantes et d'autres parties prenantes concernées. À cette fin, les États membres veillent à ce que chaque CSIRT contribue au déploiement d'outils sécurisés de partage d'informations.
  4. Les CSIRT coopèrent et, le cas échéant, échangent des informations pertinentes conformément aux Article 29 avec des communautés sectorielles ou intersectorielles d’entités essentielles et importantes.
  5. Les CSIRT participent aux revues par les pairs organisées conformément aux Article 19.
  6. Les États membres veillent à la coopération efficace, efficiente et sûre de leurs CSIRT au sein du réseau des CSIRT.
  7. Les CSIRT peuvent établir des relations de coopération avec les équipes nationales de réponse aux incidents de sécurité informatique de pays tiers. Dans le cadre de ces relations de coopération, les États membres facilitent un échange d'informations efficace, efficient et sécurisé avec les équipes nationales de réponse aux incidents de sécurité informatique de ces pays tiers, en utilisant les protocoles de partage d'informations pertinents, y compris le protocole des feux tricolores. Les CSIRT peuvent échanger des informations pertinentes avec les équipes nationales de réponse aux incidents de sécurité informatique des pays tiers, y compris des données à caractère personnel, conformément à la législation de l'Union sur la protection des données.
  8. Les CSIRT peuvent coopérer avec les équipes nationales de réponse aux incidents de sécurité informatique de pays tiers ou avec des organismes équivalents de pays tiers, notamment en vue de leur fournir une assistance en matière de cybersécurité.
  9. Chaque État membre communique sans délai à la Commission l'identité du CSIRT visé au paragraphe 1 du présent article et du CSIRT désigné comme coordinateur conformément à Article 12, paragraphe 1, de leurs tâches respectives par rapport aux entités essentielles et importantes, ainsi que de toute modification ultérieure de celles-ci.
  10. Les États membres peuvent demander l'assistance de l'ENISA pour développer leurs CSIRT.
  1. Les CSIRT doivent répondre aux exigences suivantes :
    1. les CSIRT assureront un haut niveau de disponibilité de leurs canaux de communication en évitant les points de défaillance uniques et disposeront de plusieurs moyens pour être contactés et pour contacter les autres à tout moment ; ils préciseront clairement les canaux de communication et les feront connaître aux partenaires constitutifs et coopératifs ;
    2. les locaux des CSIRT et les systèmes d'information qui les soutiennent sont situés dans des sites sécurisés ;
    3. les CSIRT sont équipés d'un système approprié de gestion et d'acheminement des demandes, notamment pour faciliter des transferts efficaces et efficients ;
    4. les CSIRT garantissent la confidentialité et la fiabilité de leurs opérations ;
    5. les CSIRT doivent être dotés d'un personnel suffisant pour garantir la disponibilité de leurs services à tout moment et ils doivent veiller à ce que leur personnel soit formé de manière appropriée ;
    6. les CSIRT seront équipés de systèmes redondants et d'espaces de travail de secours pour assurer la continuité de leurs services.

    Les CSIRT peuvent participer à des réseaux de coopération internationale.

  2. Les États membres veillent à ce que leurs CSIRT disposent conjointement des capacités techniques nécessaires pour mener à bien les tâches visées au paragraphe 3. Les États membres veillent à ce que des ressources suffisantes soient allouées à leurs CSIRT pour garantir des niveaux d'effectifs adéquats afin de permettre aux CSIRT de développer leurs capacités techniques.
  3.  Les CSIRT auront les missions suivantes :
    1. surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, fournir une assistance aux entités essentielles et importantes concernées en matière de surveillance en temps réel ou quasi-réel de leur réseau et de leurs systèmes d'information ;
    2. fournir des alertes précoces, des alertes, des annonces et diffuser des informations aux entités essentielles et importantes concernées ainsi qu'aux autorités compétentes et autres parties prenantes concernées sur les cybermenaces, les vulnérabilités et les incidents, si possible en temps quasi réel ;
    3. répondre aux incidents et fournir une assistance aux entités essentielles et importantes concernées, le cas échéant ;
    4. collecte et analyse de données médico-légales et fourniture d'analyses dynamiques des risques et des incidents ainsi que d'une connaissance de la situation en matière de cybersécurité;
    5. réaliser, à la demande d’une entité essentielle ou importante, une analyse proactive du réseau et des systèmes d’information de l’entité concernée afin de détecter les vulnérabilités ayant un impact potentiellement significatif ;
    6. participer au réseau des CSIRT et apporter une assistance mutuelle selon leurs capacités et compétences aux autres membres du réseau des CSIRT à leur demande ;
    7. le cas échéant, agir à titre de coordinateur aux fins de la divulgation coordonnée des vulnérabilités en vertu Article 12, paragraphe 1;
    8. contribuer au déploiement d’outils sécurisés de partage d’informations conformément aux Article 10, paragraphe 3.

    Les CSIRT peuvent effectuer une analyse proactive et non intrusive des réseaux et des systèmes d'information accessibles au public des entités essentielles et importantes. Une telle analyse est effectuée pour détecter les réseaux et systèmes d'information vulnérables ou configurés de manière non sécurisée et en informer les entités concernées. Une telle analyse ne devra avoir aucun impact négatif sur le fonctionnement des services des entités.

    Lors de l'exécution des tâches visées au premier alinéa, les CSIRT peuvent prioriser des tâches particulières sur la base d'une approche basée sur les risques.

  4. Les CSIRT établissent des relations de coopération avec les parties prenantes concernées du secteur privé, en vue d'atteindre les objectifs de la présente directive.
  5. Afin de faciliter la coopération visée au paragraphe 4, les CSIRT favorisent l'adoption et l'utilisation de pratiques, de systèmes de classification et de taxonomies communs ou standardisés en ce qui concerne :
    1. procédures de gestion des incidents ;
    2. gestion de crise; et
    3. divulgation coordonnée des vulnérabilités dans le cadre Article 12, paragraphe 1.
  1. Chaque État membre désigne l'un de ses CSIRT comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné comme coordinateur agit en tant qu'intermédiaire de confiance, facilitant, le cas échéant, l'interaction entre la personne physique ou morale signalant une vulnérabilité et le fabricant ou le fournisseur des produits TIC ou des services TIC potentiellement vulnérables, à la demande de l'une ou l'autre des parties. Les tâches du CSIRT désigné comme coordinateur comprendront :
    1. identifier et contacter les entités concernées ;
    2. assister les personnes physiques ou morales signalant une vulnérabilité ; et
    3. négocier les délais de divulgation et gérer les vulnérabilités qui affectent plusieurs entités.

    Les États membres veillent à ce que les personnes physiques ou morales puissent signaler, de manière anonyme lorsqu'elles le demandent, une vulnérabilité au CSIRT désigné comme coordinateur. Le CSIRT désigné comme coordinateur veille à ce qu'un suivi diligent soit effectué concernant la vulnérabilité signalée et veille à l'anonymat de la personne physique ou morale signalant la vulnérabilité. Lorsqu'une vulnérabilité signalée pourrait avoir un impact significatif sur des entités dans plusieurs États membres, le CSIRT désigné comme coordinateur de chaque État membre concerné coopère, le cas échéant, avec d'autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT.

  2.  L'ENISA développe et maintient, après consultation du groupe de coopération, une base de données européenne sur les vulnérabilités. À cette fin, l'ENISA établit et maintient les systèmes d'information, les politiques et les procédures appropriés et adopte les mesures techniques et organisationnelles nécessaires pour garantir la sécurité et l'intégrité de la base de données européenne sur les vulnérabilités, en vue notamment de permettre aux entités, indépendamment de s'ils relèvent du champ d'application de la présente directive, ainsi que leurs fournisseurs de réseaux et de systèmes d'information, à divulguer et à enregistrer, sur une base volontaire, les vulnérabilités connues du public dans les produits ou services TIC. Toutes les parties prenantes ont accès aux informations sur les vulnérabilités contenues dans la base de données européenne sur les vulnérabilités. Cette base de données comprend:
    1. des informations décrivant la vulnérabilité ;
    2. les produits TIC ou services TIC concernés et la gravité de la vulnérabilité en termes de circonstances dans lesquelles ils peuvent être exploités ;
    3. la disponibilité des correctifs associés et, en l'absence de correctifs disponibles, les orientations fournies par les autorités compétentes ou les CSIRT adressées aux utilisateurs de produits TIC et de services TIC vulnérables sur la manière dont les risques résultant de vulnérabilités divulguées peuvent être atténués.
  1. Lorsqu'ils sont distincts, les autorités compétentes, le point de contact unique et les CSIRT d'un même État membre coopèrent entre eux en ce qui concerne le respect des obligations prévues par la présente directive.
  2. Les États membres veillent à ce que leurs CSIRT ou, le cas échéant, leurs autorités compétentes, reçoivent les notifications d'incidents significatifs conformément aux Article 23, et les incidents, cybermenaces et quasi-accidents conformément à Article 30.
  3. Les États membres veillent à ce que leurs CSIRT ou, le cas échéant, leurs autorités compétentes informent leurs points de contact uniques des notifications d'incidents, de cybermenaces et de quasi-accidents soumises conformément à la présente directive.
  4. Afin de garantir que les tâches et obligations des autorités compétentes, des guichets uniques et des CSIRT soient exécutées efficacement, les États membres assurent, dans la mesure du possible, une coopération appropriée entre ces organismes et les autorités répressives, les autorités de protection des données , les autorités nationales en vertu des règlements (CE) n° 300/2008 et (UE) 2018/1139, les organes de contrôle en vertu du règlement (UE) n° 910/2014, les autorités compétentes en vertu du règlement (UE) 2022/2554, les autorités de régulation nationales en vertu de la directive (UE) 2018/1972, les autorités compétentes en vertu de la directive (UE) 2022/2557, ainsi que les autorités compétentes en vertu d'autres actes juridiques sectoriels de l'Union, au sein de cet État membre.
  5. Les États membres veillent à ce que leurs autorités compétentes au titre de la présente directive et leurs autorités compétentes au titre de la directive (UE) 2022/2557 coopèrent et échangent régulièrement des informations en ce qui concerne l'identification des entités critiques, ainsi que les risques, les cybermenaces et les incidents. ainsi que sur les risques, menaces et incidents non cybernétiques affectant les entités identifiées comme entités critiques au titre de la directive (UE) 2022/2557, ainsi que sur les mesures prises en réponse à ces risques, menaces et incidents. Les États membres veillent également à ce que leurs autorités compétentes au titre de la présente directive et leurs autorités compétentes au titre du règlement (UE) n° 910/2014, du règlement (UE) 2022/2554 et de la directive (UE) 2018/1972 échangent régulièrement des informations pertinentes, y compris en ce qui concerne les incidents pertinents et les cybermenaces.
  6. Les États membres simplifient la déclaration au moyen de moyens techniques pour les notifications visées au Article 23 et 30.

Chapitre 3 – Coopération au niveau syndical et international

  1. Afin de soutenir et de faciliter la coopération stratégique et l'échange d'informations entre les États membres, ainsi que de renforcer la confiance, un groupe de coopération est créé.
  2. Le groupe de coopération exécute ses tâches sur la base des programmes de travail biennaux visés au paragraphe 7.
  3. Le groupe de coopération est composé de représentants des États membres, de la Commission et de l'ENISA. Le Service européen pour l'action extérieure participe aux activités du groupe de coopération en qualité d'observateur. Les autorités européennes de surveillance (AES) et les autorités compétentes en vertu du règlement (UE) 2022/2554 peuvent participer aux activités du groupe de coopération conformément à l'article 47, paragraphe 1, de ce règlement.

    Le cas échéant, le groupe de coopération peut inviter le Parlement européen et les représentants des parties prenantes concernées à participer à ses travaux.

    La Commission assure le secrétariat.

  4. Le groupe de coopération aura les tâches suivantes :
    1. fournir des orientations aux autorités compétentes en ce qui concerne la transposition et la mise en œuvre de la présente directive ;
    2. fournir des orientations aux autorités compétentes en ce qui concerne l'élaboration et la mise en œuvre de politiques de divulgation coordonnée des vulnérabilités, telles que visées à l'article 7, paragraphe 2, point c);
    3. échanger les meilleures pratiques et informations relatives à la mise en œuvre de la présente directive, y compris en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les quasi-accidents, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités, les normes et spécifications techniques, ainsi que l'identification des entités essentielles et importantes conformément à l'article 2, paragraphe 2, points (b) à (e);
    4. échanger des conseils et coopérer avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité et sur la cohérence globale des exigences sectorielles en matière de cybersécurité ;
    5. échanger des conseils et coopérer avec la Commission sur les projets d'actes délégués ou d'exécution adoptés en vertu de la présente directive;
    6. échanger des bonnes pratiques et des informations avec les institutions, organes et organismes concernés de l'Union;
    7. échanger des vues sur la mise en œuvre des actes juridiques sectoriels de l'Union qui contiennent des dispositions sur la cybersécurité ;
    8. le cas échéant, discuter des rapports sur l'examen par les pairs visé à l'article 19, paragraphe 9, et élaborer des conclusions et des recommandations ;
    9. effectuer des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques conformément à l'article 22, paragraphe 1 ;
    10. discuter des cas d'assistance mutuelle, y compris des expériences et des résultats des actions de surveillance conjointes transfrontalières visées à l'article 37 ;
    11. à la demande d'un ou de plusieurs États membres concernés, pour discuter des demandes spécifiques d'assistance mutuelle visées à l'article 37 ;
    12. fournir des orientations stratégiques au réseau des CSIRT et à EU-CyCLONe sur des questions émergentes spécifiques ;
    13. échanger des points de vue sur la politique relative aux actions de suivi suite à des incidents et crises de cybersécurité à grande échelle, sur la base des enseignements tirés du réseau CSIRT et de EU-CyCLONe ;
    14. contribuer aux capacités de cybersécurité dans l'ensemble de l'Union en facilitant l'échange de fonctionnaires nationaux grâce à un programme de renforcement des capacités impliquant le personnel des autorités compétentes ou des CSIRT ;
    15. organiser régulièrement des réunions conjointes avec les parties prenantes privées concernées de toute l'Union pour discuter des activités menées par le groupe de coopération et recueillir des contributions sur les défis politiques émergents ;
    16. discuter des travaux entrepris en relation avec les exercices de cybersécurité, y compris les travaux effectués par l'ENISA ;
    17. établir la méthodologie et les aspects organisationnels des examens par les pairs visés à l'article 19, paragraphe 1, ainsi que définir la méthodologie d'auto-évaluation pour les États membres conformément à l'article 19, paragraphe 5, avec l'aide de la Commission et l'ENISA et, en coopération avec la Commission et l'ENISA, élaborer des codes de conduite étayant les méthodes de travail des experts en cybersécurité désignés, conformément à l'article 19, paragraphe 6 ;
    18. préparer des rapports aux fins de l'examen visé à l'article 40 sur l'expérience acquise au niveau stratégique et lors des examens par les pairs ;
    19. discuter et réaliser régulièrement une évaluation de l’état d’avancement des cybermenaces ou des incidents, tels que les ransomwares.

    Le groupe de coopération soumet les rapports visés au premier alinéa, point r), à la Commission, au Parlement européen et au Conseil.

  5. Les États membres veillent à une coopération efficace, efficiente et sûre de leurs représentants au sein du groupe de coopération.
  6. Le Groupe de Coopération peut demander au réseau des CSIRT un rapport technique sur des sujets sélectionnés.
  7. Au plus tard le 1er février 2024 et tous les deux ans par la suite, le groupe de coopération établira un programme de travail concernant les actions à entreprendre pour mettre en œuvre ses objectifs et ses tâches.
  8. La Commission peut adopter des actes d'exécution fixant les modalités procédurales nécessaires au fonctionnement du groupe de coopération.

    Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 39, paragraphe 2.

    La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d'actes d'exécution visés au premier alinéa du présent paragraphe conformément au paragraphe (4), point (e).

  9. Le groupe de coopération se réunit régulièrement et en tout état de cause au moins une fois par an avec le groupe de résilience des entités critiques créé en vertu de la directive (UE) 2022/2557 pour promouvoir et faciliter la coopération stratégique et l'échange d'informations.
  1. Afin de contribuer au développement de la confiance et de promouvoir une coopération opérationnelle rapide et efficace entre les États membres, un réseau de CSIRT nationaux est créé.
  2. Le réseau des CSIRT est composé de représentants des CSIRT désignés ou établis conformément à l'article 10 et du groupe d'intervention en cas d'urgence informatique des institutions, organes et agences de l'Union (CERT-EU). La Commission participe au réseau des CSIRT en tant qu'observateur. L'ENISA assurera le secrétariat et fournira activement une assistance à la coopération entre les CSIRT.
  3. Le réseau des CSIRT aura les missions suivantes :
    1. échanger des informations sur les capacités des CSIRT ;
    2. faciliter le partage, le transfert et l'échange de technologies et de mesures, politiques, outils, processus, meilleures pratiques et cadres pertinents entre les CSIRT ;
    3. échanger des informations pertinentes sur les incidents, les quasi-accidents, les cybermenaces, les risques et les vulnérabilités ;
    4. échanger des informations concernant les publications et recommandations en matière de cybersécurité ;
    5. assurer l'interopérabilité en ce qui concerne les spécifications et les protocoles de partage d'informations ;
    6. à la demande d'un membre du réseau CSIRT potentiellement affecté par un incident, pour échanger et discuter des informations relatives à cet incident et aux cybermenaces, risques et vulnérabilités associés ;
    7. à la demande d'un membre du réseau des CSIRT, discuter et, si possible, mettre en œuvre une réponse coordonnée à un incident identifié relevant de la juridiction de cet État membre ;
    8. fournir une assistance aux États membres pour faire face aux incidents transfrontaliers conformément à la présente directive ;
    9. coopérer, échanger les meilleures pratiques et fournir une assistance aux CSIRT désignés comme coordinateurs conformément à l'article 12, paragraphe 1, en ce qui concerne la gestion de la divulgation coordonnée des vulnérabilités qui pourraient avoir une incidence significative sur des entités situées dans plusieurs États membres ;
    10.  discuter et identifier d’autres formes de coopération opérationnelle, notamment en ce qui concerne :
      1. catégories de cybermenaces et d'incidents ;
      2. alertes précoces;
      3. assistance mutuelle;
      4. les principes et modalités de coordination en réponse aux risques et incidents transfrontaliers ;
      5. contribution au plan national de réponse aux incidents et aux crises de cybersécurité à grande échelle visé à l'article 9, paragraphe 4, à la demande d'un État membre;
    11. informer le groupe de coopération de ses activités et des autres formes de coopération opérationnelle discutées conformément au point j) et, si nécessaire, demander des orientations à cet égard ;
    12. faire le point sur les exercices de cybersécurité, y compris ceux organisés par l'ENISA ;
    13. à la demande d'un CSIRT individuel, pour discuter des capacités et de l'état de préparation de ce CSIRT ;
    14. coopérer et échanger des informations avec les centres d'opérations de sécurité (SOC) régionaux et au niveau de l'Union afin d'améliorer la connaissance commune de la situation en matière d'incidents et de cybermenaces dans l'ensemble de l'Union;
    15. le cas échéant, pour discuter des rapports d'examen par les pairs visés à l'article 19, paragraphe 9 ;
    16. fournir des lignes directrices afin de faciliter la convergence des pratiques opérationnelles en ce qui concerne l'application des dispositions du présent article concernant la coopération opérationnelle.
  4. Au plus tard le 17 janvier 2025, et tous les deux ans par la suite, le réseau des CSIRT évalue, aux fins du bilan visé à l'article 40, les progrès réalisés en matière de coopération opérationnelle et adopte un rapport. Le rapport élabore notamment des conclusions et des recommandations sur la base des résultats des examens par les pairs visés à l'article 19, qui sont réalisés en relation avec les CSIRT nationaux. Ce rapport est soumis au groupe de coopération.
  5. Le réseau des CSIRT adopte son règlement intérieur.
  6. Le réseau des CSIRT et EU-CyCLONe conviennent des modalités procédurales et coopèrent sur cette base.
  1. EU-CyCLONe est créé pour soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau opérationnel et pour assurer l'échange régulier d'informations pertinentes entre les États membres et les institutions, organes et organismes de l'Union.
  2. EU-CyCLONe est composé de représentants des autorités de gestion des cyber-crises des États membres ainsi que, dans les cas où un incident de cybersécurité potentiel ou en cours à grande échelle a ou est susceptible d'avoir un impact significatif sur les services et activités relevant du champ d'application de la présente directive, la Commission. Dans d'autres cas, la Commission participe aux activités d'EU-CyCLONe en tant qu'observateur.

    L'ENISA assure le secrétariat d'EU-CyCLONe et soutient l'échange sécurisé d'informations, ainsi que les outils nécessaires pour soutenir la coopération entre les États membres et garantir un échange sécurisé d'informations.

    Le cas échéant, EU-CyCLONe peut inviter des représentants des parties prenantes concernées à participer à ses travaux en tant qu'observateurs.

  3. EU-CyCLONe aura les missions suivantes :
    1. accroître le niveau de préparation de la gestion des incidents et des crises de cybersécurité à grande échelle ;
    2. développer une connaissance commune de la situation en cas d’incidents et de crises de cybersécurité à grande échelle ;
    3. évaluer les conséquences et l'impact des incidents et crises de cybersécurité à grande échelle et proposer d'éventuelles mesures d'atténuation ;
    4. coordonner la gestion des incidents et des crises de cybersécurité à grande échelle et soutenir la prise de décision au niveau politique en relation avec de tels incidents et crises ;
    5. discuter, à la demande d'un État membre concerné, des plans nationaux de réponse aux incidents de cybersécurité et aux crises à grande échelle visés à l'article 9, paragraphe 4.
  4. EU-CyCLONe adopte son règlement intérieur.
  5. EU-CyCLONe rend compte régulièrement au groupe de coopération de la gestion des incidents et crises de cybersécurité à grande échelle, ainsi que des tendances, en se concentrant en particulier sur leur impact sur les entités essentielles et importantes.
  6. EU-CyCLONe coopère avec le réseau des CSIRT sur la base des modalités procédurales convenues prévues à l'article 15, paragraphe 6.
  7. Au plus tard le 17 juillet 2024 et tous les 18 mois par la suite, EU-CyCLONe soumettra au Parlement européen et au Conseil un rapport évaluant ses travaux.

L'Union peut, le cas échéant, conclure des accords internationaux, conformément à l'article 218 du TFUE, avec des pays tiers ou des organisations internationales, permettant et organisant leur participation à des activités particulières du groupe de coopération, du réseau CSIRT et d'EU-CyCLONe. Ces accords doivent être conformes au droit de l'Union en matière de protection des données.

  1. L'ENISA adopte, en coopération avec la Commission et le groupe de coopération, un rapport biennal sur l'état de la cybersécurité dans l'Union et soumet et présente ce rapport au Parlement européen. Le rapport doit, entre autres, être mis à disposition sous forme de données lisibles par machine et inclure les éléments suivants :
    1. une évaluation des risques en matière de cybersécurité au niveau de l’Union, tenant compte du paysage des cybermenaces ;
    2. une évaluation du développement des capacités de cybersécurité dans les secteurs public et privé dans l'ensemble de l'Union ;
    3. une évaluation du niveau général de sensibilisation à la cybersécurité et à la cyberhygiène parmi les citoyens et les entités, y compris les petites et moyennes entreprises ;
    4. une évaluation globale des résultats des examens par les pairs visés au Article 19;
    5. une évaluation globale du niveau de maturité des capacités et des ressources en matière de cybersécurité dans l'ensemble de l'Union, y compris celles au niveau sectoriel, ainsi que du degré d'alignement des stratégies nationales de cybersécurité des États membres.
  2. Le rapport comprend des recommandations politiques particulières, en vue de remédier aux lacunes et d'augmenter le niveau de cybersécurité dans l'ensemble de l'Union, ainsi qu'un résumé des conclusions pour la période concernée des rapports sur la situation technique de la cybersécurité de l'UE sur les incidents et les cybermenaces préparés par l'ENISA en conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.
  3. L'ENISA, en coopération avec la Commission, le groupe de coopération et le réseau des CSIRT, développe la méthodologie, y compris les variables pertinentes, telles que les indicateurs quantitatifs et qualitatifs, de l'évaluation agrégée visée au paragraphe 1, point (e).
  1. Le groupe de coopération établit, le 17 janvier 2025, avec l'aide de la Commission et de l'ENISA et, le cas échéant, du réseau des CSIRT, la méthodologie et les aspects organisationnels des examens par les pairs en vue de tirer les leçons des expériences partagées et de renforcer la confiance mutuelle. , en atteignant un niveau commun élevé de cybersécurité, ainsi qu'en renforçant les capacités et les politiques de cybersécurité des États membres nécessaires à la mise en œuvre de la présente directive. La participation aux examens par les pairs est volontaire. Les examens par les pairs sont effectués par des experts en cybersécurité. Les experts en cybersécurité sont désignés par au moins deux États membres, différents de l'État membre examiné.

    Les examens par les pairs porteront sur au moins un des éléments suivants :

    1. le niveau de mise en œuvre des mesures de gestion des risques de cybersécurité et des obligations de déclaration prévues aux articles 21 et 23;
    2. le niveau de capacités, y compris les ressources financières, techniques et humaines disponibles, et l'efficacité de l'exercice des tâches des autorités compétentes ;
    3. les capacités opérationnelles des CSIRT ;
    4. le niveau de mise en œuvre de l'entraide visée à l'article 37 ;
    5. le niveau de mise en œuvre des modalités de partage d'informations en matière de cybersécurité visées à l'article 29 ;
    6. questions spécifiques de nature transfrontalière ou intersectorielle.
  2. La méthodologie visée au paragraphe 1 comprend des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent des experts en cybersécurité éligibles pour effectuer les examens par les pairs. La Commission et l'ENISA participent en tant qu'observateurs aux examens par les pairs.
  3. Les États membres peuvent identifier des questions spécifiques visées au paragraphe 1, point f), aux fins d'un examen par les pairs.
  4. Avant de commencer un examen par les pairs visé au paragraphe 1, les États membres informent les États membres participants de sa portée, y compris des questions spécifiques identifiées conformément au paragraphe 3.
  5. Avant le début de l'examen par les pairs, les États membres peuvent procéder à une auto-évaluation des aspects examinés et fournir cette auto-évaluation aux experts en cybersécurité désignés. Le groupe de coopération définit, avec l'aide de la Commission et de l'ENISA, la méthodologie d'auto-évaluation des États membres.
  6. Les examens par les pairs impliquent des visites physiques ou virtuelles sur site et des échanges d'informations hors site. Conformément au principe de bonne coopération, l'État membre soumis à l'examen par les pairs fournit aux experts en cybersécurité désignés les informations nécessaires à l'évaluation, sans préjudice du droit de l'Union ou du droit national concernant la protection des informations confidentielles ou classifiées et de la sauvegarde. des fonctions essentielles de l’État, telles que la sécurité nationale. Le groupe de coopération, en coopération avec la Commission et l'ENISA, élabore des codes de conduite appropriés qui sous-tendent les méthodes de travail des experts en cybersécurité désignés. Toute information obtenue grâce à l’examen par les pairs doit être utilisée uniquement à cette fin. Les experts en cybersécurité participant à l’examen par les pairs ne divulguent à aucun tiers les informations sensibles ou confidentielles obtenues au cours de cet examen par les pairs.
  7. Une fois soumis à un examen par les pairs, les mêmes aspects examinés dans un État membre ne sont pas soumis à un nouvel examen par les pairs dans cet État membre pendant deux ans après la conclusion de l'examen par les pairs, sauf demande contraire de l'État membre ou accord après une proposition du Groupe de Coopération.
  8. Les États membres veillent à ce que tout risque de conflit d'intérêts concernant les experts en cybersécurité désignés soit révélé aux autres États membres, au groupe de coopération, à la Commission et à l'ENISA, avant le début de l'examen par les pairs. L'État membre soumis à l'examen par les pairs peut s'opposer à la désignation de certains experts en cybersécurité pour des motifs dûment motivés communiqués à l'État membre qui les a désignés.
  9. Les experts en cybersécurité participant aux examens par les pairs rédigent des rapports sur les constatations et les conclusions des examens par les pairs. Les États membres soumis à un examen par les pairs peuvent formuler des commentaires sur les projets de rapport les concernant et ces commentaires sont joints aux rapports. Les rapports comprennent des recommandations visant à permettre d'améliorer les aspects couverts par l'examen par les pairs. Les rapports seront soumis au groupe de coopération et au réseau des CSIRT le cas échéant. Un État membre soumis à l'examen par les pairs peut décider de rendre public son rapport, ou une version expurgée de celui-ci.
  1. Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par ces entités afin de se conformer à l'article 21, supervisent sa mise en œuvre et puissent être tenus responsables des violations commises par les entités dudit article.
      L'application du présent paragraphe se fait sans préjudice du droit national en ce qui concerne les règles de responsabilité applicables aux établissements publics, ainsi que la responsabilité des fonctionnaires et des agents élus ou nommés.
  2. Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et encouragent les entités essentielles et importantes à proposer régulièrement des formations similaires à leurs salariés, afin qu'ils acquièrent des connaissances et des compétences suffisantes. pour leur permettre d'identifier les risques et d'évaluer les pratiques de gestion des risques de cybersécurité et leur impact sur les services fournis par l'entité.

Chapitre 4 – Mesures de gestion des risques de cybersécurité et obligations de déclaration

  1. Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques de cybersécurité prises par ces entités afin de se conformer à l'article 21, supervisent sa mise en œuvre et puissent être tenus responsables des violations commises par les entités dudit article.
      L'application du présent paragraphe se fait sans préjudice du droit national en ce qui concerne les règles de responsabilité applicables aux établissements publics, ainsi que la responsabilité des fonctionnaires et des agents élus ou nommés.
  2. Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et encouragent les entités essentielles et importantes à proposer régulièrement des formations similaires à leurs salariés, afin qu'ils acquièrent des connaissances et des compétences suffisantes. pour leur permettre d'identifier les risques et d'évaluer les pratiques de gestion des risques de cybersécurité et leur impact sur les services fournis par l'entité.
  1. Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques posés à la sécurité des réseaux et des systèmes d'information que ces entités utilisent pour leurs opérations ou pour la fourniture de leurs services, et pour empêcher ou minimiser l'impact des incidents sur les destinataires de leurs services et sur d'autres services.

    Compte tenu de l'état de la technique et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de mise en œuvre, les mesures visées au premier alinéa garantissent un niveau de sécurité des réseaux et des systèmes d'information approprié. aux risques posés. Lors de l'évaluation de la proportionnalité de ces mesures, il est dûment tenu compte du degré d'exposition de l'entité aux risques, de sa taille ainsi que de la probabilité de survenance d'incidents et de leur gravité, y compris leur impact sociétal et économique.

  2. Les mesures visées au paragraphe 1 reposent sur une approche tous risques visant à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents et comprennent au moins les éléments suivants:
    1. les politiques en matière d’analyse des risques et de sécurité des systèmes d’information ;
    2. gestion des incidents ;
    3. continuité des activités, telle que la gestion des sauvegardes, la reprise après sinistre et la gestion des crises ;
    4. la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ;
    5. la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris la gestion et la divulgation des vulnérabilités ;
    6. les politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques de cybersécurité ;
    7. pratiques de base en matière de cyberhygiène et formation en cybersécurité ;
    8. les politiques et procédures concernant l'utilisation de la cryptographie et, le cas échéant, le cryptage ;
    9. la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs ;
    10. l'utilisation de solutions d'authentification multifacteur ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.
  3. Les États membres veillent à ce que, lorsqu'elles examinent les mesures visées au paragraphe 2, point d), du présent article qui sont appropriées, les entités tiennent compte des vulnérabilités spécifiques à chaque fournisseur direct et prestataire de services ainsi que de la qualité globale des produits et des pratiques de cybersécurité. de leurs fournisseurs et prestataires, y compris leurs procédures de développement sécurisées. Les États membres veillent également à ce que, lorsqu'elles examinent les mesures visées sous ce point qui sont appropriées, les entités soient tenues de prendre en compte les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques effectuées conformément à l'article 22, paragraphe 1.
  4. Les États membres veillent à ce qu'une entité qui constate qu'elle ne respecte pas les mesures prévues au paragraphe 2 prenne, sans retard injustifié, toutes les mesures correctives nécessaires, appropriées et proportionnées.
  5. Au plus tard le 17 octobre 2024, la Commission adopte des actes d'exécution fixant les exigences techniques et méthodologiques des mesures visées au paragraphe 2 en ce qui concerne les fournisseurs de services DNS, les registres de noms TLD, les fournisseurs de services de cloud computing, les fournisseurs de services de centres de données, la fourniture de contenu. fournisseurs de réseaux, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et fournisseurs de services de confiance.

    La Commission peut adopter des actes d'exécution fixant les exigences techniques et méthodologiques, ainsi que les exigences sectorielles, si nécessaire, des mesures visées au paragraphe 2 en ce qui concerne les entités essentielles et importantes autres que celles visées au premier alinéa du présent paragraphe. paragraphe.

    Lors de l'élaboration des actes d'exécution visés aux premier et deuxième alinéas du présent paragraphe, la Commission suit, dans la mesure du possible, les normes européennes et internationales, ainsi que les spécifications techniques pertinentes. La Commission échange des conseils et coopère avec le groupe de coopération et l'ENISA sur les projets d'actes d'exécution conformément à l'article 14, paragraphe 4, point e).

    Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 39, paragraphe 2.

  1. Le groupe de coopération, en coopération avec la Commission et l'ENISA, peut réaliser des évaluations coordonnées des risques de sécurité liés à des services TIC, des systèmes TIC ou des chaînes d'approvisionnement de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.
  2. La Commission, après avoir consulté le groupe de coopération et l'ENISA et, le cas échéant, les parties prenantes concernées, identifie les services TIC, les systèmes TIC ou les produits TIC critiques spécifiques qui peuvent être soumis à l'évaluation coordonnée des risques en matière de sécurité visée au paragraphe 1.
  1. Chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard indu, son CSIRT ou, le cas échéant, son autorité compétente conformément au paragraphe 4, de tout incident ayant une incidence significative sur la fourniture de leurs services, comme visé au paragraphe 4. 3 (incident significatif). Le cas échéant, les entités concernées informent, sans retard injustifié, les destinataires de leurs services des incidents significatifs susceptibles de nuire à la fourniture de ces services. Chaque État membre veille à ce que ces entités communiquent, entre autres, toute information permettant au CSIRT ou, le cas échéant, à l'autorité compétente de déterminer toute incidence transfrontalière de l'incident. Le simple acte de notification n’expose pas l’entité notifiante à une responsabilité accrue.

    Lorsque les entités concernées notifient à l'autorité compétente un incident significatif en vertu du premier alinéa, l'État membre veille à ce que cette autorité compétente transmette la notification au CSIRT dès réception.

    En cas d'incident significatif transfrontalier ou transsectoriel, les États membres veillent à ce que leurs points de contact uniques reçoivent en temps utile les informations pertinentes notifiées conformément au paragraphe 4.

  2. Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante, toutes mesures ou recours que ces destinataires sont en mesure de prendre en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même.
  3. Un incident est considéré comme significatif si :
    1. il a causé ou est susceptible de causer de graves perturbations opérationnelles des services ou une perte financière pour l'entité concernée ;
    2. elle a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en leur causant des dommages matériels ou immatériels considérables.
  4. Les États membres veillent à ce qu'aux fins de la notification prévue au paragraphe 1, les entités concernées soumettent au CSIRT ou, le cas échéant, à l'autorité compétente:
    1. sans retard injustifié et en tout état de cause dans les 24 heures suivant la prise de connaissance de l'incident significatif, une alerte précoce qui, le cas échéant, indique si l'incident important est soupçonné d'être causé par des actes illégaux ou malveillants ou s'il pourrait avoir une portée transfrontalière impact;
    2. sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance de l'incident significatif, une notification d'incident qui, le cas échéant, met à jour les informations visées au point a) et indique une première évaluation de l'incident significatif, y compris ses gravité et impact, ainsi que, le cas échéant, les indicateurs de compromission ;
    3. à la demande d'un CSIRT ou, le cas échéant, de l'autorité compétente, un rapport intermédiaire sur les mises à jour de statut pertinentes ;
    4. un rapport final au plus tard un mois après la soumission de la notification d'incident au titre du point b), comprenant les éléments suivants :
        1. une description détaillée de l'incident, y compris sa gravité et son impact ;
        2. le type de menace ou la cause profonde susceptible d'avoir déclenché l'incident ;
        3. les mesures d’atténuation appliquées et continues ;
        4. le cas échéant, l’impact transfrontalier de l’incident ;
    5. en cas d'incident en cours au moment de la présentation du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent à ce moment-là un rapport d'avancement ainsi qu'un rapport final dans le mois suivant le traitement de l'incident. L'incident.

    Par dérogation au premier alinéa, point b), un prestataire de services de confiance doit, en ce qui concerne les incidents significatifs ayant un impact sur la fourniture de ses services de confiance, notifier le CSIRT ou, le cas échéant, l'autorité compétente, sans retard injustifié et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l'incident significatif.

  5. Le CSIRT ou l'autorité compétente fournit, sans retard injustifié et si possible dans les 24 heures suivant la réception de l'alerte précoce visée au paragraphe 4, point a), une réponse à l'entité notifiante, comprenant un premier retour d'information sur l'incident significatif et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation. Lorsque le CSIRT n'est pas le destinataire initial de la notification visée au paragraphe 1, les orientations sont fournies par l'autorité compétente en coopération avec le CSIRT. Le CSIRT fournira un appui technique complémentaire si l'entité concernée en fait la demande. Lorsque l'incident important est soupçonné d'être de nature criminelle, le CSIRT ou l'autorité compétente doit également fournir des orientations sur la manière de signaler l'incident important aux autorités chargées de l'application de la loi.
  6. Le cas échéant, et notamment lorsque l'incident significatif concerne deux ou plusieurs États membres, le CSIRT, l'autorité compétente ou le point de contact unique informe, sans retard injustifié, les autres États membres concernés et l'ENISA de l'incident significatif. Ces informations incluent le type d'informations reçues conformément au paragraphe 4. Ce faisant, le CSIRT, l'autorité compétente ou le point de contact unique, conformément au droit de l'Union ou au droit national, préservent également la sécurité et les intérêts commerciaux de l'entité. ainsi que la confidentialité des informations fournies.
  7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l'incident important est par ailleurs dans l'intérêt public, le CSIRT d'un État membre ou, le cas échéant, son autorité compétente et, le cas échéant , les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après consultation de l'entité concernée, informer le public de l'incident significatif ou exiger de cette entité qu'elle le fasse.
  8. À la demande du CSIRT ou de l'autorité compétente, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres concernés.
  9. Le point de contact unique soumet à l'ENISA tous les trois mois un rapport de synthèse, comprenant des données anonymisées et agrégées sur les incidents, incidents, cybermenaces et quasi-accidents significatifs notifiés conformément au paragraphe 1 du présent article et à l'article 30. Afin de contribuer Afin de fournir des informations comparables, l'ENISA peut adopter des orientations techniques sur les paramètres des informations à inclure dans le rapport de synthèse. L'ENISA informe le groupe de coopération et le réseau des CSIRT de ses conclusions sur les notifications reçues tous les six mois.
  10. Les CSIRT ou, le cas échéant, les autorités compétentes fournissent aux autorités compétentes en vertu de la directive (UE) 2022/2557 des informations sur les incidents, incidents, cybermenaces et quasi-accidents significatifs notifiés conformément au paragraphe 1 du présent article et à l'article 30 par entités identifiées comme entités critiques au sens de la directive (UE) 2022/2557.
  11. La Commission peut adopter des actes d'exécution précisant davantage le type d'informations, le format et la procédure d'une notification présentée conformément au paragraphe 1 du présent article et à l'article 30 et d'une communication présentée conformément au paragraphe 2 du présent article.

    D'ici le 17 octobre 2024, la Commission devra, en ce qui concerne les fournisseurs de services DNS, les registres de noms TLD, les fournisseurs de services de cloud computing, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de services en ligne. les places de marché, les moteurs de recherche en ligne et les plateformes de services de réseaux sociaux, adoptent des actes d'exécution précisant davantage les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. La Commission peut adopter de tels actes d'exécution en ce qui concerne d'autres aspects essentiels et entités importantes.

    La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d'actes d'exécution visés aux premier et deuxième alinéas du présent paragraphe, conformément à l'article 14, paragraphe 4, point e).

    Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 39, paragraphe 2.

  1. Afin de démontrer le respect d'exigences particulières de l'article 21, les États membres peuvent exiger que les entités essentielles et importantes utilisent des produits TIC, des services TIC et des processus TIC particuliers, développés par l'entité essentielle ou importante ou achetés auprès de tiers, qui sont certifiés au titre des normes européennes. systèmes de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881. En outre, les États membres encouragent les entités essentielles et importantes à recourir à des services de confiance qualifiés.
  2. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, pour compléter la présente directive en précisant quelles catégories d'entités essentielles et importantes doivent être tenues d'utiliser certains produits TIC, services TIC et processus TIC certifiés ou d'obtenir un certificat dans le cadre d'un Système européen de certification de cybersécurité adopté en vertu de l’article 49 du règlement (UE) 2019/881. Ces actes délégués sont adoptés lorsque des niveaux insuffisants de cybersécurité ont été constatés et comprennent une période de mise en œuvre.

    Avant d'adopter de tels actes délégués, la Commission réalise une analyse d'impact et procède à des consultations conformément à l'article 56 du règlement (UE) 2019/881.

  3. Lorsqu'il n'existe aucun système européen de certification de cybersécurité approprié aux fins du paragraphe 2 du présent article, la Commission peut, après consultation du groupe de coopération et du groupe européen de certification de cybersécurité, demander à l'ENISA de préparer un système candidat conformément à l'article 48, paragraphe 2, du Règlement (UE) 2019/881.
  1. Afin de promouvoir la mise en œuvre convergente de l'article 21, paragraphes 1 et 2, les États membres encouragent, sans imposer ni discriminer en faveur de l'utilisation d'un type particulier de technologie, le recours aux normes et spécifications techniques européennes et internationales pertinentes. à la sécurité des réseaux et des systèmes d’information.
  2. L'ENISA, en coopération avec les États membres et, le cas échéant, après consultation des parties prenantes concernées, élabore des conseils et des lignes directrices concernant les domaines techniques à prendre en compte en relation avec le paragraphe 1 ainsi que concernant les normes déjà existantes, y compris les normes nationales, qui permettraient permettre de couvrir ces zones.

Chapitre 5 – Compétence et enregistrement

  1. Les entités entrant dans le champ d'application de la présente directive sont considérées comme relevant de la compétence de l'État membre dans lequel elles sont établies, sauf dans les cas suivants :
    1. les fournisseurs de réseaux publics de communications électroniques ou les fournisseurs de services de communications électroniques accessibles au public, qui sont considérés comme relevant de la compétence de l'État membre dans lequel ils fournissent leurs services ;
    2. Fournisseurs de services DNS, registres de noms TLD, entités fournissant des services d'enregistrement de noms de domaine, fournisseurs de services de cloud computing, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, ainsi que fournisseurs de marchés en ligne, de recherche en ligne. des moteurs de recherche ou des plateformes de services de réseaux sociaux, qui sont considérés comme relevant de la compétence de l'État membre dans lequel ils ont leur principal établissement dans l'Union en vertu du paragraphe 2 ;
    3. entités de l'administration publique, qui sont considérées comme relevant de la compétence de l'État membre qui les a créées.
  2. Aux fins de la présente directive, une entité visée au paragraphe 1, point b), est considérée comme ayant son principal établissement dans l'Union dans l'État membre où les décisions liées aux mesures de gestion des risques de cybersécurité sont prises de manière prédominante. . Si un tel État membre ne peut être déterminé ou si de telles décisions ne sont pas prises dans l'Union, l'établissement principal est considéré comme étant situé dans l'État membre où les opérations de cybersécurité sont menées. Si un tel État membre ne peut être déterminé, l'établissement principal est considéré comme étant situé dans l'État membre dans lequel l'entité concernée possède l'établissement comptant le plus grand nombre de salariés dans l'Union.
  3. Si une entité visée au paragraphe 1, point b), n'est pas établie dans l'Union, mais offre des services au sein de l'Union, elle désigne un représentant dans l'Union. Le représentant est établi dans l'un des États membres où les services sont offerts. Une telle entité est considérée comme relevant de la compétence de l'État membre dans lequel le représentant est établi. En l'absence d'un représentant dans l'Union désigné en vertu du présent paragraphe, tout État membre dans lequel l'entité fournit des services peut intenter des actions en justice contre l'entité pour violation de la présente directive.
  4. La désignation d'un représentant par une entité visée au paragraphe 1, point b), est sans préjudice des actions en justice qui pourraient être engagées contre l'entité elle-même.
  5. Les États membres qui ont reçu une demande d'entraide concernant une entité visée au paragraphe 1, point b), peuvent, dans les limites de cette demande, prendre des mesures de contrôle et d'exécution appropriées à l'égard de l'entité concernée qui fournit services ou qui dispose d’un réseau et d’un système d’information sur son territoire.
  1. L'ENISA crée et maintient un registre des fournisseurs de services DNS, des registres de noms TLD, des entités fournissant des services d'enregistrement de noms de domaine, des fournisseurs de services de cloud computing, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, sur la base des informations reçues des points de contact uniques conformément au paragraphe 4. Sur demande, l'ENISA autorise les autorités compétentes à accéder à ce registre, tout en veiller à ce que la confidentialité des informations soit protégée, le cas échéant.
  2. Les États membres exigent des entités visées au paragraphe 1 qu'elles soumettent les informations suivantes aux autorités compétentes au plus tard le 17 janvier 2025:
    1. le nom de l'entité ;
    2. le secteur, le sous-secteur et le type d'entité concernés visés à l'annexe I ou II, le cas échéant ;
    3. l'adresse du principal établissement de l'entité et de ses autres établissements juridiques dans l'Union ou, si elle n'est pas établie dans l'Union, de son représentant désigné conformément à l'article 26, paragraphe 3 ;
    4. les coordonnées à jour, y compris les adresses e-mail et les numéros de téléphone de l'entité et, le cas échéant, de son représentant désigné conformément à l'article 26, paragraphe 3 ;
    5. les États membres dans lesquels l'entité fournit des services ; et
    6. les plages IP de l’entité.
  3. Les États membres veillent à ce que les entités visées au paragraphe 1 informent l'autorité compétente de toute modification apportée aux informations qu'elles ont soumises en vertu du paragraphe 2 sans délai et en tout état de cause dans un délai de trois mois à compter de la date de la modification.
  4. Dès réception des informations visées aux paragraphes 2 et 3, à l'exception de celles visées au paragraphe 2, point f), le point de contact unique de l'État membre concerné les transmet sans retard injustifié à l'ENISA.
  5. Le cas échéant, les informations visées aux paragraphes 2 et 3 du présent article sont soumises par l'intermédiaire du mécanisme national visé à l'article 3, paragraphe 4, quatrième alinéa.
  1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres exigent que les registres de noms de TLD et les entités fournissant des services d'enregistrement de noms de domaine collectent et conservent des données d'enregistrement de noms de domaine précises et complètes dans une base de données dédiée, avec la diligence requise conformément aux au droit de l’Union sur la protection des données en ce qui concerne les données à caractère personnel.
  2. Aux fins du paragraphe 1, les États membres exigent que la base de données des données d'enregistrement des noms de domaine contienne les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact gérant les noms de domaine sous les TLD. Ces informations doivent inclure :
    1. le nom de domaine ;
    2. la date d'inscription;
    3. le nom, l'adresse e-mail et le numéro de téléphone du titulaire ;
    4. l'adresse email de contact et le numéro de téléphone du point de contact administrant le nom de domaine dans le cas où ils sont différents de ceux du titulaire.
  3. Les États membres exigent que les registres de noms TLD et les entités fournissant des services d'enregistrement de noms de domaine mettent en place des politiques et des procédures, y compris des procédures de vérification, pour garantir que les bases de données visées au paragraphe 1 contiennent des informations exactes et complètes. Les États membres exigent que ces politiques et procédures soient rendues publiques.
  4. Les États membres exigent que les registres de noms TLD et les entités fournissant des services d'enregistrement de noms de domaine rendent publiques, sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement de nom de domaine qui ne sont pas des données à caractère personnel.
  5. Les États membres exigent que les registres de noms TLD et les entités fournissant des services d'enregistrement de noms de domaine donnent accès à des données spécifiques d'enregistrement de noms de domaine sur demande licite et dûment justifiée de demandeurs d'accès légitimes, conformément à la législation de l'Union sur la protection des données. Les États membres exigent que les registres de noms TLD et les entités fournissant des services d'enregistrement de noms de domaine répondent dans les plus brefs délais et, en tout état de cause, dans les 72 heures suivant la réception de toute demande d'accès. Les États membres exigent que les politiques et procédures relatives à la divulgation de ces données soient rendues publiques.
  6. Le respect des obligations prévues aux paragraphes 1 à 5 n'entraîne pas une duplication de la collecte des données d'enregistrement des noms de domaine. À cette fin, les États membres exigent que les registres de noms TLD et les entités fournissant des services d’enregistrement de noms de domaine coopèrent entre eux.

Chapitre 6 – Partage d'informations

  1. Les États membres veillent à ce que les entités relevant du champ d'application de la présente directive et, le cas échéant, d'autres entités ne relevant pas du champ d'application de la présente directive puissent échanger entre elles, sur une base volontaire, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, à proximité échecs, vulnérabilités, techniques et procédures, indicateurs de compromission, tactiques contradictoires, informations spécifiques aux acteurs de la menace, alertes de cybersécurité et recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d'informations :
    1. vise à prévenir, détecter, répondre ou récupérer des incidents ou à atténuer leur impact ;
    2. améliore le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant la capacité de ces menaces à se propager, en prenant en charge une gamme de capacités défensives, la remédiation et la divulgation des vulnérabilités, la détection des menaces, les techniques de confinement et de prévention, les stratégies d'atténuation , ou les étapes de réponse et de récupération ou la promotion de la recherche collaborative sur les cybermenaces entre entités publiques et privées.
  2. Les États membres veillent à ce que l'échange d'informations ait lieu au sein des communautés d'entités essentielles et importantes et, le cas échéant, de leurs fournisseurs ou prestataires de services. Cet échange est mis en œuvre au moyen d'accords de partage d'informations en matière de cybersécurité eu égard à la nature potentiellement sensible des informations partagées.
  3. Les États membres facilitent la mise en place de dispositifs de partage d'informations en matière de cybersécurité visés au paragraphe 2 du présent article. Ces accords peuvent préciser des éléments opérationnels, notamment l'utilisation de plates-formes TIC et d'outils d'automatisation dédiés, le contenu et les conditions des accords de partage d'informations. En fixant les détails de la participation des autorités publiques à de tels accords, les États membres peuvent imposer des conditions aux informations mises à disposition par les autorités compétentes ou les CSIRT. Les États membres offrent leur assistance pour l'application de ces dispositions conformément à leurs politiques visées au Article 7, paragraphe 2, point (h).
  4. Les États membres veillent à ce que les entités essentielles et importantes notifient aux autorités compétentes leur participation aux accords de partage d'informations en matière de cybersécurité visés au paragraphe 2, dès la conclusion de ces accords, ou, le cas échéant, de leur retrait de ces accords, une fois le retrait Prend effet.
  5. L'ENISA fournit une assistance pour la mise en place de dispositifs de partage d'informations en matière de cybersécurité visés au paragraphe 2 en échangeant les meilleures pratiques et en fournissant des orientations.
  1. Les États membres veillent à ce que, outre l'obligation de notification prévue à l'article 23, des notifications puissent être soumises aux CSIRT ou, le cas échéant, aux autorités compétentes, sur une base volontaire, par:
    1. entités essentielles et importantes en matière d'incidents, de cybermenaces et de quasi-accidents ;
    2. les entités autres que celles visées au point a), qu'elles relèvent ou non du champ d'application de la présente directive, en ce qui concerne les incidents significatifs, les cybermenaces et les quasi-accidents.
  2. Les États membres traitent les notifications visées au paragraphe 1 du présent article conformément à la procédure prévue à l'article 23. Les États membres peuvent donner la priorité au traitement des notifications obligatoires par rapport aux notifications volontaires.

    Si nécessaire, les CSIRT et, le cas échéant, les autorités compétentes fournissent aux points de contact uniques les informations sur les notifications reçues en vertu du présent article, tout en garantissant la confidentialité et la protection appropriée des informations fournies par l'entité notifiante. Sans préjudice de la prévention, des enquêtes, de la détection et des poursuites des infractions pénales, la déclaration volontaire n'entraîne pas l'imposition à l'entité notifiante d'obligations supplémentaires auxquelles elle n'aurait pas été soumise si elle n'avait pas soumis la notification.

Chapitre 7 – Surveillance et application

  1. Les États membres veillent à ce que leurs autorités compétentes supervisent efficacement et prennent les mesures nécessaires pour garantir le respect de la présente directive.
  2. Les États membres peuvent autoriser leurs autorités compétentes à donner la priorité aux tâches de surveillance. Cette hiérarchisation repose sur une approche fondée sur les risques. À cette fin, dans l'exercice de leurs missions de surveillance prévues aux articles 32 et 33, les autorités compétentes peuvent établir des méthodologies de surveillance permettant de hiérarchiser ces tâches selon une approche fondée sur les risques.
  3. Les autorités compétentes travaillent en étroite coopération avec les autorités de contrôle en vertu du règlement (UE) 2016/679 lorsqu'elles traitent des incidents entraînant des violations de données à caractère personnel, sans préjudice de la compétence et des tâches des autorités de contrôle en vertu de ce règlement.
  4. Sans préjudice des cadres législatifs et institutionnels nationaux, les États membres veillent à ce que, dans le cadre du contrôle du respect par les entités de l'administration publique de la présente directive et de l'imposition de mesures coercitives en cas d'infraction à la présente directive, les autorités compétentes disposent des pouvoirs appropriés pour exercer ces tâches avec une indépendance opérationnelle vis-à-vis des entités de l'administration publique surveillées. Les États membres peuvent décider d'imposer des mesures de surveillance et d'exécution appropriées, proportionnées et efficaces à l'égard de ces entités, conformément aux cadres législatifs et institutionnels nationaux.
  1. Les États membres veillent à ce que les mesures de contrôle ou d'exécution imposées aux entités essentielles au respect des obligations énoncées dans la présente directive soient efficaces, proportionnées et dissuasives, compte tenu des circonstances de chaque cas individuel.
  2. Les États membres veillent à ce que les autorités compétentes, lorsqu'elles exercent leurs missions de surveillance à l'égard d'entités essentielles, aient le pouvoir de soumettre ces entités au moins :
    1. inspections sur place et supervision hors site, y compris des contrôles aléatoires effectués par des professionnels qualifiés ;
    2. des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente ;
    3. des audits ad hoc, y compris lorsque cela est justifié par un incident significatif ou une violation de la présente directive par l'entité essentielle ;
    4. des analyses de sécurité fondées sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l'entité concernée ;
    5. les demandes d'informations nécessaires pour évaluer les mesures de gestion des risques de cybersécurité adoptées par l'entité concernée, y compris les politiques de cybersécurité documentées, ainsi que le respect de l'obligation de soumettre des informations aux autorités compétentes en vertu de Article 27;
    6. les demandes d'accès aux données, documents et informations nécessaires à l'exercice de leurs tâches de contrôle ;
    7. les demandes de preuves de la mise en œuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les preuves sous-jacentes respectives.

    Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques réalisées par l'autorité compétente ou l'entité auditée, ou sur d'autres informations disponibles liées aux risques.

    Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l'autorité compétente. Les coûts d'un tel audit de sécurité ciblé effectué par un organisme indépendant sont payés par l'entité auditée, sauf dans les cas dûment justifiés où l'autorité compétente en décide autrement.

  3. Lorsqu'elles exercent leurs pouvoirs en vertu du paragraphe 2, point (e), (f) ou (g), les autorités compétentes indiquent l'objet de la demande et précisent les informations demandées.
  4.  Les États membres veillent à ce que leurs autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités essentielles, aient au moins le pouvoir de :
    1. émettre des avertissements concernant les violations de la présente directive par les entités concernées ;
    2. adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour prévenir ou remédier à un incident, ainsi que les délais pour la mise en œuvre de ces mesures et pour rendre compte de leur mise en œuvre, ou une ordonnance obligeant les entités concernées à remédier aux déficiences identifiées ou à la violations de la présente directive ;
    3. ordonner aux entités concernées de cesser tout comportement contraire à la présente directive et de s'abstenir de répéter ce comportement ;
    4. ordonner aux entités concernées de veiller à ce que leurs mesures de gestion des risques de cybersécurité soient conformes à l'article 21 ou de remplir les obligations de déclaration prévues à l'article 23, d'une manière déterminée et dans un délai déterminé ;
    5. ordonner aux entités concernées d'informer les personnes physiques ou morales pour lesquelles elles fournissent des services ou exercent des activités potentiellement affectées par une cybermenace significative de la nature de cette menace, ainsi que des éventuelles mesures de protection ou de réparation qui peuvent être prises par ces personnes physiques ou morales en réponse à cette menace ;
    6. ordonner aux entités concernées de mettre en œuvre dans un délai raisonnable les recommandations formulées à l’issue d’un audit de sécurité ;
    7. désigner un responsable de contrôle doté de tâches bien définies pour une durée déterminée pour contrôler le respect par les entités concernées des articles 21 et 23 ;
    8. ordonner aux entités concernées de rendre publics les aspects des violations de la présente directive d'une manière déterminée ;
    9. imposer, ou demander l'imposition par les organes, cours ou tribunaux compétents, conformément au droit national, d'une amende administrative en vertu de l'article 34 en plus de l'une des mesures visées aux points (a) à (h) du présent paragraphe .
  5. Lorsque les mesures d'exécution adoptées en vertu du paragraphe 4, points a) à d) et f), sont inefficaces, les États membres veillent à ce que leurs autorités compétentes aient le pouvoir de fixer un délai dans lequel l'entité essentielle est invitée à prendre les les mesures nécessaires pour remédier aux déficiences ou pour se conformer aux exigences de ces autorités. Si les mesures demandées ne sont pas prises dans le délai fixé, les États membres veillent à ce que leurs autorités compétentes soient habilitées à :
    1. suspendre temporairement, ou demander à un organisme de certification ou d'autorisation, ou à une cour ou un tribunal, conformément au droit national, de suspendre temporairement une certification ou une autorisation concernant une partie ou la totalité des services pertinents fournis ou des activités réalisées par l'entité essentielle ;
    2. demander aux organes, cours ou tribunaux compétents, conformément au droit national, d'interdire temporairement à toute personne physique chargée d'exercer des responsabilités de direction au niveau du directeur général ou du représentant légal dans l'entité essentielle d'exercer des fonctions de direction dans cette entité.

    Les suspensions ou interdictions temporaires imposées en vertu du présent paragraphe ne seront appliquées que jusqu'à ce que l'entité concernée prenne les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l'autorité compétente pour laquelle de telles mesures coercitives ont été appliquées. L'imposition de telles suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et de la Charte, y compris le droit à un recours effectif et à un procès équitable, la présomption d'innocence et les droits de la personne. la défense.

    Les mesures coercitives prévues au présent paragraphe ne sont pas applicables aux entités de l'administration publique soumises à la présente directive.

  6. Les États membres veillent à ce que toute personne physique responsable ou agissant en qualité de représentant légal d'une entité essentielle sur la base du pouvoir de la représenter, de l'autorité pour prendre des décisions en son nom ou de l'autorité pour exercer le contrôle sur celle-ci ait le pouvoir de assurer sa conformité avec la présente directive. Les États membres veillent à ce qu'il soit possible de tenir ces personnes physiques pour responsables du manquement à leurs obligations visant à garantir le respect de la présente directive.

    En ce qui concerne les entités de l'administration publique, le présent paragraphe est sans préjudice du droit national en ce qui concerne la responsabilité des fonctionnaires et des agents élus ou nommés.

  7. Lorsqu'elles prennent l'une des mesures coercitives visées au paragraphe 4 ou 5, les autorités compétentes respectent les droits de la défense et tiennent compte des circonstances de chaque cas individuel et, au minimum, tiennent dûment compte:
    1. la gravité de l'infraction et l'importance des dispositions violées, les éléments suivants constituant en tout état de cause une infraction grave :
      1. violations répétées ;
      2. l'incapacité de notifier ou de remédier à des incidents importants ;
      3. l'incapacité à remédier aux manquements suite aux instructions contraignantes des autorités compétentes ;
      4. l'obstruction aux activités d'audit ou de contrôle ordonnées par l'autorité compétente à la suite du constat d'une infraction ;
      5. fournir des informations fausses ou manifestement inexactes concernant les mesures de gestion des risques de cybersécurité ou les obligations de déclaration prévues aux articles 21 et 23 ;
    2. la durée de l'infraction ;
    3. toute infraction antérieure pertinente commise par l'entité concernée ;
    4. tout dommage matériel ou immatériel causé, y compris toute perte financière ou économique, les conséquences sur d'autres services et le nombre d'utilisateurs concernés ;
    5. toute intention ou négligence de la part de l'auteur de l'infraction ;
    6. toute mesure prise par l'entité pour prévenir ou atténuer les dommages matériels ou immatériels ;
    7. toute adhésion aux codes de conduite approuvés ou aux mécanismes de certification approuvés ;
    8. le niveau de coopération des personnes physiques ou morales tenues pour responsables avec les autorités compétentes.
  8. Les autorités compétentes exposent une motivation détaillée de leurs mesures d'exécution. Avant d'adopter de telles mesures, les autorités compétentes notifient aux entités concernées leurs conclusions préliminaires. Ils accordent également un délai raisonnable à ces entités pour présenter leurs observations, sauf dans les cas dûment justifiés où une action immédiate visant à prévenir ou à réagir à des incidents serait autrement entravée.
  9. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive informent les autorités compétentes concernées du même État membre en vertu de la directive (UE) 2022/2557 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à garantir la conformité d'une entité identifiée comme entité critique en vertu de la directive. (UE) 2022/2557 avec la présente directive. Le cas échéant, les autorités compétentes en vertu de la directive (UE) 2022/2557 peuvent demander aux autorités compétentes en vertu de la présente directive d'exercer leurs pouvoirs de surveillance et d'exécution à l'égard d'une entité identifiée comme une entité critique en vertu de la directive (UE) 2022/2557.
  10. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes de l'État membre concerné en vertu du règlement (UE) 2022/2554. En particulier, les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive informent le forum de surveillance établi conformément à l'article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à garantir la conformité d'une entité essentielle qui est désigné comme fournisseur de services tiers TIC critique conformément à l’article 31 du règlement (UE) 2022/2554. avec la présente directive.
  1. Lorsqu'ils reçoivent des preuves, des indications ou des informations selon lesquelles une entité importante ne respecte pas la présente directive, en particulier ses articles 21 et 23, les États membres veillent à ce que les autorités compétentes prennent des mesures, si nécessaire, au moyen de mesures de contrôle ex post. Les États membres veillent à ce que ces mesures soient efficaces, proportionnées et dissuasives, en tenant compte des circonstances de chaque cas individuel.
  2. Les États membres veillent à ce que les autorités compétentes, lorsqu'elles exercent leurs missions de surveillance à l'égard d'entités importantes, aient le pouvoir de soumettre ces entités au moins :
    1. inspections sur place et hors site ex post supervision effectuée par des professionnels formés;
    2. des audits de sécurité ciblés réalisés par un organisme indépendant ou une autorité compétente ;
    3. des analyses de sécurité fondées sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l'entité concernée ;
    4. les demandes d'informations nécessaires à l'évaluation, ex post, les mesures de gestion des risques de cybersécurité adoptées par l'entité concernée, y compris les politiques de cybersécurité documentées, ainsi que le respect de l'obligation de soumettre des informations aux autorités compétentes en vertu de l'article 27 ;
    5. les demandes d'accès aux données, documents et informations nécessaires à l'exercice de leurs tâches de contrôle ;
    6. les demandes de preuves de la mise en œuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les preuves sous-jacentes respectives.

    Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques réalisées par l'autorité compétente ou l'entité auditée, ou sur d'autres informations disponibles liées aux risques.

    Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l'autorité compétente. Les coûts d'un tel audit de sécurité ciblé effectué par un organisme indépendant sont payés par l'entité auditée, sauf dans les cas dûment justifiés où l'autorité compétente en décide autrement.

  3. Lorsqu'elles exercent leurs pouvoirs en vertu du paragraphe 2, point d), e) ou f), les autorités compétentes indiquent l'objet de la demande et précisent les informations demandées.
  4. Les États membres veillent à ce que les autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités importantes, aient au moins le pouvoir de :
    1. émettre des avertissements concernant les violations de la présente directive par les entités concernées ;
    2. adopter des instructions contraignantes ou une ordonnance obligeant les entités concernées à remédier aux manquements constatés ou à la violation de la présente directive ;
    3. ordonner aux entités concernées de cesser tout comportement contraire à la présente directive et de s'abstenir de répéter ce comportement ;
    4. ordonner aux entités concernées de veiller à ce que leurs mesures de gestion des risques de cybersécurité soient conformes à l'article 21 ou de remplir les obligations de déclaration prévues à l'article 23, d'une manière déterminée et dans un délai déterminé ;
    5. ordonner aux entités concernées d'informer les personnes physiques ou morales pour lesquelles elles fournissent des services ou exercent des activités potentiellement affectées par une cybermenace significative de la nature de cette menace, ainsi que des éventuelles mesures de protection ou de réparation qui peuvent être prises par ces personnes physiques ou morales en réponse à cette menace ;
    6. ordonner aux entités concernées de mettre en œuvre dans un délai raisonnable les recommandations formulées à l’issue d’un audit de sécurité ;
    7. ordonner aux entités concernées de rendre publics les aspects des violations de la présente directive d'une manière déterminée ;
    8. imposer, ou demander l'imposition par les organes, cours ou tribunaux compétents, conformément au droit national, d'une amende administrative en vertu de l'article 34 en plus de l'une des mesures visées aux points (a) à (g) du présent paragraphe .
  5. L'article 32, paragraphes 6, 7 et 8, s'applique. mutatis mutandis aux mesures de contrôle et d'exécution prévues au présent article pour les entités importantes.
  6. Les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive coopèrent avec les autorités compétentes de l'État membre concerné en vertu du règlement (UE) 2022/2554. En particulier, les États membres veillent à ce que leurs autorités compétentes en vertu de la présente directive informent le forum de surveillance établi conformément à l'article 32, paragraphe 1, du règlement (UE) 2022/2554 lorsqu'elles exercent leurs pouvoirs de surveillance et d'exécution visant à garantir la conformité d'une entité importante qui est désigné comme fournisseur de services tiers TIC critique conformément à l’article 31 du règlement (UE) 2022/2554. avec la présente directive.
  1. Les États membres veillent à ce que les amendes administratives imposées aux entités essentielles et importantes en vertu du présent article en raison d'infractions à la présente directive soient efficaces, proportionnées et dissuasives, compte tenu des circonstances de chaque cas individuel.
  2. Des amendes administratives sont imposées en plus des mesures visées à l'article 32, paragraphe 4, points a) à h), à l'article 32, paragraphe 5, et à l'article 33, paragraphe 4, points a) à g). .
  3. Lors de la décision d'imposer ou non une amende administrative et de déterminer son montant dans chaque cas individuel, il est dûment tenu compte, au minimum, des éléments prévus à l'article 32, paragraphe 7.
  4. Les États membres veillent à ce qu'en cas d'infraction à l'article 21 ou 23, les entités essentielles soient passibles, conformément aux paragraphes 2 et 3 du présent article, d'amendes administratives d'un montant maximal d'au moins 10 000 000 EUR ou d'un maximum d'au moins 2 000 EUR. % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle appartient l'entité essentielle, le montant le plus élevé étant retenu.
  5. Les États membres veillent à ce qu'en cas d'infraction à l'article 21 ou 23, les entités importantes soient passibles, conformément aux paragraphes 2 et 3 du présent article, d'amendes administratives d'un montant maximal d'au moins 7 000 000 EUR ou d'un maximum d'au moins 1 000 000 EUR. ,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle appartient l'entité importante, le chiffre le plus élevé étant retenu.
  6. Les États membres peuvent prévoir le pouvoir d'imposer des astreintes afin de contraindre une entité essentielle ou importante à mettre fin à une infraction à la présente directive conformément à une décision préalable de l'autorité compétente.
  7. Sans préjudice des pouvoirs conférés aux autorités compétentes en vertu des articles 32 et 33, chaque État membre peut fixer les règles indiquant si et dans quelle mesure des amendes administratives peuvent être infligées aux entités de l'administration publique.
  8. Lorsque le système juridique d'un État membre ne prévoit pas d'amendes administratives, cet État membre veille à ce que le présent article soit appliqué de telle manière que l'amende soit initiée par l'autorité compétente et imposée par les cours ou tribunaux nationaux compétents, tout en veillant à ce que ces voies de recours sont effectives et ont un effet équivalent aux amendes administratives infligées par les autorités compétentes. En tout état de cause, les amendes infligées doivent être efficaces, proportionnées et dissuasives. L'État membre notifie à la Commission les dispositions des lois qu'il adopte en vertu du présent paragraphe au plus tard le 17 octobre 2024 et, sans délai, toute loi modificative ultérieure ou modification les affectant.
  1. Lorsque les autorités compétentes se rendent compte, au cours du contrôle ou de l'exécution, que la violation par une entité essentielle ou importante des obligations prévues aux articles 21 et 23 de la présente directive peut entraîner une violation de données à caractère personnel, telle que définie à l'article 4, point ( 12), du règlement (UE) 2016/679 qui doit être notifié conformément à l'article 33 de ce règlement, ils informent sans retard injustifié les autorités de contrôle visées à l'article 55 ou 56 de ce règlement.
  2. Lorsque les autorités de contrôle visées à l'article 55 ou 56 du règlement (UE) 2016/679 imposent une amende administrative en vertu de l'article 58, paragraphe 2, point i), de ce règlement, les autorités compétentes n'imposent pas d'amende administrative. en application de l'article 34 de la présente directive pour une infraction visée au paragraphe 1 du présent article résultant du même comportement que celui qui a fait l'objet de l'amende administrative en vertu de l'article 58, paragraphe 2, point i), du règlement (UE) 2016/679. Les autorités compétentes peuvent toutefois imposer les mesures d'exécution prévues à l'article 32, paragraphe 4, points a) à h), à l'article 32, paragraphe 5, et à l'article 33, paragraphe 4, points a) à g), de la présente directive.
  3. Lorsque l'autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l'autorité compétente, l'autorité compétente informe l'autorité de contrôle établie dans son propre État membre de la violation potentielle de données visée au paragraphe 1.

Les États membres établissent les règles relatives aux sanctions applicables aux violations des mesures nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour assurer leur mise en œuvre. Les sanctions prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient à la Commission, au plus tard le 17 janvier 2025, ces règles et ces mesures et lui notifient sans délai toute modification ultérieure les affectant.

  1. Lorsqu'une entité fournit des services dans plusieurs États membres, ou fournit des services dans un ou plusieurs États membres et que son réseau et ses systèmes d'information sont situés dans un ou plusieurs autres États membres, les autorités compétentes des États membres concernés coopèrent avec et aident les uns les autres si nécessaire. Cette coopération implique au moins:
    1. les autorités compétentes appliquant des mesures de contrôle ou d'exécution dans un État membre informent et consultent, par l'intermédiaire du point de contact unique, les autorités compétentes des autres États membres concernés sur les mesures de contrôle et d'exécution prises;
    2. une autorité compétente peut demander à une autre autorité compétente de prendre des mesures de surveillance ou d'exécution ;
    3. une autorité compétente, dès réception d'une demande motivée d'une autre autorité compétente, fournit à cette autre autorité compétente une assistance mutuelle proportionnée à ses propres ressources afin que les mesures de contrôle ou d'exécution puissent être mises en œuvre de manière efficace, efficiente et cohérente.

    L'entraide visée au premier alinéa, point c), peut couvrir des demandes d'informations et des mesures de contrôle, y compris des demandes de réalisation d'inspections sur place ou de contrôles hors site ou d'audits de sécurité ciblés. Une autorité compétente à laquelle une demande d'assistance est adressée ne refuse pas cette demande à moins qu'il ne soit établi qu'elle n'a pas la compétence pour fournir l'assistance demandée, que l'assistance demandée n'est pas proportionnée aux tâches de contrôle de l'autorité compétente ou que la demande concerne des informations ou implique des activités qui, si elles étaient divulguées ou réalisées, seraient contraires aux intérêts essentiels de la sécurité nationale, de la sécurité publique ou de la défense de l'État membre. Avant de refuser une telle demande, l'autorité compétente consulte les autres autorités compétentes concernées ainsi que, à la demande de l'un des États membres concernés, la Commission et l'ENISA.

  2. Le cas échéant et d'un commun accord, les autorités compétentes des différents États membres peuvent mener des actions de surveillance conjointes.
 

Chapitre 8 – Actes délégués et actes d'exécution

  1. Le pouvoir d'adopter des actes délégués est conféré à la Commission dans les conditions fixées au présent article.
  2. Le pouvoir d'adopter des actes délégués visé à l'article 24, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du 16 janvier 2023.
  3. La délégation de pouvoir visée à l'article 24, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou par le Conseil. La décision de révocation met fin à la délégation du pouvoir spécifié dans cette décision. Elle prend effet le lendemain de la publication de la décision au Journal officiel de l'Union européenne ou à une date ultérieure qui y est précisée. Cela n'affectera pas la validité des actes délégués déjà en vigueur.
  4. Avant d'adopter un acte délégué, la Commission consulte des experts désignés par chaque État membre conformément aux principes énoncés dans l'accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».
  5. Dès qu'elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil.
  6. Un acte délégué adopté en vertu du Article 24, paragraphe 2 n'entre en vigueur que si aucune objection n'a été exprimée ni par le Parlement européen ni par le Conseil dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Le Parlement européen et le Conseil ont tous deux informé la Commission qu'ils ne s'y opposeraient pas. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil.
  1. La Commission est assistée par un comité. Ce comité est un comité au sens du règlement (UE) n° 182/2011.
  2. Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) n° 182/2011 s'applique.
  3. Lorsque l'avis de la commission doit être obtenu par procédure écrite, cette procédure prend fin sans résultat lorsque, dans le délai fixé pour l'émission de l'avis, le président de la commission en décide ainsi ou un membre de la commission le demande.
 

Chapitre 9 – Dispositions finales

Au plus tard le 17 octobre 2027 et tous les 36 mois par la suite, la Commission réexaminera le fonctionnement de la présente directive et fera rapport au Parlement européen et au Conseil. Le rapport évalue notamment la pertinence de la taille des entités concernées ainsi que des secteurs, sous-secteurs et types d'entités visés aux annexes I et II pour le fonctionnement de l'économie et de la société en matière de cybersécurité. À cette fin et en vue de faire progresser davantage la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l'expérience acquise au niveau stratégique et opérationnel. Le rapport est accompagné, le cas échéant, d'une proposition législative.

 
  1. Au plus tard le 17 octobre 2024, les États membres adoptent et publient les mesures nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission.
    Ils appliquent ces mesures à partir du 18 octobre 2024.
  2. Lorsque les États membres adoptent les mesures visées au paragraphe 1, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont fixées par les États membres.

Dans le règlement (UE) n° 910/2014, l'article 19 est supprimé avec effet au 18 octobre 2024.

Dans la directive (UE) 2018/1972, les articles 40 et 41 sont supprimés avec effet au 18 octobre 2024.

La directive (UE) 2016/1148 est abrogée avec effet au 18 octobre 2024.

Les références à la directive abrogée doivent être interprétées comme des références à la présente directive et doivent être lues conformément au tableau de correspondance figurant à l'annexe III.

La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Les États membres sont destinataires de la présente directive.

Annexes

SecteurSous-secteurType d'entité
1.Énergie
(un)Électricité
Entreprises d'électricité telles que définies à l'article 2, point (57), de la directive (UE) 2019/944 du Parlement européen et du Conseil (1), qui remplissent la fonction de «fourniture» telle que définie à l'article 2, point ( 12), de cette directive
Gestionnaires de réseaux de distribution tels que définis à l'article 2, point (29), de la directive (UE) 2019/944
Gestionnaires de réseau de transport tels que définis à l'article 2, point (35), de la directive (UE) 2019/944
Producteurs tels que définis à l'article 2, point (38), de la directive (UE) 2019/944
Opérateurs du marché de l'électricité désignés tels que définis à l'article 2, point (8), du règlement (UE) 2019/943 du Parlement européen et du Conseil (2)
Acteurs du marché tels que définis à l'article 2, point (25), du règlement (UE) 2019/943 fournissant des services d'agrégation, de réponse à la demande ou de stockage d'énergie tels que définis à l'article 2, points (18), (20) et (59), du Directive (UE) 2019/944
Opérateurs d'une borne de recharge chargés de la gestion et de l'exploitation d'une borne de recharge qui fournit un service de recharge aux utilisateurs finaux, y compris au nom et pour le compte d'un prestataire de services de mobilité
(b)Chauffage et refroidissement urbains
Exploitants de chauffage urbain ou de refroidissement urbain tels que définis à l'article 2, point (19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil (3)
(c)Huile
Exploitants d'oléoducs
Opérateurs d'installations de production, de raffinage et de traitement, de stockage et de transport de pétrole
Entités centrales de stockage telles que définies à l'article 2, point f), de la directive 2009/119/CE du Conseil (4)
(d)Gaz
Entreprises de fourniture telles que définies à l'article 2, point (8), de la directive 2009/73/CE du Parlement européen et du Conseil (5)
Gestionnaires de réseaux de distribution tels que définis à l'article 2, point (6), de la directive 2009/73/CE
Gestionnaires de réseau de transport tels que définis à l'article 2, point (4), de la directive 2009/73/CE
Gestionnaires de systèmes de stockage tels que définis à l'article 2, point (10), de la directive 2009/73/CE
Gestionnaires de systèmes GNL tels que définis à l'article 2, point (12), de la directive 2009/73/CE
Entreprises de gaz naturel telles que définies à l'article 2, point (1), de la directive 2009/73/CE
Exploitants d'installations de raffinage et de traitement du gaz naturel
(e)Hydrogène
Opérateurs de production, de stockage et de transport d'hydrogène
2.Transport
(un)Air
Transporteurs aériens tels que définis à l'article 3, point (4), du règlement (CE) n° 300/2008 utilisés à des fins commerciales
Organismes gestionnaires d'aéroports tels que définis à l'article 2, point (2), de la directive 2009/12/CE du Parlement européen et du Conseil (6), aéroports tels que définis à l'article 2, point (1), de cette directive, y compris les aéroports principaux énumérés à l'annexe II, section 2, du règlement (UE) no 1315/2013 du Parlement européen et du Conseil (7), et les entités exploitant des installations auxiliaires contenues dans les aéroports
Opérateurs de contrôle de la gestion du trafic fournissant des services de contrôle du trafic aérien (ATC) tels que définis à l'article 2, point (1), du règlement (CE) no 549/2004 du Parlement européen et du Conseil (8)
(b)Rail
Gestionnaires d'infrastructures tels que définis à l'article 3, point (2), de la directive 2012/34/UE du Parlement européen et du Conseil (9)
Entreprises ferroviaires telles que définies à l'article 3, point (1), de la directive 2012/34/UE, y compris les exploitants d'installations de service telles que définies à l'article 3, point (12), de cette directive
(c)Eau
Entreprises de transport fluvial de passagers et de marchandises par voie terrestre, maritime et côtière, telles que définies pour le transport maritime à l'annexe I du règlement (CE) no 725/2004 du Parlement européen et du Conseil (10), à l'exclusion des navires individuels exploités par ces entreprises
Organismes gestionnaires de ports tels que définis à l'article 3, point (1), de la directive 2005/65/CE du Parlement européen et du Conseil (11), y compris leurs installations portuaires telles que définies à l'article 2, point (11), du Règlement (CE) n° 725/2004 et entités exploitant des ouvrages et équipements contenus dans les ports
Opérateurs de services de trafic maritime (VTS) tels que définis à l'article 3, point o), de la directive 2002/59/CE du Parlement européen et du Conseil (12)
(d)Route
Autorités routières telles que définies à l'article 2, point (12), du règlement délégué (UE) 2015/962 de la Commission (13) chargées du contrôle de la gestion du trafic, à l'exclusion des entités publiques pour lesquelles la gestion du trafic ou l'exploitation de systèmes de transport intelligents ne constituent pas un partie essentielle de leur activité générale
Opérateurs de systèmes de transport intelligents tels que définis à l'article 4, point (1), de la directive 2010/40/UE du Parlement européen et du Conseil (14)
3.Bancaire
 Établissements de crédit tels que définis à l'article 4, point (1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil (15)
4.Infrastructures des marchés financiers
 
Opérateurs de plates-formes de négociation tels que définis à l'article 4, point (24), de la directive 2014/65/UE du Parlement européen et du Conseil (16)
Contreparties centrales (CCP) telles que définies à l'article 2, point (1), du règlement (UE) no 648/2012 du Parlement européen et du Conseil (17)
5.Santé
 
Prestataires de soins de santé tels que définis à l'article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil (18)
Laboratoires de référence de l'UE visés à l'article 15 du règlement (UE) 2022/2371 du Parlement européen et du Conseil (19)
Entités exerçant des activités de recherche et de développement de médicaments telles que définies à l'article 1er, point (2), de la directive 2001/83/CE du Parlement européen et du Conseil (20)
Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques visées à la section C, division 21 de la NACE Rév. 2
Entités fabriquant des dispositifs médicaux considérés comme critiques lors d’une urgence de santé publique (liste des dispositifs critiques d’urgence de santé publique) au sens de l’article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil (21)
6.Boire de l'eau
 Fournisseurs et distributeurs d'eau destinée à la consommation humaine telle que définie à l'article 2, point (1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil (22), à l'exclusion des distributeurs pour lesquels la distribution d'eau la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d'autres produits et biens
7.Eaux usées
 Entreprises collectant, éliminant ou traitant les eaux urbaines résiduaires, les eaux usées domestiques ou les eaux usées industrielles telles que définies à l'article 2, points (1), (2) et (3), de la directive 91/271/CEE du Conseil (23), à l'exclusion les entreprises pour lesquelles la collecte, l'élimination ou le traitement des eaux urbaines résiduaires, des eaux usées domestiques ou des eaux usées industrielles constituent une partie non essentielle de leur activité générale
8.Infrastructure numérique
 
Fournisseurs de points d'échange Internet
Fournisseurs de services DNS, à l'exclusion des opérateurs de serveurs de noms racine
Registres de noms de TLD
Fournisseurs de services de cloud computing
Fournisseurs de services de centres de données
Fournisseurs de réseaux de diffusion de contenu
Fournisseurs de services de confiance
Fournisseurs de réseaux publics de communications électroniques
Fournisseurs de services de communications électroniques accessibles au public
9.Gestion des services TIC (business-to-business)
 
Fournisseurs de services gérés
Fournisseurs de services de sécurité gérés
10.Administration publique
 
Entités de l'administration publique des gouvernements centraux telles que définies par un État membre conformément au droit national
Entités de l'administration publique au niveau régional telles que définies par un État membre conformément au droit national
11.Espace
 Opérateurs d'infrastructures au sol, détenues, gérées et exploitées par des États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l'exclusion des fournisseurs de réseaux publics de communications électroniques
(1) Directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 établissant des règles communes pour le marché intérieur de l'électricité et modifiant la directive 2012/27/UE (JO L 158 du 14.6.2019, p. 125).
(2) Règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l'électricité (JO L 158 du 14.6.2019, p. 54).
(3) Directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie provenant de sources renouvelables (JO L 328 du 21.12.2018, p. 82).
(4) Directive 2009/119/CE du Conseil du 14 septembre 2009 imposant aux États membres l'obligation de maintenir des stocks minimaux de pétrole brut et/ou de produits pétroliers (JO L 265 du 9.10.2009, p. 9).
(5) Directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE (JO L 211 du 14.8.2009, p. 94).
(6) Directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 relative aux redevances aéroportuaires (JO L 70 du 14.3.2009, p. 11).
(7) Règlement (UE) n° 1315/2013 du Parlement européen et du Conseil du 11 décembre 2013 concernant les orientations de l'Union pour le développement du réseau transeuropéen de transport et abrogeant la décision n° 661/2010/UE (JO L 348 du 20.12.2013, p. 1).
(8) Règlement (CE) n° 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la création du ciel unique européen (le règlement-cadre) (JO L 96 du 31.3.2004, p. 1).
(9) Directive 2012/34/UE du Parlement européen et du Conseil du 21 novembre 2012 établissant un espace ferroviaire unique européen (JO L 343 du 14.12.2012, p. 32).
(10) Règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif au renforcement de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6).
(11) Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative au renforcement de la sûreté portuaire (JO L 310 du 25.11.2005, p. 28).
(12) Directive 2002/59/CE du Parlement européen et du Conseil du 27 juin 2002 établissant un système communautaire de suivi et d'information sur le trafic maritime et abrogeant la directive 93/75/CEE du Conseil (JO L 208 du 5.8.2002, p. dix).
(13) Règlement délégué (UE) 2015/962 de la Commission du 18 décembre 2014 complétant la directive 2010/40/UE du Parlement européen et du Conseil en ce qui concerne la fourniture de services d'information sur le trafic en temps réel à l'échelle de l'UE (JO L 157 du 23.6.2015, p. 21).
(14) Directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 relative au cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et pour les interfaces avec d'autres modes de transport (JO L 207 du 6.8.2010, p. 1).
(15) Règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 relatif aux exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) n° 648/2012 (JO L 176 du 27.6.2013, p. 1).
(16) Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349).
(17) Règlement (UE) n° 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1).
(18) Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).
(19) Règlement (UE) 2022/2371 du Parlement européen et du Conseil du 23 novembre 2022 relatif aux menaces transfrontalières graves pour la santé et abrogeant la décision n° 1082/2013/UE (JO L 314 du 6.12.2022, p. 26).
(20) Directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain (JO L 311 du 28.11.2001, p. 67).
(21) Règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif au rôle renforcé de l'Agence européenne des médicaments dans la préparation et la gestion des crises concernant les médicaments et les dispositifs médicaux (JO L 20 du 31.1.2022, p. 1).
(22) Directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine (JO L 435 du 23.12.2020, p. 1).
(23) Directive 91/271/CEE du Conseil du 21 mai 1991 concernant le traitement des eaux urbaines résiduaires (JO L 135 du 30.5.1991, p. 40).
Secteur Sous-secteur Type d'entité
1. Services postaux et de messagerie
Prestataires de services postaux tels que définis à l'article 2, point (1 bis), de la directive 97/67/CE, y compris les prestataires de services de courrier
2. La gestion des déchets
Entreprises assurant la gestion des déchets au sens de l'article 3, point (9), de la directive 2008/98/CE du Parlement européen et du Conseil (1), à l'exclusion des entreprises pour lesquelles la gestion des déchets ne constitue pas la principale activité économique
3. Fabrication, production et distribution de produits chimiques
Entreprises effectuant la fabrication de substances et la distribution de substances ou de mélanges, visées à l'article 3, points (9) et (14), du règlement (CE) n° 1907/2006 du Parlement européen et du Conseil (2) et les entreprises réalisant la production d'articles, tels que définis à l'article 3, point (3), de ce règlement, à partir de substances ou de mélanges
4. Production, transformation et distribution de produits alimentaires
Entreprises alimentaires telles que définies à l'article 3, point (2), du règlement (CE) n° 178/2002 du Parlement européen et du Conseil (3) qui sont engagés dans la distribution en gros et la production et la transformation industrielles
5. Fabrication
(un) Fabrication de dispositifs médicaux et  in vitro dispositifs médicaux de diagnostic
Entités fabriquant des dispositifs médicaux tels que définis à l'article 2, point (1), du règlement (UE) 2017/745 du Parlement européen et du Conseil (4), et entités fabriquant  in vitro dispositifs médicaux de diagnostic tels que définis à l'article 2, point (2), du règlement (UE) 2017/746 du Parlement européen et du Conseil (5) à l'exception des entités fabriquant des dispositifs médicaux visées à l'annexe I, point 5, cinquième tiret, de la présente directive
(b) Fabrication de produits informatiques, électroniques et optiques
Entreprises exerçant l'une des activités économiques visées à la section C, division 26 de la NACE Rév. 2
(c) Fabrication de matériel électrique
Entreprises exerçant l'une des activités économiques visées à la section C, division 27, de la NACE Rév. 2
(d) Fabrication de machines et d'équipements nca
Entreprises exerçant l'une des activités économiques visées à la section C, division 28 de la NACE Rév. 2
(e) Fabrication de véhicules automobiles, remorques et semi-remorques
Entreprises exerçant l'une des activités économiques visées à la section C, division 29, de la NACE Rév. 2
(F) Fabrication d'autres matériels de transport
Entreprises exerçant l'une des activités économiques visées à la section C, division 30 de la NACE Rév. 2
6. Fournisseurs numériques
Fournisseurs de places de marché en ligne
Fournisseurs de moteurs de recherche en ligne
Fournisseurs de plateformes de services de réseaux sociaux
7. Recherche
Organismes de recherche
(1) Directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives (JO L 312 du 22.11.2008, p. 3).
(2) Règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant l'enregistrement, l'évaluation, l'autorisation et les restrictions des substances chimiques (REACH), instituant une Agence européenne des produits chimiques, modifiant la directive 1999/45/CE et abrogeant le Conseil Règlement (CEE) n° 793/93 et règlement de la Commission (CE) n° 1488/94 ainsi que la directive 76/769/CEE du Conseil et les directives de la Commission 91/155/CEE, 93/67/CEE, 93/105/CE et 2000. /21/CE (JO L 396 du 30.12.2006, p. 1).
(3) Règlement (CE) n° 178/2002 du Parlement européen et du Conseil du 28 janvier 2002 établissant les principes généraux et les exigences générales de la législation alimentaire, instituant l'Autorité européenne de sécurité des aliments et fixant les procédures en matière de sécurité alimentaire (JO L 31 du 1.2.2002, p. 1).
(4) Règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n° 178/2002 et le règlement (CE) n° 1223/2009 et abrogeant Directives du Conseil 90/385/CEE et 93/42/CEE (JO L 117 du 5.5.2017, p. 1).
(5) Règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission (JO L 117 du 5.5.2017, p. 176).

Voulez-vous en savoir plus ?

Parlez à un expert NIS 2

Rencontrez Matt et réservez un gratuit 15 minutes appelez ci-dessous pour mieux comprendre comment mettre en œuvre la conformité NIS 2 dans votre entreprise

Consulter un spécialiste

ou

Demandez-nous n'importe quoi
Linkedin Youtube

À propos de nous.

Organisée par NIS2Compliant.org, cette page fournit des informations de source publique sur tout ce qui concerne la prochaine directive NIS2. Présenté de manière claire et concise pour une consommation facile.

 

Clause de non-responsabilité
Les informations fournies sur ce site Web sont uniquement destinées à des fins éducatives et informatives. Le contenu n'est pas destiné à remplacer un avis professionnel ou tout autre conseil, service juridique, etc. Les administrateurs et contributeurs du site ne font aucune déclaration ou garantie quant aux informations contenues dans le site. Toute confiance que vous accordez à ces informations est donc strictement à vos propres risques.

Plus d'information:

Fil d'actualité.

Entrer en contact.

Réserver un appel de 15 min

Téléphone:
00386 41 948 698

E-mail:
devenir@nis2compliant.org

Copyright par Nis2Compliant.org