?

19.7.2016    | EN | Official Journal of the European Union | L 194/119.7.2016    | FR | Journal officiel de l'Union européenne | L 194/1
DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILDIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL
of 6 July 2016du 6 juillet 2016
concerning measures for a high common level of security of network and information systems across the Unionconcernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,
Having regard to the proposal from the European Commission,vu la proposition de la Commission européenne,
After transmission of the draft legislative act to the national parliaments,après transmission du projet d'acte législatif aux parlements nationaux,
Having regard to the opinion of the European Economic and Social Committee (1),vu l'avis du Comité économique et social européen (1),
Acting in accordance with the ordinary legislative procedure (2),statuant conformément à la procédure législative ordinaire (2),
Whereas:considérant ce qui suit:
(1) | Network and information systems and services play a vital role in society. Their reliability and security are essential to economic and societal activities, and in particular to the functioning of the internal market.(1) | Les réseaux et les services et systèmes d'information jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles aux fonctions économiques et sociétales et notamment au fonctionnement du marché intérieur.
(2) | The magnitude, frequency and impact of security incidents are increasing, and represent a major threat to the functioning of network and information systems. Those systems may also become a target for deliberate harmful actions intended to damage or interrupt the operation of the systems. Such incidents can impede the pursuit of economic activities, generate substantial financial losses, undermine user confidence and cause major damage to the economy of the Union.(2) | L'ampleur, la fréquence et l'impact des incidents de sécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d'information. Ces systèmes peuvent également devenir des cibles pour des actions intentionnelles malveillantes qui visent à la détérioration ou à l'interruption de leur fonctionnement. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'Union.
(3) | Network and information systems, and primarily the internet, play an essential role in facilitating the cross-border movement of goods, services and people. Owing to that transnational nature, substantial disruptions of those systems, whether intentional or unintentional and regardless of where they occur, can affect individual Member States and the Union as a whole. The security of network and information systems is therefore essential for the smooth functioning of the internal market.(3) | Les réseaux et les systèmes d'information, principalement l'internet, revêtent une importance essentielle pour la circulation transfrontalière des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes, qu'elle soit intentionnelle ou non et indépendamment du lieu où elle se produit, peut avoir une incidence sur certains États membres et sur l'Union dans son ensemble. La sécurité des réseaux et des systèmes d'information est donc essentielle au fonctionnement harmonieux du marché intérieur.
(4) | Building upon the significant progress within the European Forum of Member States in fostering discussions and exchanges on good policy practices, including the development of principles for European cyber-crisis cooperation, a Cooperation Group, composed of representatives of Member States, the Commission, and the European Union Agency for Network and Information Security (‘ENISA’), should be established to support and facilitate strategic cooperation between the Member States regarding the security of network and information systems. For that group to be effective and inclusive, it is essential that all Member States have minimum capabilities and a strategy ensuring a high level of security of network and information systems in their territory. In addition, security and notification requirements should apply to operators of essential services and to digital service providers to promote a culture of risk management and ensure that the most serious incidents are reported.(4) | En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, il convient de constituer un groupe de coopération réunissant des représentants des États membres, de la Commission et de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA) ayant pour mission de soutenir et de faciliter la coopération stratégique entre les États membres en ce qui concerne la sécurité des réseaux et des systèmes d'information. Pour que ce groupe soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de sécurité des réseaux et des systèmes d'information sur leur territoire. De plus, les opérateurs de services essentiels et les fournisseurs de service numérique devraient être soumis à des exigences en matière de sécurité et de notification, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés.
(5) | The existing capabilities are not sufficient to ensure a high level of security of network and information systems within the Union. Member States have very different levels of preparedness, which has led to fragmented approaches across the Union. This results in an unequal level of protection of consumers and businesses, and undermines the overall level of security of network and information systems within the Union. Lack of common requirements on operators of essential services and digital service providers in turn makes it impossible to set up a global and effective mechanism for cooperation at Union level. Universities and research centres have a decisive role to play in spurring research, development and innovation in those areas.(5) | Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de sécurité des réseaux et des systèmes d'information dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'Union. Les niveaux de protection des consommateurs et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de sécurité des réseaux et des systèmes d'information dans l'Union. En outre, l'absence d'exigences communes applicables aux opérateurs de services essentiels et aux fournisseurs de service numérique rend impossible la création d'un mécanisme général et efficace de coopération au niveau de l'Union. Les universités et les centres de recherche ont un rôle déterminant à jouer dans la stimulation de la recherche, du développement et de l'innovation dans ces domaines.
(6) | Responding effectively to the challenges of the security of network and information systems therefore requires a global approach at Union level covering common minimum capacity building and planning requirements, exchange of information, cooperation and common security requirements for operators of essential services and digital service providers. However, operators of essential services and digital service providers are not precluded from implementing security measures that are stricter than those provided for under this Directive.(6) | Il faut donc, pour faire face efficacement aux défis que pose la sécurité des réseaux et des systèmes d'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, l'échange d'informations, la coopération et des exigences communes en matière de sécurité pour les opérateurs de services essentiels et les fournisseurs de service numérique. Cependant, il n'est pas interdit aux opérateurs de services essentiels et aux fournisseurs de service numérique de mettre en œuvre des mesures de sécurité plus strictes que celles prévues par la présente directive.
(7) | To cover all relevant incidents and risks, this Directive should apply to both operators of essential services and digital service providers. However, the obligations on operators of essential services and digital service providers should not apply to undertakings providing public communication networks or publicly available electronic communication services within the meaning of Directive 2002/21/EC of the European Parliament and of the Council (3), which are subject to the specific security and integrity requirements laid down in that Directive, nor should they apply to trust service providers within the meaning of Regulation (EU) No 910/2014 of the European Parliament and of the Council (4), which are subject to the security requirements laid down in that Regulation.(7) | Pour que tous les incidents et risques pertinents soient couverts, il convient que la présente directive s'applique tant aux opérateurs de services essentiels qu'aux fournisseurs de service numérique. Cependant, les obligations imposées aux opérateurs de services essentiels et aux fournisseurs de service numérique ne devraient pas s'appliquer aux entreprises qui fournissent des réseaux de communications publics ou des services de communications électroniques accessibles au public au sens de la directive 2002/21/CE du Parlement européen et du Conseil (3), qui sont soumises aux exigences particulières relatives à la sécurité et à l'intégrité énoncées dans ladite directive, ni aux prestataires de services de confiance au sens du règlement (UE) no 910/2014 du Parlement européen et du Conseil (4), qui sont soumis aux exigences de sécurité énoncées dans ledit règlement.
(8) | This Directive should be without prejudice to the possibility for each Member State to take the necessary measures to ensure the protection of the essential interests of its security, to safeguard public policy and public security, and to allow for the investigation, detection and prosecution of criminal offences. In accordance with Article 346 of the Treaty on the Functioning of the European Union (TFEU), no Member State is to be obliged to supply information the disclosure of which it considers to be contrary to the essential interests of its security. In this context, Council Decision 2013/488/EU (5) and non-disclosure agreements, or informal non-disclosure agreements such as the Traffic Light Protocol, are of relevance.(8) | La présente directive devrait s'entendre sans préjudice de la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l'action publique et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales. Conformément à l'article 346 du traité sur le fonctionnement de l'Union européenne, aucun État membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. À cet égard, la décision 2013/488/UE du Conseil (5) et les accords de non-divulgation, ou les accords de non-divulgation informelle tels que le protocole d'échange d'information «Traffic Light Protocol», sont pertinents.
(9) | Certain sectors of the economy are already regulated or may be regulated in the future by sector-specific Union legal acts that include rules related to the security of network and information systems. Whenever those Union legal acts contain provisions imposing requirements concerning the security of network and information systems or notifications of incidents, those provisions should apply if they contain requirements which are at least equivalent in effect to the obligations contained in this Directive. Member States should then apply the provisions of such sector-specific Union legal acts, including those relating to jurisdiction, and should not carry out the identification process for operators of essential services as defined by this Directive. In this context, Member States should provide information to the Commission on the application of such lex specialis provisions. In determining whether the requirements on the security of network and information systems and the notification of incidents contained in sector-specific Union legal acts are equivalent to those contained in this Directive, regard should only be had to the provisions of relevant Union legal acts and their application in the Member States.(9) | Certains secteurs de l'économie sont déjà réglementés ou peuvent l'être à l'avenir par des actes juridiques sectoriels de l'Union comportant des règles relatives à la sécurité des réseaux et des systèmes d'information. Chaque fois que ces actes juridiques de l'Union contiennent des dispositions imposant des exigences relatives à la sécurité des réseaux et des systèmes d'information ou à la notification des incidents, ces dispositions devraient s'appliquer si elles contiennent des exigences ayant un effet au moins équivalent à celui des obligations figurant dans la présente directive. Les États membres devraient alors appliquer les dispositions des actes juridiques sectoriels concernés de l'Union, notamment celles relatives à la compétence, et ils ne devraient pas mettre en œuvre le processus d'identification des opérateurs de services essentiels tel qu'il est défini par la présente directive. À cet égard, les États membres devraient fournir à la Commission des informations sur l'application de telles dispositions de lex specialis. Pour établir si les exigences relatives à la sécurité des réseaux et des systèmes d'information et à la notification des incidents prévues par les actes juridiques sectoriels de l'Union sont équivalentes à celles qui sont énoncées dans la présente directive, il ne devrait être tenu compte que des dispositions des actes juridiques pertinents de l'Union et de leur application dans les États membres.
(10) | In the water transport sector, security requirements for companies, ships, port facilities, ports and vessel traffic services under Union legal acts cover all operations, including radio and telecommunication systems, computer systems and networks. Part of the mandatory procedures to be followed includes the reporting of all incidents and should therefore be considered as lex specialis, in so far as those requirements are at least equivalent to the corresponding provisions of this Directive.(10) | Dans le secteur des transports par voie d'eau, les exigences en matière de sécurité imposées par des actes juridiques de l'Union aux compagnies, aux navires, aux installations portuaires, aux ports et aux services de gestion du trafic maritime portent sur l'ensemble des activités, y compris les systèmes de radio et de télécommunications, les systèmes informatiques et les réseaux. Une partie des procédures auxquelles il est obligatoire de se conformer concerne le signalement de tous les incidents et devrait donc être considérée comme une lex specialis, dans la mesure où ces exigences sont au moins équivalentes aux dispositions correspondantes de la présente directive.
(11) | When identifying operators in the water transport sector, Member States should take into account existing and future international codes and guidelines developed in particular by the International Maritime Organisation, with a view to providing individual maritime operators with a coherent approach.(11) | Lors de l'identification des opérateurs dans le secteur des transports par voie d'eau, les États membres devraient prendre en compte les codes internationaux et les lignes directrices existants et futurs élaborés notamment par l'Organisation maritime internationale, en vue d'offrir une approche cohérente aux différents opérateurs maritimes.
(12) | Regulation and supervision in the sectors of banking and financial market infrastructures is highly harmonised at Union level, through the use of primary and secondary Union law and standards developed together with the European supervisory authorities. Within the banking union, the application and the supervision of those requirements are ensured by the single supervisory mechanism. For Member States that are not part of the banking union, this is ensured by the relevant banking regulators of Member States. In other areas of financial sector regulation, the European System of Financial Supervision also ensures a high degree of commonality and convergence in supervisory practices. The European Securities Markets Authority also plays a direct supervision role for certain entities, namely credit-rating agencies and trade repositories.(12) | La réglementation et la surveillance dans les secteurs de la banque et des infrastructures des marchés financiers sont hautement harmonisées au niveau de l'Union au moyen de dispositions du droit primaire et du droit dérivé de l'Union et de normes élaborées en collaboration avec les autorités européennes de surveillance. Au sein de l'union bancaire, l'application et la surveillance de ces exigences sont assurées par le mécanisme de surveillance unique. Pour les États membres qui ne font pas partie de l'union bancaire, ces fonctions sont assurées par leurs organes nationaux de réglementation bancaire compétents. Dans d'autres domaines de la réglementation du secteur financier, le système européen de surveillance financière garantit également un degré élevé d'uniformité et de convergence des pratiques en matière de surveillance. L'Autorité européenne des marchés financiers joue également un rôle direct de surveillance pour certaines entités, à savoir les agences de notation de crédit et les référentiels centraux.
(13) | Operational risk is a crucial part of prudential regulation and supervision in the sectors of banking and financial market infrastructures. It covers all operations including the security, integrity and resilience of network and information systems. The requirements in respect of those systems, which often exceed the requirements provided for under this Directive, are set out in a number of Union legal acts, including: rules on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, and rules on prudential requirements for credit institutions and investment firms, which include requirements concerning operational risk; rules on markets in financial instruments, which include requirements concerning risk assessment for investment firms and for regulated markets; rules on OTC derivatives, central counterparties and trade repositories, which include requirements concerning operational risk for central counterparties and trade repositories; and rules on improving securities settlement in the Union and on central securities depositories, which include requirements concerning operational risk. Furthermore, requirements for notification of incidents are part of normal supervisory practice in the financial sector and are often included in supervisory manuals. Member States should consider those rules and requirements in their application of lex specialis.(13) | Le risque opérationnel est un élément crucial de la réglementation et de la surveillance prudentielles dans les secteurs de la banque et des infrastructures de marchés financiers. Il porte sur toutes les activités, notamment la sécurité, l'intégrité et la résilience des réseaux et des systèmes d'information. Les exigences concernant ces systèmes, qui vont souvent au-delà des exigences prévues en vertu de la présente directive, sont définies dans un certain nombre d'actes juridiques de l'Union, y compris les règles concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, ainsi que les règles concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement, parmi lesquelles figurent les exigences concernant le risque opérationnel; les règles concernant les marchés d'instruments financiers, qui comprennent des exigences relatives à l'évaluation des risques pour les entreprises d'investissement et les marchés réglementés; les règles relatives aux instruments dérivés de gré à gré, aux contreparties centrales et aux référentiels centraux, parmi lesquelles figurent les exigences concernant le risque opérationnel applicables aux contreparties centrales et aux référentiels centraux; et les règles concernant l'amélioration du règlement de titres dans l'Union et les dépositaires centraux de titres, parmi lesquelles figurent les exigences concernant le risque opérationnel. En outre, les obligations en matière de notification des incidents font partie des pratiques de surveillance normales dans le secteur financier et sont souvent incluses dans les manuels de surveillance. Les États membres devraient tenir compte de ces règles et exigences au moment d'appliquer la lex specialis.
(14) | As noted by the European Central Bank in its opinion of 25 July 2014 (6), this Directive does not affect the regime under Union law for the Eurosystem's oversight of payment and settlement systems. It would be appropriate for the authorities responsible for such oversight to exchange experiences on matters concerning security of network and information systems with the competent authorities under this Directive. The same consideration applies to non-euro area members of the European System of Central Banks exercising such oversight of payment and settlement systems on the basis of national laws and regulations.(14) | Comme le fait observer la Banque centrale européenne dans son avis du 25 juillet 2014 (6), la présente directive n'a pas d'incidence sur le régime mis en place dans le droit de l'Union pour la surveillance des systèmes de paiement et de règlement dans le cadre de l'Eurosystème. Il serait opportun que les autorités chargées de cette surveillance procèdent à des échanges d'expériences sur les questions relatives à la sécurité des réseaux et des systèmes d'information avec les autorités compétentes en vertu de la présente directive. La même considération s'applique aux membres du Système européen de banques centrales qui n'appartiennent pas à la zone euro et qui exercent cette surveillance des systèmes de paiement et de règlement sur la base de leurs dispositions législatives et réglementaires nationales.
(15) | An online marketplace allows consumers and traders to conclude online sales or service contracts with traders, and is the final destination for the conclusion of those contracts. It should not cover online services that serve only as an intermediary to third-party services through which a contract can ultimately be concluded. It should therefore not cover online services that compare the price of particular products or services from different traders, and then redirect the user to the preferred trader to purchase the product. Computing services provided by the online marketplace may include processing of transactions, aggregations of data or profiling of users. Application stores, which operate as online stores enabling the digital distribution of applications or software programmes from third parties, are to be understood as being a type of online marketplace.(15) | Une place de marché en ligne permet aux consommateurs et aux professionnels de conclure des contrats de vente ou de service en ligne avec des professionnels et c'est la destination finale pour la conclusion desdits contrats. Elle ne devrait pas concerner les services en ligne qui ne servent que d'intermédiaires pour des services fournis par un tiers à travers lequel un contrat peut en définitive être conclu. Elle ne devrait donc pas concerner les services en ligne qui comparent le prix de certains produits ou services de plusieurs professionnels, avant de réorienter l'utilisateur vers le professionnel choisi en vue de l'achat du produit. Parmi les services informatiques fournis par la place de marché en ligne peuvent figurer le traitement de transactions, l'agrégation de données ou le profilage d'utilisateurs. Les magasins d'applications en ligne, qui fonctionnent comme des magasins en ligne permettant la distribution numérique d'applications ou de logiciels émanant de tiers, doivent s'entendre comme étant un type de place de marché en ligne.
(16) | An online search engine allows the user to perform searches of, in principle, all websites on the basis of a query on any subject. It may alternatively be focused on websites in a particular language. The definition of an online search engine provided in this Directive should not cover search functions that are limited to the content of a specific website, irrespective of whether the search function is provided by an external search engine. Neither should it cover online services that compare the price of particular products or services from different traders, and then redirect the user to the preferred trader to purchase the product.(16) | Un moteur de recherche en ligne permet à l'utilisateur d'effectuer des recherches sur, en principe, tous les sites internet sur la base d'une requête lancée sur n'importe quel sujet. Il peut aussi se limiter aux sites internet dans une langue donnée. La définition d'un moteur de recherche en ligne donnée par la présente directive ne devrait pas s'appliquer aux fonctions de recherche qui se limitent au contenu d'un site internet spécifique, indépendamment de la question de savoir si la fonction de recherche est assurée par un moteur de recherche externe. Elle ne devrait pas non plus concerner les services en ligne qui comparent le prix de certains produits ou services de différents professionnels et qui réorientent ensuite l'utilisateur vers le professionnel choisi en vue de l'achat du produit.
(17) | Cloud computing services span a wide range of activities that can be delivered according to different models. For the purposes of this Directive, the term ‘cloud computing services’ covers services that allow access to a scalable and elastic pool of shareable computing resources. Those computing resources include resources such as networks, servers or other infrastructure, storage, applications and services. The term ‘scalable’ refers to computing resources that are flexibly allocated by the cloud service provider, irrespective of the geographical location of the resources, in order to handle fluctuations in demand. The term ‘elastic pool’ is used to describe those computing resources that are provisioned and released according to demand in order to rapidly increase and decrease resources available depending on workload. The term ‘shareable’ is used to describe those computing resources that are provided to multiple users who share a common access to the service, but where the processing is carried out separately for each user, although the service is provided from the same electronic equipment.(17) | Les services d'informatique en nuage couvrent un vaste éventail d'activités qui peuvent être fournies selon différents modèles. Aux fins de la présente directive, les termes «services d'informatique en nuage» couvrent des services qui permettent l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. Ces ressources informatiques comprennent des ressources telles que les réseaux, serveurs et autres infrastructures, le stockage, les applications et les services. Le terme «modulable» renvoie aux ressources informatiques qui sont attribuées d'une manière souple par le fournisseur de services en nuage, indépendamment de la localisation géographique de ces ressources, pour gérer les fluctuations de la demande. Les termes «ensemble variable» sont utilisés pour décrire les ressources informatiques qui sont mobilisées et libérées en fonction de la demande pour pouvoir augmenter ou réduire rapidement les ressources disponibles en fonction de la charge de travail. Les termes «pouvant être partagées» sont utilisés pour décrire les ressources informatiques qui sont mises à disposition de nombreux utilisateurs qui partagent un accès commun au service, le traitement étant effectué séparément pour chaque utilisateur bien que le service soit fourni à partir du même équipement électronique.
(18) | The function of an internet exchange point (IXP) is to interconnect networks. An IXP does not provide network access or act as a transit provider or carrier. Nor does an IXP provide other services unrelated to interconnection, although this does not preclude an IXP operator from providing unrelated services. An IXP exists to interconnect networks that are technically and organisationally separate. The term ‘autonomous system’ is used to describe a technically stand-alone network.(18) | La fonction d'un point d'échange internet (IXP) est d'interconnecter des réseaux. Un IXP ne fournit pas d'accès à un réseau et n'agit pas en tant que fournisseur ou opérateur de transit. Un IXP ne fournit pas non plus d'autres services non liés à l'interconnexion, sans que cela empêche l'exploitant d'un IXP de fournir des services non liés. Un IXP a pour fonction d'interconnecter des réseaux qui sont distincts d'un point de vue technique et organisationnel. Les termes «système autonome» sont utilisés pour désigner un réseau autonome sur le plan technique.
(19) | Member States should be responsible for determining which entities meet the criteria of the definition of operator of essential services. In order to ensure a consistent approach, the definition of operator of essential services should be coherently applied by all Member States. To that end, this Directive provides for the assessment of the entities active in specific sectors and subsectors, the establishment of a list of essential services, the consideration of a common list of cross-sectoral factors to determine whether a potential incident would have a significant disruptive effect, a consultation process involving relevant Member States in the case of entities providing services in more than one Member State, and the support of the Cooperation Group in the identification process. In order to ensure that possible changes in the market are accurately reflected, the list of identified operators should be reviewed regularly by Member States and updated when necessary. Finally, Member States should submit to the Commission the information necessary to assess the extent to which this common methodology has allowed a consistent application of the definition by Member States.(19) | Les États membres devraient être chargés d'établir quelles sont les entités qui remplissent les critères de la définition d'un opérateur de services essentiels. Dans le souci d'assurer une démarche cohérente, la définition d'un opérateur de services essentiels devrait être appliquée de manière cohérente par tous les États membres. À cette fin, la présente directive prévoit l'évaluation des entités actives dans les secteurs et sous-secteurs spécifiques, l'établissement d'une liste de services essentiels, la prise en considération d'une liste commune des facteurs transsectoriels pour déterminer si un incident potentiel aurait un effet disruptif important, un processus de consultation faisant intervenir les États membres concernés dans le cas d'entités fournissant des services dans plus d'un État membre, et le soutien apporté par le groupe de coopération dans le cadre du processus d'identification. Afin qu'il soit fidèlement tenu compte des éventuels changements intervenus sur le marché, il convient que la liste des opérateurs identifiés soit régulièrement revue par les États membres et mise à jour si nécessaire. Enfin, les États membres devraient communiquer à la Commission les informations nécessaires à l'appréciation de la mesure dans laquelle cette méthode commune a permis de procéder à une application cohérente de la définition par les États membres.
(20) | In the process of identification of operators of essential services, Member States should assess, at least for each subsector referred to in this Directive, which services have to be considered as essential for the maintenance of critical societal and economic activities, and whether the entities listed in the sectors and subsectors referred to in this Directive and providing those services meet the criteria for the identification of operators. When assessing whether an entity provides a service which is essential for the maintenance of critical societal or economic activities, it is sufficient to examine whether that entity provides a service that is included in the list of essential services. Furthermore, it should be demonstrated that provision of the essential service is dependent on network and information systems. Finally, when assessing whether an incident would have a significant disruptive effect on the provision of the service, Member States should take into account a number of cross-sectoral factors, as well as, where appropriate, sector-specific factors.(20) | Dans le cadre du processus d'identification des opérateurs de services essentiels, il convient que les États membres évaluent, au moins pour chaque sous-secteur visé par la présente directive, quels services doivent être considérés comme essentiels au maintien de fonctions sociétales et économiques critiques et jugent si les entités qui sont énumérées pour les secteurs et sous-secteurs visés dans la présente directive et qui fournissent ces services remplissent les critères requis pour l'identification des opérateurs. Pour apprécier si une entité fournit un service qui est essentiel au maintien de fonctions sociétales ou économiques critiques, il suffit d'examiner si cette entité fournit un service figurant dans la liste des services essentiels. En outre, il y a lieu de démontrer que la fourniture du service essentiel dépend des réseaux et des systèmes d'information. Enfin, lorsqu'ils évaluent si un incident aurait un effet disruptif important sur la fourniture du service, les États membres devraient tenir compte d'un certain nombre de facteurs transsectoriels ainsi que, le cas échéant, de facteurs sectoriels.
(21) | For the purposes of identifying operators of essential services, establishment in a Member State implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary possessing legal personality, is not the determining factor in this respect.(21) | Aux fins d'identification des opérateurs de services essentiels, l'établissement dans un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable. La forme juridique retenue pour un tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard.
(22) | It is possible that entities operating in the sectors and subsectors referred to in this Directive provide both essential and non-essential services. For example, in the air transport sector, airports provide services which might be considered by a Member State to be essential, such as the management of the runways, but also a number of services which might be considered as non-essential, such as the provision of shopping areas. Operators of essential services should be subject to the specific security requirements only with respect to those services which are deemed to be essential. For the purpose of identifying operators, Member States should therefore establish a list of the services which are considered as essential.(22) | Il est possible que les entités relevant des secteurs et sous-secteurs visés dans la présente directive fournissent des services essentiels et des services non essentiels. Par exemple, dans le secteur du transport aérien, les aéroports fournissent des services qu'un État membre pourrait considérer comme essentiels, tels que la gestion des pistes, mais aussi un certain nombre de services qui pourraient être considérés comme non essentiels, tels que la mise à disposition de zones commerciales. Les opérateurs de services essentiels ne devraient être soumis aux exigences de sécurité spécifiques que pour les services qui sont jugés essentiels. Aux fins de l'identification des opérateurs, les États membres devraient dès lors établir une liste des services qui sont considérés comme essentiels.
(23) | The list of services should contain all services provided in the territory of a given Member State that fulfil the requirements under this Directive. Member States should be able to supplement the existing list by including new services. The list of services should serve as a reference point for Member States, allowing for identification of operators of essential services. Its purpose is to identify the types of essential services in any given sector referred to in this Directive, thus distinguishing them from non-essential activities for which an entity active in any given sector might be responsible. The list of services established by each Member State would serve as further input in the assessment of the regulatory practice of each Member State with a view to ensuring the overall level of consistency of the identification process amongst Member States.(23) | La liste des services devrait contenir tous les services fournis sur le territoire d'un État membre donné qui satisfont aux exigences prévues par la présente directive. Les États membres devraient être en mesure de compléter la liste existante en y incluant de nouveaux services. La liste des services devrait servir de point de référence aux États membres, en permettant d'identifier les opérateurs de services essentiels. Son objectif est d'identifier les types de services essentiels dans un secteur donné visé dans la présente directive, en les distinguant ainsi des activités non essentielles dont une entité active dans un secteur donné pourrait avoir la responsabilité. La liste des services établie par chaque État membre constituerait une contribution supplémentaire à l'évaluation des pratiques réglementaires de chaque État membre dans le but d'assurer la cohérence générale du processus d'identification dans les États membres.
(24) | For the purposes of the identification process, where an entity provides an essential service in two or more Member States, those Member States should engage in bilateral or multilateral discussions with each other. This consultation process is intended to help them to assess the critical nature of the operator in terms of cross-border impact, thereby allowing each Member State involved to present its views regarding the risks associated with the services provided. The Member States concerned should take into account each other's views in this process, and should be able to request the assistance of the Cooperation Group in this regard.(24) | Aux fins du processus d'identification, lorsqu'une entité fournit un service essentiel dans deux ou plusieurs États membres, les États membres en question devraient entamer des consultations bilatérales ou multilatérales entre eux. Ce processus de consultation est destiné à les aider à évaluer le caractère critique de l'opérateur en termes d'incidence transfrontalière en permettant ainsi à chaque État membre concerné de présenter son point de vue sur les risques associés aux services fournis. Lors de ce processus, les États membres concernés devraient tenir compte de leurs avis respectifs et ils devraient pouvoir solliciter l'assistance du groupe de coopération à cet égard.
(25) | As a result of the identification process, Member States should adopt national measures to determine which entities are subject to obligations regarding the security of network and information systems. This result could be achieved by adopting a list enumerating all operators of essential services or by adopting national measures including objective quantifiable criteria, such as the output of the operator or the number of users, which make it possible to determine which entities are subject to obligations regarding the security of network and information systems. The national measures, whether already existing or adopted in the context of this Directive, should include all legal measures, administrative measures and policies allowing for the identification of operators of essential services under this Directive.(25) | À la suite du processus d'identification, les États membres devraient adopter des mesures nationales visant à établir quelles entités sont soumises à des obligations en matière de sécurité des réseaux et des systèmes d'information. Ce résultat pourrait être atteint par l'adoption d'une liste énumérant tous les opérateurs de services essentiels ou par l'adoption de mesures nationales assorties de critères objectifs quantifiables, tels que la production de l'opérateur ou le nombre d'utilisateurs, qui permettent de déterminer quelles sont les entités qui sont soumises à des obligations en matière de sécurité des réseaux et des systèmes d'information. Les mesures nationales, que ces mesures soient préexistantes ou qu'elles soient adoptées dans le cadre de la présente directive, devraient inclure toutes les mesures juridiques, administratives et politiques permettant d'identifier des opérateurs de services essentiels conformément à la présente directive.
(26) | In order to give an indication of the importance, in relation to the sector concerned, of the identified operators of essential services, Member States should take into account the number and the size of those operators, for example in terms of market share or of the quantity produced or carried, without being obliged to divulge information which would reveal which operators have been identified.(26) | Afin de montrer l'importance, par rapport au secteur concerné, des opérateurs identifiés de services essentiels, les États membres devraient tenir compte du nombre et de la taille de ces opérateurs, par exemple en termes de parts de marché ou de quantité produite ou transportée, sans être contraints de divulguer des informations susceptibles de révéler l'identité des opérateurs identifiés.
(27) | In order to determine whether an incident would have a significant disruptive effect on the provision of an essential service, Member States should take into account a number of different factors, such as the number of users relying on that service for private or professional purposes. The use of that service can be direct, indirect or by intermediation. When assessing the impact that an incident could have, in terms of its degree and duration, on economic and societal activities or public safety, Member States should also assess the time likely to elapse before the discontinuity would start to have a negative impact.(27) | Afin de déterminer si un incident est susceptible d'avoir un effet disruptif important sur la fourniture d'un service essentiel, les États membres devraient prendre en compte plusieurs facteurs différents, tels que le nombre d'utilisateurs s'appuyant sur ce service à des fins privées ou professionnelles. Ce service peut s'utiliser de manière directe, indirecte ou à travers un intermédiaire. Lorsqu'ils évaluent l'impact qu'un incident pourrait avoir, du point de vue de son intensité et de sa durée, sur les fonctions économiques et sociétales ou sur la sûreté publique, les États membres devraient également estimer le temps qui pourrait s'écouler avant que l'interruption du service ne commence à avoir un impact négatif.
(28) | In addition to the cross-sectoral factors, sector-specific factors should also be considered in order to determine whether an incident would have a significant disruptive effect on the provision of an essential service. With regard to energy suppliers, such factors could include the volume or proportion of national power generated; for oil suppliers, the volume per day; for air transport, including airports and air carriers, rail transport and maritime ports, the proportion of national traffic volume and the number of passengers or cargo operations per year; for banking or financial market infrastructures, their systemic importance based on total assets or the ratio of those total assets to GDP; for the health sector, the number of patients under the provider's care per year; for water production, processing and supply, the volume and number and types of users supplied, including, for example, hospitals, public service organisations, or individuals, and the existence of alternative sources of water to cover the same geographical area.(28) | Afin de déterminer si un incident est susceptible d'avoir un effet disruptif important sur la fourniture d'un service essentiel, il convient, outre les facteurs transsectoriels, de prendre également en compte des facteurs sectoriels. Ces facteurs pourraient inclure, pour les fournisseurs d'énergie, le volume ou la proportion d'énergie produite au niveau national; pour les fournisseurs de pétrole, le volume journalier; pour le transport aérien, y compris les aéroports et les transporteurs aériens, le transport ferroviaire et les ports maritimes, la proportion du volume de trafic national et le nombre de passagers ou d'opérations de fret par an; pour les infrastructures bancaires ou des marchés financiers, leur importance systémique sur la base de leurs actifs totaux ou du ratio entre ces actifs totaux et le PIB; pour le secteur de la santé, le nombre annuel de patients pris en charge par le prestataire; pour la production, le traitement et la distribution d'eau, le volume d'eau, le nombre et les types d'utilisateurs servis, y compris, par exemple, des hôpitaux, des organismes de service public ou des particuliers, ainsi que l'existence d'autres sources d'approvisionnement en eau couvrant la même zone géographique.
(29) | To achieve and maintain a high level of security of network and information systems, each Member State should have a national strategy on the security of network and information systems defining the strategic objectives and concrete policy actions to be implemented.(29) | Pour atteindre un niveau élevé de sécurité des réseaux et des systèmes d'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de sécurité des réseaux et des systèmes d'information définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre.
(30) | In view of the differences in national governance structures and in order to safeguard already existing sectoral arrangements or Union supervisory and regulatory bodies, and to avoid duplication, Member States should be able to designate more than one national competent authority responsible for fulfilling the tasks linked to the security of the network and information systems of operators of essential services and digital service providers under this Directive.(30) | Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords existants au niveau sectoriel ou les autorités de surveillance et de régulation de l'Union et d'éviter les doubles emplois, les États membres devraient pouvoir désigner plusieurs autorités nationales compétentes chargées d'accomplir les tâches liées à la sécurité des réseaux et des systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique dans le cadre de la présente directive.
(31) | In order to facilitate cross-border cooperation and communication and to enable this Directive to be implemented effectively, it is necessary for each Member State, without prejudice to sectoral regulatory arrangements, to designate a national single point of contact responsible for coordinating issues related to the security of network and information systems and cross-border cooperation at Union level. Competent authorities and single points of contact should have the adequate technical, financial and human resources to ensure that they can carry out the tasks assigned to them in an effective and efficient manner and thus achieve the objectives of this Directive. As this Directive aims to improve the functioning of the internal market by creating trust and confidence, Member State bodies need to be able to cooperate effectively with economic actors and to be structured accordingly.(31) | Afin de faciliter la coopération et la communication transfrontalières et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre, sans préjudice des accords sectoriels de régulation, désigne un point de contact national unique chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d'information et de la coopération transfrontalière au niveau de l'Union. Les autorités compétentes et les points de contact uniques devraient être dotés de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de manière effective et efficace des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive. Étant donné que la présente directive vise à améliorer le fonctionnement du marché intérieur par l'instauration de la confiance, les organismes des États membres doivent être en mesure de coopérer efficacement avec les acteurs économiques et être structurés en conséquence.
(32) | Competent authorities or the computer security incident response teams (‘CSIRTs’) should receive notifications of incidents. The single points of contact should not receive directly any notifications of incidents unless they also act as a competent authority or a CSIRT. A competent authority or a CSIRT should however be able to task the single point of contact with forwarding incident notifications to the single points of contact of other affected Member States.(32) | Les autorités compétentes ou les centres de réponse aux incidents de sécurité informatique (CSIRT) devraient recevoir les notifications d'incidents. Les points de contact uniques ne devraient pas recevoir directement toutes les notifications d'incidents, à moins qu'ils n'agissent également en qualité d'autorité compétente ou de CSIRT. Une autorité compétente ou un CSIRT devrait cependant pouvoir charger le point de contact unique de transmettre les notifications d'incidents aux points de contact uniques d'autres États membres touchés.
(33) | To ensure the effective provision of information to the Member States and to the Commission, a summary report should be submitted by the single point of contact to the Cooperation Group, and should be anonymised in order to preserve the confidentiality of the notifications and the identity of operators of essential services and digital service providers, as information on the identity of the notifying entities is not required for the exchange of best practice in the Cooperation Group. The summary report should include information on the number of notifications received, as well as an indication of the nature of the notified incidents, such as the types of security breaches, their seriousness or their duration.(33) | Pour assurer l'information effective des États membres et de la Commission, un rapport de synthèse devrait être soumis par le point de contact unique au groupe de coopération et devrait être rendu anonyme afin de préserver la confidentialité des notifications et l'identité des opérateurs de services essentiels et des fournisseurs de service numérique, étant donné que les données relatives à l'identité des entités qui sont à l'origine de la notification ne sont pas requises pour l'échange de bonnes pratiques au sein du groupe de coopération. Le rapport de synthèse devrait contenir des informations sur le nombre de notifications reçues ainsi qu'une indication de la nature des incidents notifiés, telle que les types d'atteintes à la sécurité, leur gravité ou leur durée.
(34) | Member States should be adequately equipped, in terms of both technical and organisational capabilities, to prevent, detect, respond to and mitigate network and information system incidents and risks. Member States should therefore ensure that they have well-functioning CSIRTs, also known as computer emergency response teams (‘CERTs’), complying with essential requirements to guarantee effective and compatible capabilities to deal with incidents and risks and ensure efficient cooperation at Union level. In order for all types of operators of essential services and digital service providers to benefit from such capabilities and cooperation, Member States should ensure that all types are covered by a designated CSIRT. Given the importance of international cooperation on cybersecurity, CSIRTs should be able to participate in international cooperation networks in addition to the CSIRTs network established by this Directive.(34) | Les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes d'information et prendre les mesures d'intervention et d'atténuation nécessaires. Les États membres devraient dès lors veiller à disposer de CSIRT, également connus sous la dénomination de centres de réponse aux urgences informatiques (CERT), opérationnels et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. Afin que tous les types d'opérateurs de services essentiels et de fournisseurs de service numérique puissent bénéficier de ces moyens et de cette coopération, les États membres devraient veiller à ce que tous les types soient couverts par un CSIRT désigné. Compte tenu de l'importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive.
(35) | As most network and information systems are privately operated, cooperation between the public and private sectors is essential. Operators of essential services and digital service providers should be encouraged to pursue their own informal cooperation mechanisms to ensure the security of network and information systems. The Cooperation Group should be able to invite relevant stakeholders to the discussions where appropriate. To encourage effectively the sharing of information and of best practice, it is essential to ensure that operators of essential services and digital service providers who participate in such exchanges are not disadvantaged as a result of their cooperation.(35) | Étant donné que la plupart des réseaux et des systèmes d'information sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les opérateurs de services essentiels et les fournisseurs de service numérique à mettre en place leurs propres mécanismes informels de coopération pour garantir la sécurité des réseaux et des systèmes d'information. Le groupe de coopération devrait pouvoir inviter les parties prenantes concernées aux discussions, s'il y a lieu. Il est essentiel, pour encourager effectivement le partage des informations et des bonnes pratiques, de veiller à ce que les opérateurs de services essentiels et les fournisseurs de service numérique qui participent à ces échanges ne soient pas désavantagés du fait même de leur coopération.
(36) | ENISA should assist the Member States and the Commission by providing expertise and advice and by facilitating the exchange of best practice. In particular, in the application of this Directive, the Commission should, and Member States should be able to, consult ENISA. To build capacity and knowledge among Member States, the Cooperation Group should also serve as an instrument for the exchange of best practice, discussion of capabilities and preparedness of the Member States and, on a voluntary basis, to assist its members in evaluating national strategies on the security of network and information systems, building capacity and evaluating exercises relating to the security of network and information systems.(36) | L'ENISA devrait assister les États membres et la Commission en mettant à leur disposition ses connaissances et ses conseils et en facilitant l'échange des bonnes pratiques. En particulier, la Commission devrait consulter l'ENISA et les États membres devraient pouvoir la consulter en ce qui concerne l'application de la présente directive. Afin de développer les moyens disponibles et la connaissance dans les États membres, le groupe de coopération devrait aussi être un outil d'échange des bonnes pratiques et d'examen des capacités et de l'état de préparation des États membres et, à titre volontaire, il devrait aider ses membres à évaluer leurs stratégies nationales en matière de sécurité des réseaux et des systèmes d'information, à renforcer leurs capacités et à évaluer les exercices relatifs à la sécurité des réseaux et des systèmes d'information.
(37) | Where appropriate, Member States should be able to use or adapt existing organisational structures or strategies when applying this Directive.(37) | Le cas échéant, les États membres devraient pouvoir utiliser ou adapter les structures organisationnelles ou les stratégies existantes aux fins de l'application de la présente directive.
(38) | The respective tasks of the Cooperation Group and of ENISA are interdependent and complementary. In general, ENISA should assist the Cooperation Group in the execution of its tasks, in line with the objective of ENISA set out in Regulation (EU) No 526/2013 of the European Parliament and the Council (7), namely to assist the Union institutions, bodies, offices and agencies and the Member States in implementing the policies necessary to meet the legal and regulatory requirements of network and information system security under existing and future legal acts of the Union. In particular, ENISA should provide assistance in those areas that correspond to its own tasks, as set out in Regulation (EU) No 526/2013, namely analysing network and information system security strategies, supporting the organisation and running of Union exercises relating to the security of network and information systems, and exchanging information and best practice on awareness-raising and training. ENISA should also be involved in the development of guidelines for sector-specific criteria for determining the significance of the impact of an incident.(38) | Les tâches respectives du groupe de coopération et de l'ENISA sont interdépendantes et complémentaires. D'une manière générale, l'ENISA devrait aider le groupe de coopération dans l'accomplissement de ses tâches, conformément à l'objectif de l'ENISA défini au règlement (UE) no 526/2013 du Parlement européen et du Conseil (7), qui consiste à assister les institutions, organes et organismes de l'Union et les États membres dans la mise en œuvre des politiques nécessaires pour satisfaire aux exigences légales et réglementaires requises au titre des actes juridiques existants et à venir de l'Union en matière de sécurité des réseaux et des systèmes d'information. En particulier, l'ENISA devrait fournir une assistance dans les domaines qui correspondent à ses propres missions telles que définies dans le règlement (UE) no 526/2013, à savoir l'analyse des stratégies en matière de sécurité des réseaux et des systèmes d'information, le soutien à l'organisation et à la réalisation d'exercices de l'Union portant sur la sécurité des réseaux et des systèmes d'information et l'échange d'informations et de bonnes pratiques en matière de sensibilisation et de formation. L'ENISA devrait également participer à l'élaboration de lignes directrices pour la définition de critères sectoriels permettant d'établir l'ampleur de l'impact d'un incident.
(39) | In order to promote advanced security of network and information systems, the Cooperation Group should, where appropriate, cooperate with relevant Union institutions, bodies, offices and agencies, to exchange know-how and best practice, and to provide advice on security aspects of network and information systems that might have an impact on their work, while respecting existing arrangements for the exchange of restricted information. In cooperating with law enforcement authorities regarding the security aspects of network and information systems that might have an impact on their work, the Cooperation Group should respect existing channels of information and established networks.(39) | Afin de promouvoir la sécurité renforcée des réseaux et des systèmes d'information, il convient que le groupe de coopération coopère, le cas échéant, avec les institutions, organes et organismes compétents de l'Union en vue d'échanger le savoir-faire et les bonnes pratiques et de fournir des conseils sur les aspects relatifs à la sécurité des réseaux et des systèmes d'information qui pourraient avoir une incidence sur leurs activités, dans le respect des dispositions en vigueur en matière d'échange d'informations restreintes. Dans sa coopération avec les services répressifs concernant les questions relatives à la sécurité des réseaux et des systèmes d'information susceptibles d'avoir une incidence sur leurs activités, le groupe de coopération devrait respecter les canaux d'information existants et les réseaux établis.
(40) | Information about incidents is increasingly valuable to the general public and businesses, particularly small and medium-sized enterprises. In some cases, such information is already provided via websites at the national level, in the language of a specific country and focusing mainly on incidents and occurrences with a national dimension. Given that businesses increasingly operate across borders and citizens use online services, information on incidents should be provided in an aggregated form at Union level. The secretariat of the CSIRTs network is encouraged to maintain a website or to host a dedicated page on an existing website, where general information on major incidents that have occurred across the Union is made available to the general public, with a specific focus on the interests and needs of businesses. CSIRTs participating in the CSIRTs network are encouraged to provide on a voluntary basis the information to be published on that website, without including confidential or sensitive information.(40) | Les informations relatives aux incidents s'avèrent de plus en plus précieuses pour le grand public et pour les entreprises, en particulier pour les petites et moyennes entreprises. Dans certains cas, ces informations sont déjà fournies par des sites internet au niveau national, dans la langue du pays et elles sont centrées principalement sur les incidents et événements ayant une dimension nationale. Étant donné que les entreprises exercent de plus en plus d'activités transfrontalières et que les citoyens recourent aux services en ligne, il convient que les informations concernant les incidents soient fournies sous forme agrégée au niveau de l'Union. Le secrétariat du réseau des CSIRT est encouragé à tenir à jour un site internet ou à héberger une page spéciale sur un site internet existant, mettant à la disposition du grand public des informations générales sur les principaux incidents qui sont survenus dans toute l'Union, en mettant l'accent sur les intérêts et les besoins des entreprises. Les CSIRT participant au réseau des CSIRT sont encouragés à fournir, à titre volontaire, les informations destinées à être publiées sur ce site internet sans que cela ne comporte d'informations confidentielles ou sensibles.
(41) | Where information is considered to be confidential in accordance with Union and national rules on business confidentiality, such confidentiality should be ensured when carrying out the activities and fulfilling the objectives set by this Directive.(41) | Lorsque des informations sont considérées comme confidentielles conformément à la réglementation nationale ou de l'Union en matière de secret des affaires, cette confidentialité devrait être garantie lors de l'exécution des activités et de la réalisation des objectifs énoncés par la présente directive.
(42) | Exercises which simulate real-time incident scenarios are essential for testing Member States' preparedness and cooperation regarding the security of network and information systems. The CyberEurope cycle of exercises coordinated by ENISA with the participation of the Member States is a useful tool for testing and drawing up recommendations on how incident-handling at Union level should improve over time. Considering that the Member States are not currently under any obligation to either plan or participate in exercises, the creation of the CSIRTs network under this Directive should enable Member States to participate in exercises on the basis of accurate planning and strategic choices. The Cooperation Group set up under this Directive should discuss the strategic decisions regarding exercises, in particular but not exclusively as regards the regularity of the exercises and the design of the scenarios. ENISA should, in accordance with its mandate, support the organisation and running of Union-wide exercises by providing its expertise and advice to the Cooperation Group and the CSIRTs network.(42) | Les exercices qui simulent des scénarios d'incidents en temps réel sont essentiels pour tester l'état de préparation et la coopération des États membres quant à la sécurité des réseaux et des systèmes d'information. Le cycle d'exercices CyberEurope coordonné par l'ENISA avec la participation des États membres est un outil utile pour réaliser des tests et établir des recommandations sur la manière dont la gestion d'incidents au niveau de l'Union devrait s'améliorer au fil du temps. Étant donné que les États membres ne sont pas actuellement tenus de programmer des exercices ni d'y participer, la création du réseau des CSIRT dans le cadre de la présente directive devrait leur permettre de prendre part à des exercices sur la base d'une planification précise et de choix stratégiques. Le groupe de coopération institué par la présente directive devrait examiner les décisions stratégiques concernant les exercices, en particulier, mais pas exclusivement, pour ce qui est de leur régularité et de la conception des scénarios. L'ENISA devrait, conformément à son mandat, soutenir l'organisation et la tenue d'exercices dans l'ensemble de l'Union en fournissant ses connaissances et ses conseils au groupe de coopération et au réseau des CSIRT.
(43) | Given the global nature of security problems affecting network and information systems, there is a need for closer international cooperation to improve security standards and information exchange, and to promote a common global approach to security issues.(43) | Étant donné que les problèmes de sécurité affectant les réseaux et les systèmes d'information ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de sécurité.
(44) | Responsibilities in ensuring the security of network and information systems lie, to a great extent, with operators of essential services and digital service providers. A culture of risk management, involving risk assessment and the implementation of security measures appropriate to the risks faced, should be promoted and developed through appropriate regulatory requirements and voluntary industry practices. Establishing a trustworthy level playing field is also essential to the effective functioning of the Cooperation Group and the CSIRTs network, to ensure effective cooperation from all Member States.(44) | C'est, dans une large mesure, aux opérateurs de services essentiels et aux fournisseurs de service numérique qu'incombe la responsabilité de garantir la sécurité des réseaux et des systèmes d'information. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus. Il est aussi essentiel d'établir un socle commun de confiance pour que le groupe de coopération et le réseau des CSIRT fonctionnent réellement et que la coopération de la part de tous les États membres soit effective.
(45) | This Directive applies only to those public administrations which are identified as operators of essential services. Therefore, it is the responsibility of Member States to ensure the security of network and information systems of public administrations not falling within the scope of this Directive.(45) | La présente directive s'applique uniquement aux administrations publiques qui sont identifiées en tant qu'opérateurs de services essentiels. Il est donc de la responsabilité des États membres de garantir la sécurité des réseaux et des systèmes d'information des administrations publiques ne relevant pas du champ d'application de la présente directive.
(46) | Risk-management measures include measures to identify any risks of incidents, to prevent, detect and handle incidents and to mitigate their impact. The security of network and information systems comprises the security of stored, transmitted and processed data.(46) | Parmi les mesures de gestion des risques figurent celles permettant d'identifier tous les risques d'incidents, de prévenir, de repérer et de gérer les incidents et d'en atténuer l'impact. La sécurité des réseaux et des systèmes d'information inclut la sécurité des données stockées, transmises et traitées.
(47) | Competent authorities should retain the ability to adopt national guidelines concerning the circumstances in which operators of essential services are required to notify incidents.(47) | Les autorités compétentes devraient conserver la capacité d'adopter des lignes directrices relatives aux circonstances dans lesquelles les opérateurs de services essentiels sont tenus de notifier les incidents.
(48) | Many businesses in the Union rely on digital service providers for the provision of their services. As some digital services could be an important resource for their users, including operators of essential services, and as such users might not always have alternatives available, this Directive should also apply to providers of such services. The security, continuity and reliability of the type of digital services referred to in this Directive are of the essence for the smooth functioning of many businesses. A disruption of such a digital service could prevent the provision of other services which rely on it and could thus have an impact on key economic and societal activities in the Union. Such digital services might therefore be of crucial importance for the smooth functioning of businesses that depend on them and, moreover, for the participation of such businesses in the internal market and cross-border trade across the Union. Those digital service providers that are subject to this Directive are those that are considered to offer digital services on which many businesses in the Union increasingly rely.(48) | De nombreuses entreprises dans l'Union s'appuient, pour délivrer leurs services, sur des fournisseurs de service numérique. Étant donné que certains services numériques pourraient représenter une ressource importante pour leurs utilisateurs, y compris des opérateurs de services essentiels, et que beaucoup de ces utilisateurs pourraient ne pas toujours disposer de solutions de rechange, il convient que la présente directive s'applique également aux fournisseurs de ce type de services. La sécurité, la continuité et la fiabilité du type de services numériques visés dans la présente directive sont essentielles pour le bon fonctionnement de nombreuses entreprises. La perturbation d'un tel service numérique pourrait empêcher la fourniture d'autres services qui s'appuient sur celui-ci et avoir dès lors une incidence sur des fonctions économiques et sociétales clés dans l'Union. De tels services numériques pourraient par conséquent revêtir une importance cruciale pour le bon fonctionnement des entreprises qui en dépendent et, par ailleurs, pour la participation de ces entreprises au marché intérieur et aux échanges transfrontaliers dans l'ensemble de l'Union. Les fournisseurs de service numérique relevant de la présente directive sont ceux qui sont considérés comme offrant des services numériques sur lesquels de nombreuses entreprises de l'Union s'appuient de plus en plus.
(49) | Digital service providers should ensure a level of security commensurate with the degree of risk posed to the security of the digital services they provide, given the importance of their services to the operations of other businesses within the Union. In practice, the degree of risk for operators of essential services, which are often essential for the maintenance of critical societal and economic activities, is higher than for digital service providers. Therefore, the security requirements for digital service providers should be lighter. Digital service providers should remain free to take measures they consider appropriate to manage the risks posed to the security of their network and information systems. Because of their cross-border nature, digital service providers should be subject to a more harmonised approach at Union level. Implementing acts should facilitate the specification and implementation of such measures.(49) | Les fournisseurs de service numérique devraient garantir un niveau de sécurité à la hauteur du risque qui menace la sécurité des services numériques qu'ils proposent, compte tenu de l'importance de leurs services pour les activités d'autres entreprises au sein de l'Union. Dans la pratique, le degré de risque pour les opérateurs de services essentiels, qui sont souvent cruciaux pour le maintien de fonctions sociétales et économiques critiques, est plus élevé que pour les fournisseurs de service numérique. Par conséquent, les exigences en matière de sécurité imposées aux fournisseurs de service numérique devraient être moins strictes. Les fournisseurs de service numérique devraient rester libres de prendre les mesures qu'ils jugent appropriées pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d'information. En raison du caractère transfrontalier de leurs activités, les fournisseurs de service numérique devraient faire l'objet d'une approche plus harmonisée au niveau de l'Union. La définition et la mise en œuvre de ces mesures devraient être facilitées au moyen d'actes d'exécution.
(50) | While hardware manufacturers and software developers are not operators of essential services, nor are they digital service providers, their products enhance the security of network and information systems. Therefore, they play an important role in enabling operators of essential services and digital service providers to secure their network and information systems. Such hardware and software products are already subject to existing rules on product liability.(50) | Alors que les fabricants de matériel et les développeurs de logiciels ne sont pas des opérateurs de services essentiels ou des fournisseurs de service numérique, leurs produits renforcent la sécurité des réseaux et des systèmes d'information. Dès lors, ils jouent un rôle important en permettant aux opérateurs de services essentiels et aux fournisseurs de service numérique de sécuriser leurs réseaux et systèmes d'information. Ce matériel et ces logiciels font déjà l'objet de règles existantes sur la responsabilité du fait des produits.
(51) | Technical and organisational measures imposed on operators of essential services and digital service providers should not require a particular commercial information and communications technology product to be designed, developed or manufactured in a particular manner.(51) | Les mesures techniques et organisationnelles imposées aux opérateurs de services essentiels et aux fournisseurs de service numérique ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit commercial particulier relevant des technologies de l'information et de la communication.
(52) | Operators of essential services and digital service providers should ensure the security of the network and information systems which they use. These are primarily private network and information systems managed by their internal IT staff or the security of which has been outsourced. The security and notification requirements should apply to the relevant operators of essential services and digital service providers regardless of whether they perform the maintenance of their network and information systems internally or outsource it.(52) | Les opérateurs de services essentiels et les fournisseurs de service numérique devraient garantir la sécurité des réseaux et des systèmes d'information qu'ils utilisent. Il s'agit principalement de réseaux et de systèmes d'information privés qui sont gérés par leurs propres services informatiques ou dont la gestion de la sécurité a été sous-traitée. Les exigences en matière de sécurité et de notification devraient s'appliquer aux opérateurs de services essentiels et aux fournisseurs de service numérique concernés, que la maintenance de leurs réseaux et systèmes d'information soit assurée en interne ou qu'elle soit sous-traitée.
(53) | To avoid imposing a disproportionate financial and administrative burden on operators of essential services and digital service providers, the requirements should be proportionate to the risk presented by the network and information system concerned, taking into account the state of the art of such measures. In the case of digital service providers, those requirements should not apply to micro- and small enterprises.(53) | Pour éviter que la charge financière et administrative imposée aux opérateurs de services essentiels et aux fournisseurs de service numérique ne soit excessive, il convient que les exigences soient proportionnées aux risques que présentent le réseau et le système d'information concernés, compte tenu de l'état le plus avancé de la technique en ce qui concerne ces mesures. Dans le cas des fournisseurs de service numérique, ces exigences ne devraient pas être applicables aux microentreprises et aux petites entreprises.
(54) | Where public administrations in Member States use services offered by digital service providers, in particular cloud computing services, they might wish to require from the providers of such services additional security measures beyond what digital service providers would normally offer in compliance with the requirements of this Directive. They should be able to do so by means of contractual obligations.(54) | Les administrations publiques des États membres qui utilisent des services proposés par des fournisseurs de service numérique, notamment des services d'informatique en nuage, pourraient vouloir exiger de ces fournisseurs des mesures de sécurité supplémentaires allant au-delà de ce que ceux-ci proposeraient d'ordinaire dans le respect des exigences de la présente directive. Elles devraient pouvoir l'obtenir en imposant des obligations contractuelles.
(55) | The definitions of online marketplaces, online search engines and cloud computing services in this Directive are for the specific purpose of this Directive, and without prejudice to any other instruments.(55) | Les définitions des termes «place de marché en ligne», «moteur de recherche en ligne» et «services d'informatique en nuage» énoncées dans la présente directive servent aux fins spécifiques de la présente directive et sont sans préjudice d'autres instruments.
(56) | This Directive should not preclude Member States from adopting national measures requiring public-sector bodies to ensure specific security requirements when they contract cloud computing services. Any such national measures should apply to the public-sector body concerned and not to the cloud computing service provider.(56) | La présente directive ne devrait pas empêcher les États membres d'adopter des mesures nationales obligeant les organismes du secteur public à fixer des exigences spécifiques en matière de sécurité lorsqu'ils passent des contrats pour des services d'informatique en nuage. De telles mesures nationales devraient s'appliquer à l'organisme du secteur public concerné et non au fournisseur de services d'informatique en nuage.
(57) | Given the fundamental differences between operators of essential services, in particular their direct link with physical infrastructure, and digital service providers, in particular their cross-border nature, this Directive should take a differentiated approach with respect to the level of harmonisation in relation to those two groups of entities. For operators of essential services, Member States should be able to identify the relevant operators and impose stricter requirements than those laid down in this Directive. Member States should not identify digital service providers, as this Directive should apply to all digital service providers within its scope. In addition, this Directive and the implementing acts adopted under it should ensure a high level of harmonisation for digital service providers with respect to security and notification requirements. This should enable digital service providers to be treated in a uniform way across the Union, in a manner proportionate to their nature and the degree of risk which they might face.(57) | Étant donné les différences fondamentales qui existent entre les opérateurs de services essentiels, notamment leur lien direct avec des infrastructures physiques, et les fournisseurs de service numérique, notamment le caractère transfrontalier de leurs activités, la présente directive devrait adopter une approche différenciée en ce qui concerne le niveau d'harmonisation à prévoir pour ces deux groupes d'entités. Pour les opérateurs de services essentiels, les États membres devraient pouvoir identifier les opérateurs concernés et imposer des exigences plus strictes que celles énoncées dans la présente directive. Les États membres ne devraient pas identifier les fournisseurs de service numérique dans la mesure où la présente directive devrait s'appliquer à tous les fournisseurs de service numérique relevant de son champ d'application. En outre, la présente directive et les actes d'exécution adoptés en vertu de celle-ci devraient garantir un niveau élevé d'harmonisation pour les fournisseurs de service numérique en ce qui concerne les exigences en matière de sécurité et de notification. Cela devrait permettre aux fournisseurs de service numérique de faire l'objet d'un traitement uniforme dans l'ensemble de l'Union, d'une manière proportionnée à la nature et à l'intensité du risque auquel ils pourraient être confrontés.
(58) | This Directive should not preclude Member States from imposing security and notification requirements on entities that are not digital service providers within the scope of this Directive, without prejudice to Member States' obligations under Union law.(58) | La présente directive ne devrait pas empêcher les États membres d'imposer des exigences en matière de sécurité et de notification aux entités qui ne sont pas des fournisseurs de service numérique relevant du champ d'application de la présente directive, sans préjudice des obligations des États membres en vertu du droit de l'Union.
(59) | Competent authorities should pay due attention to preserving informal and trusted channels of information-sharing. Publicity of incidents reported to the competent authorities should duly balance the interest of the public in being informed about threats against possible reputational and commercial damage for the operators of essential services and digital service providers reporting incidents. In the implementation of the notification obligations, competent authorities and the CSIRTs should pay particular attention to the need to keep information about product vulnerabilities strictly confidential, prior to the release of appropriate security fixes.(59) | Les autorités compétentes devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations. La divulgation d'informations sur les incidents signalés aux autorités compétentes devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les opérateurs de services essentiels et les fournisseurs de service numérique signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'ils mettent en œuvre les obligations de notification, les autorités compétentes et les CSIRT devraient être particulièrement attentifs à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la publication des mises à jour de sécurité appropriées.
(60) | Digital service providers should be subject to light-touch and reactive ex post supervisory activities justified by the nature of their services and operations. The competent authority concerned should therefore only take action when provided with evidence, for example by the digital service provider itself, by another competent authority, including a competent authority of another Member State, or by a user of the service, that a digital service provider is not complying with the requirements of this Directive, in particular following the occurrence of an incident. The competent authority should therefore have no general obligation to supervise digital service providers.(60) | Les fournisseurs de service numérique devraient être soumis à une surveillance a posteriori allégée et réactive, justifiée par la nature de leurs services et activités. L'autorité compétente concernée ne devrait dès lors intervenir que lorsqu'elle est informée, par exemple par le fournisseur de service numérique lui-même, par une autre autorité compétente, y compris une autorité compétente d'un autre État membre, ou par un utilisateur du service, d'éléments selon lesquels un fournisseur de service numérique ne satisfait pas aux exigences de la présente directive, notamment à la suite de la survenance d'un incident. L'autorité compétente devrait dès lors ne pas avoir d'obligation générale de surveiller les fournisseurs de service numérique.
(61) | Competent authorities should have the necessary means to perform their duties, including powers to obtain sufficient information in order to assess the level of security of network and information systems.(61) | Les autorités compétentes devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des informations suffisantes pour évaluer le niveau de sécurité des réseaux et des systèmes d'information.
(62) | Incidents may be the result of criminal activities the prevention, investigation and prosecution of which is supported by coordination and cooperation between operators of essential services, digital service providers, competent authorities and law enforcement authorities. Where it is suspected that an incident is related to serious criminal activities under Union or national law, Member States should encourage operators of essential services and digital service providers to report incidents of a suspected serious criminal nature to the relevant law enforcement authorities. Where appropriate, it is desirable that coordination between competent authorities and law enforcement authorities of different Member States be facilitated by the European Cybercrime Centre (EC3) and ENISA.(62) | Un incident peut être le résultat d'activités criminelles, à propos desquelles la prévention, les enquêtes et les poursuites sont soutenues par la coordination et la coopération entre les opérateurs de services essentiels, les fournisseurs de service numérique, les autorités compétentes et les services répressifs. Lorsqu'il y a lieu de suspecter qu'un incident est lié à des activités criminelles graves au regard du droit de l'Union ou du droit national, les États membres devraient encourager les opérateurs de services essentiels et les fournisseurs de service numérique à signaler aux services répressifs compétents tout incident de ce type. Le cas échéant, il est souhaitable que la coordination entre les autorités compétentes et les services répressifs de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (EC3) et l'ENISA.
(63) | Personal data are in many cases compromised as a result of incidents. In this context, competent authorities and data protection authorities should cooperate and exchange information on all relevant matters to tackle any personal data breaches resulting from incidents.(63) | Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Dans de telles circonstances, les autorités compétentes et les autorités chargées de la protection des données devraient coopérer et échanger des informations sur tous les aspects pertinents de la lutte contre toute atteinte aux données à caractère personnel à la suite d'incidents.
(64) | Jurisdiction in respect of digital service providers should be attributed to the Member State in which the digital service provider concerned has its main establishment in the Union, which in principle corresponds to the place where the provider has its head office in the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in this respect. This criterion should not depend on whether the network and information systems are physically located in a given place; the presence and use of such systems do not, in themselves, constitute such main establishment and are therefore not criteria for determining the main establishment.(64) | La compétence dont relèvent les fournisseurs de service numérique devrait être attribuée à l'État membre dans lequel le fournisseur de service numérique concerné a son principal établissement dans l'Union, ce qui correspond en principe à l'endroit où il a son siège social dans l'Union. L'établissement suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable. La forme juridique retenue pour un tel établissement, qu'il s'agisse d'une succursale ou d'une filiale ayant la personnalité juridique, n'est pas déterminante à cet égard. Ce critère ne devrait pas dépendre du fait de savoir si les réseaux et systèmes d'information sont physiquement situés dans un lieu donné; la présence et l'utilisation de tels systèmes ne constituent pas en soi l'établissement principal et ne sont donc pas des critères permettant de déterminer l'établissement principal.
(65) | Where a digital service provider not established in the Union offers services within the Union, it should designate a representative. In order to determine whether such a digital service provider is offering services within the Union, it should be ascertained whether it is apparent that the digital service provider is planning to offer services to persons in one or more Member States. The mere accessibility in the Union of the digital service provider's or an intermediary's website or of an email address and of other contact details, or the use of a language generally used in the third country where the digital service provider is established, is insufficient to ascertain such an intention. However, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the digital service provider is planning to offer services within the Union. The representative should act on behalf of the digital service provider and it should be possible for competent authorities or the CSIRTs to contact the representative. The representative should be explicitly designated by a written mandate of the digital service provider to act on the latter's behalf with regard to the latter's obligations under this Directive, including incident reporting.(65) | Lorsqu'un fournisseur de service numérique, qui n'est pas établi dans l'Union, propose des services à l'intérieur de l'Union, il devrait désigner un représentant. Afin de déterminer si un tel fournisseur de service numérique propose des services dans l'Union, il convient d'examiner s'il apparaît qu'il envisage d'offrir des services à des personnes dans un ou plusieurs États membres. La seule accessibilité, dans l'Union, du site internet du fournisseur de service numérique ou d'un intermédiaire ou d'une adresse électronique et d'autres coordonnées ou encore l'utilisation d'une langue généralement utilisée dans le pays tiers où le fournisseur de service numérique est établi ne suffisent pas pour établir une telle intention. Cependant, des facteurs tels que l'utilisation d'une langue ou d'une monnaie généralement utilisées dans un ou plusieurs États membres avec la possibilité de commander des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union peuvent indiquer que le fournisseur de service numérique envisage d'offrir des services dans l'Union. Le représentant devrait agir pour le compte du fournisseur de service numérique et devrait pouvoir être contacté par les autorités compétentes ou les CSIRT. Le représentant devrait être expressément désigné par un mandat écrit du fournisseur de service numérique le chargeant d'agir en son nom pour remplir les obligations, y compris la notification des incidents, qui lui incombent en vertu de la présente directive.
(66) | Standardisation of security requirements is a market-driven process. To ensure a convergent application of security standards, Member States should encourage compliance or conformity with specified standards so as to ensure a high level of security of network and information systems at Union level. ENISA should assist Member States through advice and guidelines. To this end, it might be helpful to draft harmonised standards, which should be done in accordance with Regulation (EU) No 1025/2012 of the European Parliament and of the Council (8).(66) | La normalisation des exigences en matière de sécurité est un processus guidé par le marché. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité des réseaux et des systèmes d'information au niveau de l'Union. L'ENISA devrait aider les États membres par la fourniture de conseils et de lignes directrices. À cette fin, il pourrait être utile d'élaborer des normes harmonisées, en se conformant au règlement (UE) no 1025/2012 du Parlement européen et du Conseil (8).
(67) | Entities falling outside the scope of this Directive may experience incidents having a significant impact on the services they provide. Where those entities consider that it is in the public interest to notify the occurrence of such incidents, they should be able to do so on a voluntary basis. Such notifications should be processed by the competent authority or the CSIRT where such processing does not constitute a disproportionate or undue burden on the Member States concerned.(67) | Les entités qui ne relèvent pas du champ d'application de la présente directive peuvent connaître des incidents ayant des conséquences importantes sur les services qu'elles fournissent. Lorsque ces entités estiment qu'il est dans l'intérêt public de notifier la survenance de tels incidents, elles devraient être en mesure de le faire à titre volontaire. Ces notifications devraient être traitées par l'autorité compétente ou le CSIRT lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile sur les États membres concernés.
(68) | In order to ensure uniform conditions for the implementation of this Directive, implementing powers should be conferred on the Commission to lay down the procedural arrangements necessary for the functioning of the Cooperation Group and the security and notification requirements applicable to digital service providers. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (9). When adopting implementing acts related to the procedural arrangements necessary for the functioning of the Cooperation Group, the Commission should take the utmost account of the opinion of ENISA.(68) | Afin d'assurer des conditions uniformes d'exécution de la présente directive, il convient de conférer des compétences d'exécution à la Commission pour fixer les modalités de procédure nécessaires au fonctionnement du groupe de coopération ainsi que les exigences en matière de sécurité et de notification applicables aux fournisseurs de service numérique. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (9). Lorsqu'elle adopte des actes d'exécution liés aux modalités de procédure nécessaires pour le fonctionnement du groupe de coopération, il y a lieu que la Commission tienne le plus grand compte de l'avis de l'ENISA.
(69) | When adopting implementing acts on the security requirements for digital service providers, the Commission should take the utmost account of the opinion of ENISA and should consult interested stakeholders. Moreover, the Commission is encouraged to take into account the following examples: as regards security of systems and facilities: physical and environmental security, security of supplies, access control to network and information systems and integrity of network and information systems; as regards incident handling: incident-handling procedures, incident detection capability, incident reporting and communication; as regards business continuity management: service continuity strategy and contingency plans, disaster recovery capabilities; and as regards monitoring, auditing and testing: monitoring and logging policies, exercise contingency plans, network and information systems testing, security assessments and compliance monitoring.(69) | Lorsqu'elle adopte des actes d'exécution concernant les exigences en matière de sécurité à imposer aux fournisseurs de service numérique, la Commission devrait tenir le plus grand compte de l'avis de l'ENISA et consulter les parties intéressées. De plus, la Commission est encouragée à prendre en compte les exemples suivants: en ce qui concerne la sécurité des systèmes et des installations: sécurité physique et environnementale, sécurité de l'approvisionnement, contrôle de l'accès aux réseaux et aux systèmes d'information et intégrité desdits réseaux et systèmes d'information; en ce qui concerne la gestion des incidents: procédures de gestion des incidents, dispositif de détection des incidents, compte-rendu et notification d'incidents; en ce qui concerne la gestion de la continuité des activités: stratégie en matière de continuité du service et plans d'urgence, dispositif de rétablissement après sinistre; et en ce qui concerne le suivi, le contrôle et les tests: politiques de surveillance et d'enregistrement, exercices de mise en œuvre de plans d'urgence, tests des réseaux et des systèmes d'information, évaluations de la sécurité et contrôle du respect des exigences.
(70) | In the implementation of this Directive, the Commission should liaise as appropriate with relevant sectoral committees and relevant bodies set up at Union level in the fields covered by this Directive.(70) | Dans la mise en œuvre de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'Union dans les domaines couverts par la présente directive.
(71) | The Commission should periodically review this Directive, in consultation with interested stakeholders, in particular with a view to determining the need for modification in the light of changes to societal, political, technological or market conditions.(71) | La présente directive devrait être réexaminée périodiquement par la Commission, en consultation avec les parties prenantes intéressées, notamment en vue de déterminer s'il est nécessaire de la modifier pour tenir compte de l'évolution de la société, de la situation politique, des technologies ou de la situation des marchés.
(72) | The sharing of information on risks and incidents within the Cooperation Group and the CSIRTs network and the compliance with the requirements to notify incidents to the national competent authorities or the CSIRTs might require processing of personal data. Such processing should comply with Directive 95/46/EC of the European Parliament and the Council (10) and Regulation (EC) No 45/2001 of the European Parliament and of the Council (11). In the application of this Directive, Regulation (EC) No 1049/2001 of the European Parliament and of the Council (12) should apply as appropriate.(72) | Le partage des informations sur les risques et incidents au sein du groupe de coopération et du réseau des CSIRT et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes ou aux CSIRT pourraient nécessiter le traitement de données à caractère personnel. Il convient que ce traitement respecte la directive 95/46/CE du Parlement européen et du Conseil (10) et le règlement (CE) no 45/2001 du Parlement européen et du Conseil (11). Dans l'application de la présente directive, le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (12) devrait s'appliquer, le cas échéant.
(73) | The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 14 June 2013 (13).(73) | Le Contrôleur européen de la protection des données a été consulté conformément à l'article 28, paragraphe 2, du règlement (CE) no 45/2001 et a rendu son avis le 14 juin 2013 (13).
(74) | Since the objective of this Directive, namely to achieve a high common level of security of network and information systems in the Union, cannot be sufficiently achieved by the Member States but can rather, by reason of the effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union. In accordance with the principle of proportionality as set out in that Article, this Directive does not go beyond what is necessary in order to achieve that objective.(74) | Étant donné que l'objectif de la présente directive, qui vise à atteindre un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des effets de l'action, l'être mieux au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif.
(75) | This Directive respects the fundamental rights, and observes the principles, recognised by the Charter of Fundamental Rights of the European Union, in particular the right to respect for private life and communications, the protection of personal data, the freedom to conduct a business, the right to property, the right to an effective remedy before a court and the right to be heard. This Directive should be implemented in accordance with those rights and principles,(75) | La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l'Union européenne et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d'entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive devrait être mise en œuvre conformément à ces droits et principes,
HAVE ADOPTED THIS DIRECTIVE:ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
CHAPTER ICHAPITRE I
GENERAL PROVISIONSDISPOSITIONS GÉNÉRALES
Article 1Article premier
Subject matter and scopeObjet et champ d'application
1.   This Directive lays down measures with a view to achieving a high common level of security of network and information systems within the Union so as to improve the functioning of the internal market.1.   La présente directive établit des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union afin d'améliorer le fonctionnement du marché intérieur.
2.   To that end, this Directive:2.   À cette fin, la présente directive:
(a) | lays down obligations for all Member States to adopt a national strategy on the security of network and information systems;a) | fixe des obligations à tous les États membres en ce qui concerne l'adoption d'une stratégie nationale en matière de sécurité des réseaux et des systèmes d'information;
(b) | creates a Cooperation Group in order to support and facilitate strategic cooperation and the exchange of information among Member States and to develop trust and confidence amongst them;b) | institue un groupe de coopération afin de soutenir et faciliter la coopération stratégique et l'échange d'informations entre les États membres et de renforcer la confiance mutuelle;
(c) | creates a computer security incident response teams network (‘CSIRTs network’) in order to contribute to the development of trust and confidence between Member States and to promote swift and effective operational cooperation;c) | institue un réseau des centres de réponse aux incidents de sécurité informatiques (ci-après dénommé «réseau des CSIRT») afin de contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération rapide et effective au niveau opérationnel;
(d) | establishes security and notification requirements for operators of essential services and for digital service providers;d) | établit des exigences en matière de sécurité et de notification pour les opérateurs de services essentiels et pour les fournisseurs de service numérique;
(e) | lays down obligations for Member States to designate national competent authorities, single points of contact and CSIRTs with tasks related to the security of network and information systems.e) | fixe des obligations aux États membres pour la désignation d'autorités nationales compétentes, de points de contact uniques et de CSIRT chargés de tâches liées à la sécurité des réseaux et des systèmes d'information.
3.   The security and notification requirements provided for in this Directive shall not apply to undertakings which are subject to the requirements of Articles 13a and 13b of Directive 2002/21/EC, or to trust service providers which are subject to the requirements of Article 19 of Regulation (EU) No 910/2014.3.   Les exigences en matière de sécurité et de notification prévues par la présente directive ne s'appliquent pas aux entreprises soumises aux exigences énoncées aux articles 13 bis et 13 ter de la directive 2002/21/CE ni aux prestataires de services de confiance soumis aux exigences énoncées à l'article 19 du règlement (UE) no 910/2014.
4.   This Directive applies without prejudice to Council Directive 2008/114/EC (14) and Directives 2011/93/EU (15) and 2013/40/EU (16) of the European Parliament and of the Council.4.   La présente directive est sans préjudice de la directive 2008/114/CE du Conseil (14) et des directives du Parlement européen et du Conseil 2011/93/UE (15) et 2013/40/UE (16).
5.   Without prejudice to Article 346 TFEU, information that is confidential pursuant to Union and national rules, such as rules on business confidentiality, shall be exchanged with the Commission and other relevant authorities only where such exchange is necessary for the application of this Directive. The information exchanged shall be limited to that which is relevant and proportionate to the purpose of such exchange. Such exchange of information shall preserve the confidentiality of that information and protect the security and commercial interests of operators of essential services and digital service providers.5.   Sans préjudice de l'article 346 du traité sur le fonctionnement de l'Union européenne, les informations considérées comme confidentielles en application de la réglementation nationale ou de l'Union, telle que les règles applicables au secret des affaires, ne peuvent faire l'objet d'un échange avec la Commission et d'autres autorités concernées que si cet échange est nécessaire à l'application de la présente directive. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif de cet échange. Cet échange d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des opérateurs de services essentiels et des fournisseurs de service numérique.
6.   This Directive is without prejudice to the actions taken by Member States to safeguard their essential State functions, in particular to safeguard national security, including actions protecting information the disclosure of which Member States consider contrary to the essential interests of their security, and to maintain law and order, in particular to allow for the investigation, detection and prosecution of criminal offences.6.   La présente directive est sans préjudice des mesures prises par les États membres pour préserver leurs fonctions étatiques essentielles, en particulier dans le but de préserver la sécurité nationale, notamment les mesures visant à protéger les informations dont la divulgation est considérée par les États membres comme contraire aux intérêts essentiels de leur sécurité, et de maintenir l'ordre public, en particulier pour permettre la détection des infractions pénales ainsi que les enquêtes et les poursuites en la matière.
7.   Where a sector-specific Union legal act requires operators of essential services or digital service providers either to ensure the security of their network and information systems or to notify incidents, provided that such requirements are at least equivalent in effect to the obligations laid down in this Directive, those provisions of that sector-specific Union legal act shall apply.7.   Lorsqu'un acte juridique sectoriel de l'Union exige des opérateurs de services essentiels ou des fournisseurs de service numérique qu'ils assurent la sécurité de leurs réseaux et systèmes d'information ou qu'ils procèdent à la notification des incidents, à condition que les exigences en question aient un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions de cet acte juridique sectoriel de l'Union s'appliquent.
Article 2Article 2
Processing of personal dataTraitement des données à caractère personnel
1.   Processing of personal data pursuant to this Directive shall be carried out in accordance with Directive 95/46/EC.1.   Le traitement de données à caractère personnel au titre de la présente directive est effectué conformément à la directive 95/46/CE.
2.   Processing of personal data by Union institutions and bodies pursuant to this Directive shall be carried out in accordance with Regulation (EC) No 45/2001.2.   Le traitement de données à caractère personnel par les institutions et organes de l'Union au titre de la présente directive est effectué conformément au règlement (CE) no 45/2001.
Article 3Article 3
Minimum harmonisationHarmonisation minimale
Without prejudice to Article 16(10) and to their obligations under Union law, Member States may adopt or maintain provisions with a view to achieving a higher level of security of network and information systems.Sans préjudice de l'article 16, paragraphe 10, et des obligations qui leur incombent en vertu du droit de l'Union, les États membres peuvent adopter ou maintenir des dispositions en vue de parvenir à un niveau de sécurité plus élevé des réseaux et des systèmes d'information.
Article 4Article 4
DefinitionsDéfinitions
For the purposes of this Directive, the following definitions apply:Aux fins de la présente directive, on entend par:
(1) | ‘network and information system’ means: | (a) | an electronic communications network within the meaning of point (a) of Article 2 of Directive 2002/21/EC; | (b) | any device or group of interconnected or related devices, one or more of which, pursuant to a program, perform automatic processing of digital data; or | (c) | digital data stored, processed, retrieved or transmitted by elements covered under points (a) and (b) for the purposes of their operation, use, protection and maintenance;1)   «réseau et système d'information»:
(2) | ‘security of network and information systems’ means the ability of network and information systems to resist, at a given level of confidence, any action that compromises the availability, authenticity, integrity or confidentiality of stored or transmitted or processed data or the related services offered by, or accessible via, those network and information systems;a) | un réseau de communications électroniques au sens de l'article 2, point a), de la directive 2002/21/CE;
(3) | ‘national strategy on the security of network and information systems’ means a framework providing strategic objectives and priorities on the security of network and information systems at national level;b) | tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques; ou
(4) | ‘operator of essential services’ means a public or private entity of a type referred to in Annex II, which meets the criteria laid down in Article 5(2);c) | les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
(5) | ‘digital service’ means a service within the meaning of point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council (17) which is of a type listed in Annex III;2)   «sécurité des réseaux et des systèmes d'information»: la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles;
(6) | ‘digital service provider’ means any legal person that provides a digital service;3)   «stratégie nationale en matière de sécurité des réseaux et des systèmes d'information»: un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d'information au niveau national;
(7) | ‘incident’ means any event having an actual adverse effect on the security of network and information systems;4)   «opérateur de services essentiels»: une entité publique ou privée dont le type figure à l'annexe II et qui répond aux critères énoncés à l'article 5, paragraphe 2;
(8) | ‘incident handling’ means all procedures supporting the detection, analysis and containment of an incident and the response thereto;5)   «service numérique»: un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (17) dont le type figure dans la liste de l'annexe III;
(9) | ‘risk’ means any reasonably identifiable circumstance or event having a potential adverse effect on the security of network and information systems;6)   «fournisseur de service numérique»: une personne morale qui fournit un service numérique;
(10) | ‘representative’ means any natural or legal person established in the Union explicitly designated to act on behalf of a digital service provider not established in the Union, which may be addressed by a national competent authority or a CSIRT instead of the digital service provider with regard to the obligations of that digital service provider under this Directive;7)   «incident»: tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information;
(11) | ‘standard’ means a standard within the meaning of point (1) of Article 2 of Regulation (EU) No 1025/2012;8)   «gestion d'incident»: toutes les procédures utiles à la détection, à l'analyse et au confinement d'un incident et toutes les procédures utiles à l'intervention en cas d'incident;
(12) | ‘specification’ means a technical specification within the meaning of point (4) of Article 2 of Regulation (EU) No 1025/2012;9)   «risque»: toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d'information;
(13) | ‘internet exchange point (IXP)’ means a network facility which enables the interconnection of more than two independent autonomous systems, primarily for the purpose of facilitating the exchange of internet traffic; an IXP provides interconnection only for autonomous systems; an IXP does not require the internet traffic passing between any pair of participating autonomous systems to pass through any third autonomous system, nor does it alter or otherwise interfere with such traffic;10)   «représentant»: une personne physique ou morale établie dans l'Union qui est expressément désignée pour agir pour le compte d'un fournisseur de service numérique non établi dans l'Union, qui peut être contactée par une autorité nationale compétente ou un CSIRT à la place du fournisseur de service numérique concernant les obligations incombant audit fournisseur de service numérique en vertu de la présente directive;
(14) | ‘domain name system (DNS)’ means a hierarchical distributed naming system in a network which refers queries for domain names;11)   «norme»: une norme au sens de l'article 2, point 1), du règlement (UE) no 1025/2012;
(15) | ‘DNS service provider’ means an entity which provides DNS services on the internet;12)   «spécification»: une spécification technique au sens de l'article 2, point 4), du règlement (UE) no 1025/2012;
(16) | ‘top-level domain name registry’ means an entity which administers and operates the registration of internet domain names under a specific top-level domain (TLD);13)   «point d'échange internet» (IXP): une structure de réseau qui permet l'interconnexion de plus de deux systèmes autonomes indépendants, essentiellement aux fins de faciliter l'échange de trafic internet; un IXP n'assure l'interconnexion que pour des systèmes autonomes; un IXP n'exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu'il ne modifie ou n'altère par ailleurs un tel trafic;
(17) | ‘online marketplace’ means a digital service that allows consumers and/or traders as respectively defined in point (a) and in point (b) of Article 4(1) of Directive 2013/11/EU of the European Parliament and of the Council (18) to conclude online sales or service contracts with traders either on the online marketplace's website or on a trader's website that uses computing services provided by the online marketplace;14)   «système de noms de domaine» (DNS): un système hiérarchique et distribué d'affectation de noms dans un réseau qui résout les questions liées aux noms de domaines;
(18) | ‘online search engine’ means a digital service that allows users to perform searches of, in principle, all websites or websites in a particular language on the basis of a query on any subject in the form of a keyword, phrase or other input, and returns links in which information related to the requested content can be found;15)   «fournisseur de services DNS»: une entité qui fournit des services DNS sur l'internet;
(19) | ‘cloud computing service’ means a digital service that enables access to a scalable and elastic pool of shareable computing resources.16)   «registre de noms de domaine de haut niveau»: une entité qui administre et gère l'enregistrement de noms de domaine internet dans un domaine de haut niveau donné;
Article 517)   «place de marché en ligne»: un service numérique qui permet à des consommateurs et/ou à des professionnels au sens de l'article 4, paragraphe 1, point a) ou point b) respectivement, de la directive 2013/11/UE du Parlement européen et du Conseil (18) de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d'un professionnel qui utilise les services informatiques fournis par la place de marché en ligne;
Identification of operators of essential services18)   «moteur de recherche en ligne»: un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé;
1.   By 9 November 2018, for each sector and subsector referred to in Annex II, Member States shall identify the operators of essential services with an establishment on their territory.19)   «service d'informatique en nuage»: un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.
2.   The criteria for the identification of the operators of essential services, as referred to in point (4) of Article 4, shall be as follows:Article 5
(a) | an entity provides a service which is essential for the maintenance of critical societal and/or economic activities;Identification des opérateurs de services essentiels
(b) | the provision of that service depends on network and information systems; and1.   Au plus tard le 9 novembre 2018, pour chaque secteur et sous-secteur visé à l'annexe II, les États membres identifient les opérateurs de services essentiels ayant un établissement sur leur territoire.
(c) | an incident would have significant disruptive effects on the provision of that service.2.   Les critères d'identification des opérateurs de services essentiels visés à l'article 4, point 4), sont les suivants:
3.   For the purposes of paragraph 1, each Member State shall establish a list of the services referred to in point (a) of paragraph 2.a) | une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques;
4.   For the purposes of paragraph 1, where an entity provides a service as referred to in point (a) of paragraph 2 in two or more Member States, those Member States shall engage in consultation with each other. That consultation shall take place before a decision on identification is taken.b) | la fourniture de ce service est tributaire des réseaux et des systèmes d'information; et
5.   Member States shall, on a regular basis, and at least every two years after 9 May 2018, review and, where appropriate, update the list of identified operators of essential services.c) | un incident aurait un effet disruptif important sur la fourniture dudit service.
6.   The role of the Cooperation Group shall be, in accordance with the tasks referred to in Article 11, to support Member States in taking a consistent approach in the process of identification of operators of essential services.3.   Aux fins du paragraphe 1, chaque État membre établit une liste des services visés au paragraphe 2, point a).
7.   For the purpose of the review referred to in Article 23 and by 9 November 2018, and every two years thereafter, Member States shall submit to the Commission the information necessary to enable the Commission to assess the implementation of this Directive, in particular the consistency of Member States' approaches to the identification of operators of essential services. That information shall include at least:4.   Aux fins du paragraphe 1, lorsqu'une entité fournit un service visé au paragraphe 2, point a), dans deux États membres ou plus, les États membres en question se consultent mutuellement. La consultation intervient avant que l'identification ne fasse l'objet d'une décision.
(a) | national measures allowing for the identification of operators of essential services;5.   À intervalles réguliers et au moins tous les deux ans à compter du 9 mai 2018, les États membres procèdent au réexamen et, au besoin, à la mise à jour de la liste des opérateurs de services essentiels identifiés.
(b) | the list of services referred to in paragraph 3;6.   Le rôle du groupe de coopération consiste, conformément aux tâches visées à l'article 11, à aider les États membres à suivre une approche cohérente dans le processus d'identification des opérateurs de services essentiels.
(c) | the number of operators of essential services identified for each sector referred to in Annex II and an indication of their importance in relation to that sector;7.   Aux fins du réexamen visé à l'article 23 et au plus tard le 9 novembre 2018, puis tous les deux ans, les États membres communiquent à la Commission les informations qui lui sont nécessaires pour évaluer la mise en œuvre de la présente directive, en particulier la cohérence des approches adoptées par les États membres pour l'identification des opérateurs de services essentiels. Ces informations comprennent au moins:
(d) | thresholds, where they exist, to determine the relevant supply level by reference to the number of users relying on that service as referred to in point (a) of Article 6(1) or to the importance of that particular operator of essential services as referred to in point (f) of Article 6(1).a) | les mesures nationales permettant l'identification des opérateurs de services essentiels;
In order to contribute to the provision of comparable information, the Commission, taking the utmost account of the opinion of ENISA, may adopt appropriate technical guidelines on parameters for the information referred to in this paragraph.b) | la liste des services visée au paragraphe 3;
Article 6c) | le nombre d'opérateurs de services essentiels identifiés pour chaque secteur visé à l'annexe II et une indication de leur importance pour ce secteur;
Significant disruptive effectd) | les seuils, pour autant qu'ils existent, permettant de déterminer le niveau de l'offre pertinent en fonction du nombre d'utilisateurs tributaires de ce service visé à l'article 6, paragraphe 1, point a), ou de l'importance de cet opérateur de services essentiels particulier visée à l'article 6, paragraphe 1, point f).
1.   When determining the significance of a disruptive effect as referred to in point (c) of Article 5(2), Member States shall take into account at least the following cross-sectoral factors:Afin de contribuer à la transmission d'informations comparables, la Commission peut, en tenant le plus grand compte de l'avis de l'ENISA, adopter des lignes directrices techniques appropriées concernant les paramètres applicables aux informations visées dans le présent paragraphe.
(a) | the number of users relying on the service provided by the entity concerned;Article 6
(b) | the dependency of other sectors referred to in Annex II on the service provided by that entity;Effet disruptif important
(c) | the impact that incidents could have, in terms of degree and duration, on economic and societal activities or public safety;1.   Lorsque les États membres déterminent l'importance d'un effet disruptif visée à l'article 5, paragraphe 2, point c), ils prennent en compte au moins les facteurs transsectoriels suivants:
(d) | the market share of that entity;a) | le nombre d'utilisateurs tributaires du service fourni par l'entité concernée;
(e) | the geographic spread with regard to the area that could be affected by an incident;b) | la dépendance des autres secteurs visés à l'annexe II à l'égard du service fourni par cette entité;
(f) | the importance of the entity for maintaining a sufficient level of the service, taking into account the availability of alternative means for the provision of that service.c) | les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique;
2.   In order to determine whether an incident would have a significant disruptive effect, Member States shall also, where appropriate, take into account sector-specific factors.d) | la part de marché de cette entité;
CHAPTER IIe) | la portée géographique eu égard à la zone susceptible d'être touchée par un incident;
NATIONAL FRAMEWORKS ON THE SECURITY OF NETWORK AND INFORMATION SYSTEMSf) | l'importance que revêt l'entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.
Article 72.   Afin de déterminer si un incident est susceptible d'avoir un effet disruptif important, les États membres prennent aussi en compte, le cas échéant, des facteurs sectoriels.
National strategy on the security of network and information systemsCHAPITRE II
1.   Each Member State shall adopt a national strategy on the security of network and information systems defining the strategic objectives and appropriate policy and regulatory measures with a view to achieving and maintaining a high level of security of network and information systems and covering at least the sectors referred to in Annex II and the services referred to in Annex III. The national strategy on the security of network and information systems shall address, in particular, the following issues:CADRES NATIONAUX SUR LA SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION
(a) | the objectives and priorities of the national strategy on the security of network and information systems;Article 7
(b) | a governance framework to achieve the objectives and priorities of the national strategy on the security of network and information systems, including roles and responsibilities of the government bodies and the other relevant actors;Stratégie nationale en matière de sécurité des réseaux et des systèmes d'information
(c) | the identification of measures relating to preparedness, response and recovery, including cooperation between the public and private sectors;1.   Chaque État membre adopte une stratégie nationale en matière de sécurité des réseaux et des systèmes d'information qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées en vue de parvenir à un niveau élevé de sécurité des réseaux et des systèmes d'information et de le maintenir et de couvrir au moins les secteurs visés à l'annexe II et les services visés à l'annexe III. La stratégie nationale en matière de sécurité des réseaux et des systèmes d'information porte, en particulier, sur les points suivants:
(d) | an indication of the education, awareness-raising and training programmes relating to the national strategy on the security of network and information systems;a) | les objectifs et les priorités de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information;
(e) | an indication of the research and development plans relating to the national strategy on the security of network and information systems;b) | un cadre de gouvernance permettant d'atteindre les objectifs et les priorités de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information, prévoyant notamment les rôles et les responsabilités des organismes publics et des autres acteurs pertinents;
(f) | a risk assessment plan to identify risks;c) | l'inventaire des mesures en matière de préparation, d'intervention et de récupération, y compris la coopération entre les secteurs public et privé;
(g) | a list of the various actors involved in the implementation of the national strategy on the security of network and information systems.d) | un aperçu des programmes d'éducation, de sensibilisation et de formation en rapport avec la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information;
2.   Member States may request the assistance of ENISA in developing national strategies on the security of network and information systems.e) | un aperçu des plans de recherche et de développement en rapport avec la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information;
3.   Member States shall communicate their national strategies on the security of network and information systems to the Commission within three months from their adoption. In so doing, Member States may exclude elements of the strategy which relate to national security.f) | un plan d'évaluation des risques permettant d'identifier les risques;
Article 8g) | une liste des différents acteurs concernés par la mise en œuvre de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information.
National competent authorities and single point of contact2.   Les États membres peuvent demander à l'ENISA de leur prêter assistance dans l'élaboration de leur stratégie nationale en matière de sécurité des réseaux et des systèmes d'information.
1.   Each Member State shall designate one or more national competent authorities on the security of network and information systems (‘competent authority’), covering at least the sectors referred to in Annex II and the services referred to in Annex III. Member States may assign this role to an existing authority or authorities.3.   Les États membres communiquent leur stratégie nationale en matière de sécurité des réseaux et des systèmes d'information à la Commission dans un délai de trois mois suivant son adoption. Dans ce cadre, les États membres peuvent exclure des éléments de la stratégie se rapportant à la sécurité nationale.
2.   The competent authorities shall monitor the application of this Directive at national level.Article 8
3.   Each Member State shall designate a national single point of contact on the security of network and information systems (‘single point of contact’). Member States may assign this role to an existing authority. Where a Member State designates only one competent authority, that competent authority shall also be the single point of contact.Autorités nationales compétentes et point de contact unique
4.   The single point of contact shall exercise a liaison function to ensure cross-border cooperation of Member State authorities and with the relevant authorities in other Member States and with the Cooperation Group referred to in Article 11 and the CSIRTs network referred to in Article 12.1.   Chaque État membre désigne une ou plusieurs autorités nationales compétentes en matière de sécurité des réseaux et des systèmes d'information (ci-après dénommées «autorités compétentes»), couvrant au moins les secteurs visés à l'annexe II et les services visés à l'annexe III. Les États membres peuvent attribuer cette mission à une ou des autorités existantes.
5.   Member States shall ensure that the competent authorities and the single points of contact have adequate resources to carry out, in an effective and efficient manner, the tasks assigned to them and thereby to fulfil the objectives of this Directive. Member States shall ensure effective, efficient and secure cooperation of the designated representatives in the Cooperation Group.2.   Les autorités compétentes contrôlent l'application de la présente directive au niveau national.
6.   The competent authorities and single point of contact shall, whenever appropriate and in accordance with national law, consult and cooperate with the relevant national law enforcement authorities and national data protection authorities.3.   Chaque État membre désigne un point de contact national unique en matière de sécurité des réseaux et des systèmes d'information (ci-après dénommé «point de contact unique»). Les États membres peuvent attribuer cette mission à une autorité existante. Lorsqu'un État membre désigne une seule autorité compétente, cette dernière fait aussi fonction de point de contact unique.
7.   Each Member State shall notify to the Commission without delay the designation of the competent authority and single point of contact, their tasks, and any subsequent change thereto. Each Member State shall make public its designation of the competent authority and single point of contact. The Commission shall publish the list of designated single points of contacts.4.   Le point de contact unique exerce une fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres, ainsi qu'avec les autorités concernées des autres États membres, le groupe de coopération visé à l'article 11 et le réseau des CSIRT visé à l'article 12.
Article 95.   Les États membres veillent à ce que les autorités compétentes et les points de contact uniques disposent de ressources suffisantes pour pouvoir s'acquitter de leurs tâches de manière effective et efficace et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les représentants désignés pour siéger au sein du groupe de coopération puissent coopérer de manière effective, efficace et sûre.
Computer security incident response teams (CSIRTs)6.   En fonction des besoins et conformément au droit national, les autorités compétentes et le point de contact unique consultent les services répressifs nationaux compétents et les autorités nationales chargées de la protection des données et coopèrent avec eux.
1.   Each Member State shall designate one or more CSIRTs which shall comply with the requirements set out in point (1) of Annex I, covering at least the sectors referred to in Annex II and the services referred to in Annex III, responsible for risk and incident handling in accordance with a well-defined process. A CSIRT may be established within a competent authority.7.   Chaque État membre notifie sans tarder à la Commission la désignation de l'autorité compétente et du point de contact unique, les tâches qui leur sont confiées et toute modification ultérieure dans ce cadre. Chaque État membre rend publique la désignation de l'autorité compétente et du point de contact unique. La Commission publie la liste des points de contact uniques désignés.
2.   Member States shall ensure that the CSIRTs have adequate resources to effectively carry out their tasks as set out in point (2) of Annex I.Article 9
Member States shall ensure the effective, efficient and secure cooperation of their CSIRTs in the CSIRTs network referred to in Article 12.Centres de réponse aux incidents de sécurité informatique (CSIRT)
3.   Member States shall ensure that their CSIRTs have access to an appropriate, secure, and resilient communication and information infrastructure at national level.1.   Chaque État membre désigne un ou plusieurs CSIRT, se conformant aux exigences énumérées à l'annexe I, point 1), couvrant au moins les secteurs visés à l'annexe II et les services visés à l'annexe III, chargés de la gestion des incidents et des risques selon un processus bien défini. Un CSIRT peut être établi au sein d'une autorité compétente.
4.   Member States shall inform the Commission about the remit, as well as the main elements of the incident-handling process, of their CSIRTs.2.   Les États membres veillent à ce que les CSIRT disposent de ressources suffisantes pour pouvoir s'acquitter efficacement de leurs tâches énumérées à l'annexe I, point 2).
5.   Member States may request the assistance of ENISA in developing national CSIRTs.Les États membres veillent à ce que leurs CSIRT coopèrent de manière effective, efficace et sécurisée au sein du réseau des CSIRT visé à l'article 12.
Article 103.   Les États membres font en sorte que leurs CSIRT aient accès à une infrastructure d'information et de communication adaptée, sécurisée et résiliente au niveau national.
Cooperation at national level4.   Les États membres informent la Commission des missions de leurs CSIRT ainsi que des principaux éléments de leurs processus de gestion des incidents.
1.   Where they are separate, the competent authority, the single point of contact and the CSIRT of the same Member State shall cooperate with regard to the fulfilment of the obligations laid down in this Directive.5.   Les États membres peuvent solliciter l'assistance de l'ENISA pour la mise en place des CSIRT nationaux.
2.   Member States shall ensure that either the competent authorities or the CSIRTs receive incident notifications submitted pursuant to this Directive. Where a Member State decides that CSIRTs shall not receive notifications, the CSIRTs shall, to the extent necessary to fulfil their tasks, be granted access to data on incidents notified by operators of essential services, pursuant to Article 14(3) and (5), or by digital service providers, pursuant to Article 16(3) and (6).Article 10
3.   Member States shall ensure that the competent authorities or the CSIRTs inform the single points of contact about incident notifications submitted pursuant to this Directive.Coopération au niveau national
By 9 August 2018, and every year thereafter, the single point of contact shall submit a summary report to the Cooperation Group on the notifications received, including the number of notifications and the nature of notified incidents, and the actions taken in accordance with Article 14(3) and (5) and Article 16(3) and (6).1.   Lorsqu'ils sont distincts, l'autorité compétente, le point de contact unique et le CSIRT d'un même État membre coopèrent aux fins du respect des obligations énoncées dans la présente directive.
CHAPTER III2.   Les États membres veillent à ce que soit les autorités compétentes, soit les CSIRT reçoivent les notifications d'incidents transmises en application de la présente directive. Lorsqu'un État membre décide que les CSIRT ne reçoivent pas de notifications, ils se voient accorder, dans la mesure nécessaire à l'accomplissement de leurs tâches, un accès aux données relatives aux incidents notifiés par les opérateurs de services essentiels au titre de l'article 14, paragraphes 3 et 5, ou par les fournisseurs de service numérique au titre de l'article 16, paragraphes 3 et 6.
COOPERATION3.   Les États membres veillent à ce que les autorités compétentes ou les CSIRT informent les points de contact uniques des notifications d'incidents transmises en application de la présente directive.
Article 11Au plus tard le 9 août 2018, puis tous les ans, le point de contact unique transmet au groupe de coopération un rapport de synthèse sur les notifications reçues, y compris le nombre de notifications et la nature des incidents notifiés, ainsi que sur les mesures prises conformément à l'article 14, paragraphes 3 et 5, et à l'article 16, paragraphes 3 et 6.
Cooperation GroupCHAPITRE III
1.   In order to support and facilitate strategic cooperation and the exchange of information among Member States and to develop trust and confidence, and with a view to achieving a high common level of security of network and information systems in the Union, a Cooperation Group is hereby established.COOPÉRATION
The Cooperation Group shall carry out its tasks on the basis of biennial work programmes as referred to in the second subparagraph of paragraph 3.Article 11
2.   The Cooperation Group shall be composed of representatives of the Member States, the Commission and ENISA.Groupe de coopération
Where appropriate, the Cooperation Group may invite representatives of the relevant stakeholders to participate in its work.1.   Un groupe de coopération est institué aux fins de soutenir et de faciliter la coopération stratégique et l'échange d'informations entre les États membres et de renforcer la confiance, et de parvenir à un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.
The Commission shall provide the secretariat.Le groupe de coopération exécute ses tâches en s'appuyant sur les programmes de travail bisannuels visés au paragraphe 3, deuxième alinéa.
3.   The Cooperation Group shall have the following tasks:2.   Le groupe de coopération est composé de représentants des États membres, de la Commission et de l'ENISA.
(a) | providing strategic guidance for the activities of the CSIRTs network established under Article 12;Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés à participer à ses travaux.
(b) | exchanging best practice on the exchange of information related to incident notification as referred to in Article 14(3) and (5) and Article 16(3) and (6);Le secrétariat est assuré par la Commission.
(c) | exchanging best practice between Member States and, in collaboration with ENISA, assisting Member States in building capacity to ensure the security of network and information systems;3.   Le groupe de coopération est chargé des tâches suivantes:
(d) | discussing capabilities and preparedness of the Member States, and, on a voluntary basis, evaluating national strategies on the security of network and information systems and the effectiveness of CSIRTs, and identifying best practice;a) | fournir des orientations stratégiques pour les activités du réseau des CSIRT institué en vertu de l'article 12;
(e) | exchanging information and best practice on awareness-raising and training;b) | échanger les bonnes pratiques concernant l'échange d'informations sur les notifications d'incidents visé à l'article 14, paragraphes 3 et 5, et à l'article 16, paragraphes 3 et 6;
(f) | exchanging information and best practice on research and development relating to the security of network and information systems;c) | échanger les bonnes pratiques entre les États membres et, en coopération avec l'ENISA, aider les États membres à renforcer leurs capacités en matière de sécurité des réseaux et des systèmes d'information;
(g) | where relevant, exchanging experiences on matters concerning the security of network and information systems with relevant Union institutions, bodies, offices and agencies;d) | discuter des capacités et de l'état de préparation des États membres et, à titre volontaire, évaluer les stratégies nationales en matière de sécurité des réseaux et des systèmes d'information et l'efficacité des CSIRT, et identifier les bonnes pratiques;
(h) | discussing the standards and specifications referred to in Article 19 with representatives from the relevant European standardisation organisations;e) | échanger des informations et les bonnes pratiques en matière de sensibilisation et de formation;
(i) | collecting best practice information on risks and incidents;f) | échanger des informations et les bonnes pratiques en matière de recherche et de développement dans le domaine de la sécurité des réseaux et des systèmes d'information;
(j) | examining, on an annual basis, the summary reports referred to in the second subparagraph of Article 10(3);g) | le cas échéant, procéder à des échanges d'expériences sur des questions relatives à la sécurité des réseaux et des systèmes d'information avec les institutions, organes ou organismes de l'Union concernés;
(k) | discussing the work undertaken with regard to exercises relating to the security of network and information systems, education programmes and training, including the work done by ENISA;h) | discuter des normes et des spécifications visées à l'article 19 avec les représentants des organismes de normalisation européens concernés;
(l) | with ENISA's assistance, exchanging best practice with regard to the identification of operators of essential services by the Member States, including in relation to cross-border dependencies, regarding risks and incidents;i) | recueillir des informations sur les bonnes pratiques en matière de risques et d'incidents;
(m) | discussing modalities for reporting notifications of incidents as referred to in Articles 14 and 16.j) | examiner chaque année les rapports de synthèse visés à l'article 10, paragraphe 3, deuxième alinéa;
By 9 February 2018 and every two years thereafter, the Cooperation Group shall establish a work programme in respect of actions to be undertaken to implement its objectives and tasks, which shall be consistent with the objectives of this Directive.k) | discuter du travail accompli en ce qui concerne les exercices relatifs à la sécurité des réseaux et des systèmes d'information, les programmes d'éducation et la formation, y compris le travail réalisé par l'ENISA;
4.   For the purpose of the review referred to in Article 23 and by 9 August 2018, and every year and a half thereafter, the Cooperation Group shall prepare a report assessing the experience gained with the strategic cooperation pursued under this Article.l) | avec l'assistance de l'ENISA, échanger les bonnes pratiques concernant l'identification, par les États membres, des opérateurs de services essentiels, y compris au regard des dépendances transfrontalières, en matière de risques et d'incidents;
5.   The Commission shall adopt implementing acts laying down procedural arrangements necessary for the functioning of the Cooperation Group. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 22(2).m) | discuter des modalités de signalement des notifications d'incidents visées aux articles 14 et 16.
For the purposes of the first subparagraph, the Commission shall submit the first draft implementing act to the committee referred to in Article 22(1) by 9 February 2017.Au plus tard le 9 février 2018, puis tous les deux ans, le groupe de coopération établit un programme de travail prévoyant les actions à entreprendre pour mettre en œuvre les objectifs et les tâches et qui est cohérent avec les objectifs de la présente directive.
Article 124.   Aux fins du réexamen visé à l'article 23 et au plus tard le 9 août 2018, puis tous les ans et demi, le groupe de coopération établit un rapport évaluant l'expérience acquise à la suite de la coopération stratégique visée au présent article.
CSIRTs network5.   La Commission adopte des actes d'exécution fixant les modalités de procédure nécessaires au fonctionnement du groupe de coopération. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 22, paragraphe 2.
1.   In order to contribute to the development of confidence and trust between the Member States and to promote swift and effective operational cooperation, a network of the national CSIRTs is hereby established.Aux fins du premier alinéa, la Commission présente au comité visé à l'article 22, paragraphe 1, le premier projet d'acte d'exécution le 9 février 2017 au plus tard.
2.   The CSIRTs network shall be composed of representatives of the Member States' CSIRTs and CERT-EU. The Commission shall participate in the CSIRTs network as an observer. ENISA shall provide the secretariat and shall actively support the cooperation among the CSIRTs.Article 12
3.   The CSIRTs network shall have the following tasks:Réseau des CSIRT
(a) | exchanging information on CSIRTs' services, operations and cooperation capabilities;1.   Afin de contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et effective, un réseau des CSIRT nationaux est établi.
(b) | at the request of a representative of a CSIRT from a Member State potentially affected by an incident, exchanging and discussing non-commercially sensitive information related to that incident and associated risks; however, any Member State's CSIRT may refuse to contribute to that discussion if there is a risk of prejudice to the investigation of the incident;2.   Le réseau des CSIRT est composé de représentants des CSIRT des États membres et du CERT-UE. La Commission participe au réseau des CSIRT en qualité d'observateur. L'ENISA assure le secrétariat et soutient activement la coopération entre les CSIRT.
(c) | exchanging and making available on a voluntary basis non-confidential information concerning individual incidents;3.   Le réseau des CSIRT est chargé des tâches suivantes:
(d) | at the request of a representative of a Member State's CSIRT, discussing and, where possible, identifying a coordinated response to an incident that has been identified within the jurisdiction of that same Member State;a) | échanger des informations sur les services, les opérations et les capacités de coopération des CSIRT;
(e) | providing Member States with support in addressing cross-border incidents on the basis of their voluntary mutual assistance;b) | à la demande du représentant d'un CSIRT d'un État membre susceptible d'être touché par un incident, échanger des informations non sensibles d'un point de vue commercial en rapport avec l'incident en question et les risques correspondants et en débattre; toutefois, un CSIRT d'un État membre peut refuser de contribuer à ce débat s'il existe un risque de porter atteinte à l'enquête sur l'incident;
(f) | discussing, exploring and identifying further forms of operational cooperation, including in relation to: | (i) | categories of risks and incidents; | (ii) | early warnings; | (iii) | mutual assistance; | (iv) | principles and modalities for coordination, when Member States respond to cross-border risks and incidents;c) | échanger et mettre à disposition, à titre volontaire, des informations non confidentielles sur les différents incidents;
(g) | informing the Cooperation Group of its activities and of the further forms of operational cooperation discussed pursuant to point (f), and requesting guidance in that regard;d) | à la demande du représentant d'un CSIRT d'un État membre, discuter et, si possible, identifier une réponse coordonnée à un incident identifié qui relève de la juridiction de ce même État membre;
(h) | discussing lessons learnt from exercises relating to the security of network and information systems, including from those organised by ENISA;e) | aider les États membres à faire face à des incidents transfrontaliers sur la base d'une assistance mutuelle volontaire;
(i) | at the request of an individual CSIRT, discussing the capabilities and preparedness of that CSIRT;f) | débattre, étudier et identifier d'autres formes de coopération opérationnelle, notamment en rapport avec: | i) | les catégories de risques et d'incidents; | ii) | les alertes précoces; | iii) | l'assistance mutuelle; | iv) | les principes et modalités d'une coordination lorsque les États membres réagissent à des risques et incidents transfrontaliers;
(j) | issuing guidelines in order to facilitate the convergence of operational practices with regard to the application of the provisions of this Article concerning operational cooperation.g) | informer le groupe de coopération des activités du réseau et des autres formes de coopération opérationnelle débattues en application du point f) et demander des orientations à cet égard;
4.   For the purpose of the review referred to in Article 23 and by 9 August 2018, and every year and a half thereafter, the CSIRTs network shall produce a report assessing the experience gained with the operational cooperation, including conclusions and recommendations, pursued under this Article. That report shall also be submitted to the Cooperation Group.h) | étudier les enseignements tirés des exercices relatifs à la sécurité des réseaux et des systèmes d'information, y compris de ceux organisés par l'ENISA;
5.   The CSIRTs network shall lay down its own rules of procedure.i) | à la demande d'un CSIRT donné, étudier les capacités et l'état de préparation dudit CSIRT;
Article 13j) | publier des lignes directrices afin de faciliter la convergence des pratiques opérationnelles en ce qui concerne l'application des dispositions du présent article relatives à la coopération opérationnelle.
International cooperation4.   Aux fins du réexamen visé à l'article 23 et au plus tard le 9 août 2018, puis tous les ans et demi, le réseau des CSIRT établit un rapport évaluant l'expérience acquise à la suite de la coopération opérationnelle visée au présent article, comprenant des conclusions et des recommandations. Ce rapport est aussi transmis au groupe de coopération.
The Union may conclude international agreements, in accordance with Article 218 TFEU, with third countries or international organisations, allowing and organising their participation in some activities of the Cooperation Group. Such agreements shall take into account the need to ensure adequate protection of data.5.   Le réseau des CSIRT établit son propre règlement intérieur.
CHAPTER IVArticle 13
SECURITY OF THE NETWORK AND INFORMATION SYSTEMS OF OPERATORS OF ESSENTIAL SERVICESCoopération internationale
Article 14L'Union peut, conformément à l'article 218 du traité sur le fonctionnement de l'Union européenne, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données.
Security requirements and incident notificationCHAPITRE IV
1.   Member States shall ensure that operators of essential services take appropriate and proportionate technical and organisational measures to manage the risks posed to the security of network and information systems which they use in their operations. Having regard to the state of the art, those measures shall ensure a level of security of network and information systems appropriate to the risk posed.SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DES OPÉRATEURS DE SERVICES ESSENTIELS
2.   Member States shall ensure that operators of essential services take appropriate measures to prevent and minimise the impact of incidents affecting the security of the network and information systems used for the provision of such essential services, with a view to ensuring the continuity of those services.Article 14
3.   Member States shall ensure that operators of essential services notify, without undue delay, the competent authority or the CSIRT of incidents having a significant impact on the continuity of the essential services they provide. Notifications shall include information enabling the competent authority or the CSIRT to determine any cross-border impact of the incident. Notification shall not make the notifying party subject to increased liability.Exigences de sécurité et notification d'incidents
4.   In order to determine the significance of the impact of an incident, the following parameters in particular shall be taken into account:1.   Les États membres veillent à ce que les opérateurs de services essentiels prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs activités. Ces mesures garantissent, pour les réseaux et les systèmes d'information, un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances.
(a) | the number of users affected by the disruption of the essential service;2.   Les États membres veillent à ce que les opérateurs de services essentiels prennent les mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d'information utilisés pour la fourniture de ces services essentiels ou d'en limiter l'impact, en vue d'assurer la continuité de ces services.
(b) | the duration of the incident;3.   Les États membres veillent à ce que les opérateurs de services essentiels notifient à l'autorité compétente ou au CSIRT, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu'ils fournissent. Les notifications contiennent des informations permettant à l'autorité compétente ou au CSIRT de déterminer si l'incident a un impact au niveau transfrontalier. Cette notification n'accroît pas la responsabilité de la partie qui en est à l'origine.
(c) | the geographical spread with regard to the area affected by the incident.4.   Afin de déterminer l'ampleur de l'impact d'un incident, il est, en particulier, tenu compte des paramètres suivants:
5.   On the basis of the information provided in the notification by the operator of essential services, the competent authority or the CSIRT shall inform the other affected Member State(s) if the incident has a significant impact on the continuity of essential services in that Member State. In so doing, the competent authority or the CSIRT shall, in accordance with Union law or national legislation that complies with Union law, preserve the security and commercial interests of the operator of essential services, as well as the confidentiality of the information provided in its notification.a) | le nombre d'utilisateurs touchés par la perturbation du service essentiel;
Where the circumstances allow, the competent authority or the CSIRT shall provide the notifying operator of essential services with relevant information regarding the follow-up of its notification, such as information that could support the effective incident handling.b) | la durée de l'incident;
At the request of the competent authority or the CSIRT, the single point of contact shall forward notifications as referred to in the first subparagraph to single points of contact of other affected Member States.c) | la portée géographique eu égard à la zone touchée par l'incident.
6.   After consulting the notifying operator of essential services, the competent authority or the CSIRT may inform the public about individual incidents, where public awareness is necessary in order to prevent an incident or to deal with an ongoing incident.5.   Sur la base des informations fournies dans la notification de l'opérateur de services essentiels, l'autorité compétente ou le CSIRT signale aux autres États membres touchés si l'incident a un impact significatif sur la continuité des services essentiels dans ces États membres. Ce faisant, l'autorité compétente ou le CSIRT doit, dans le respect du droit de l'Union ou de la législation nationale conforme au droit de l'Union, préserver la sécurité et les intérêts commerciaux de l'opérateur de services essentiels ainsi que la confidentialité des informations communiquées dans sa notification.
7.   Competent authorities acting together within the Cooperation Group may develop and adopt guidelines concerning the circumstances in which operators of essential services are required to notify incidents, including on the parameters to determine the significance of the impact of an incident as referred to in paragraph 4.Lorsque les circonstances le permettent, l'autorité compétente ou le CSIRT fournit à l'opérateur de services essentiels qui est à l'origine de la notification des informations utiles au suivi de sa notification, par exemple celles qui pourraient contribuer à une gestion efficace de l'incident.
Article 15À la demande de l'autorité compétente ou du CSIRT, le point de contact unique transmet les notifications visées au premier alinéa aux points de contact uniques des autres États membres touchés.
Implementation and enforcement6.   Après avoir consulté l'opérateur de services essentiels qui est à l'origine de la notification, l'autorité compétente ou le CSIRT peut informer le public concernant des incidents particuliers, lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours.
1.   Member States shall ensure that the competent authorities have the necessary powers and means to assess the compliance of operators of essential services with their obligations under Article 14 and the effects thereof on the security of network and information systems.7.   Les autorités compétentes, agissant de concert au sein du groupe de coopération, peuvent élaborer et adopter des lignes directrices relatives aux circonstances dans lesquelles les opérateurs de services essentiels sont tenus de notifier les incidents, y compris en ce qui concerne les paramètres permettant de déterminer l'ampleur de l'impact d'un incident au sens du paragraphe 4.
2.   Member States shall ensure that the competent authorities have the powers and means to require operators of essential services to provide:Article 15
(a) | the information necessary to assess the security of their network and information systems, including documented security policies;Mise en œuvre et exécution
(b) | evidence of the effective implementation of security policies, such as the results of a security audit carried out by the competent authority or a qualified auditor and, in the latter case, to make the results thereof, including the underlying evidence, available to the competent authority.1.   Les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour évaluer le respect, par les opérateurs de services essentiels, des obligations qui leur incombent en vertu de l'article 14, ainsi que les effets de ce respect sur la sécurité des réseaux et des systèmes d'information.
When requesting such information or evidence, the competent authority shall state the purpose of the request and specify what information is required.2.   Les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens leur permettant d'exiger des opérateurs de services essentiels qu'ils fournissent:
3.   Following the assessment of information or results of security audits referred to in paragraph 2, the competent authority may issue binding instructions to the operators of essential services to remedy the deficiencies identified.a) | les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité;
4.   The competent authority shall work in close cooperation with data protection authorities when addressing incidents resulting in personal data breaches.b) | des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit de sécurité exécuté par l'autorité compétente ou un auditeur qualifié et, dans ce dernier cas, qu'ils en mettent les résultats, y compris les éléments probants, à la disposition de l'autorité compétente.
CHAPTER VAu moment de formuler une telle demande d'informations et de preuves, l'autorité compétente mentionne la finalité de la demande et précise quelles sont les informations exigées.
SECURITY OF THE NETWORK AND INFORMATION SYSTEMS OF DIGITAL SERVICE PROVIDERS3.   Après évaluation des informations ou des résultats des audits de sécurité visés au paragraphe 2, l'autorité compétente peut donner des instructions contraignantes aux opérateurs de services essentiels pour remédier aux défaillances identifiées.
Article 164.   Pour traiter des incidents donnant lieu à des violations des données à caractère personnel, l'autorité compétente coopère étroitement avec les autorités chargées de la protection des données.
Security requirements and incident notificationCHAPITRE V
1.   Member States shall ensure that digital service providers identify and take appropriate and proportionate technical and organisational measures to manage the risks posed to the security of network and information systems which they use in the context of offering services referred to in Annex III within the Union. Having regard to the state of the art, those measures shall ensure a level of security of network and information systems appropriate to the risk posed, and shall take into account the following elements:SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DES FOURNISSEURS DE SERVICE NUMÉRIQUE
(a) | the security of systems and facilities;Article 16
(b) | incident handling;Exigences de sécurité et notification d'incidents
(c) | business continuity management;1.   Les États membres veillent à ce que les fournisseurs de service numérique identifient les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent pour offrir, dans l'Union, les services visés à l'annexe III, et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer. Ces mesures garantissent, compte tenu de l'état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information adapté au risque existant et prennent en considération les éléments suivants:
(d) | monitoring, auditing and testing;a) | la sécurité des systèmes et des installations;
(e) | compliance with international standards.b) | la gestion des incidents;
2.   Member States shall ensure that digital service providers take measures to prevent and minimise the impact of incidents affecting the security of their network and information systems on the services referred to in Annex III that are offered within the Union, with a view to ensuring the continuity of those services.c) | la gestion de la continuité des activités;
3.   Member States shall ensure that digital service providers notify the competent authority or the CSIRT without undue delay of any incident having a substantial impact on the provision of a service as referred to in Annex III that they offer within the Union. Notifications shall include information to enable the competent authority or the CSIRT to determine the significance of any cross-border impact. Notification shall not make the notifying party subject to increased liability.d) | le suivi, l'audit et le contrôle;
4.   In order to determine whether the impact of an incident is substantial, the following parameters in particular shall be taken into account:e) | le respect des normes internationales.
(a) | the number of users affected by the incident, in particular users relying on the service for the provision of their own services;2.   Les États membres veillent à ce que les fournisseurs de service numérique prennent des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d'information, et réduire au minimum l'impact de ces incidents sur les services visés à l'annexe III qui sont offerts dans l'Union, de manière à garantir la continuité de ces services.
(b) | the duration of the incident;3.   Les États membres veillent à ce que les fournisseurs de service numérique notifient à l'autorité compétente ou au CSIRT, sans retard injustifié, tout incident ayant un impact significatif sur la fourniture d'un service visé à l'annexe III qu'ils offrent dans l'Union. Les notifications contiennent des informations permettant à l'autorité compétente ou au CSIRT d'évaluer l'ampleur de l'éventuel impact au niveau transfrontalier. Cette notification n'accroît pas la responsabilité de la partie qui en est à l'origine.
(c) | the geographical spread with regard to the area affected by the incident;4.   Afin de déterminer l'importance de l'impact d'un incident, il convient de tenir compte, en particulier, des paramètres qui suivent:
(d) | the extent of the disruption of the functioning of the service;a) | le nombre d'utilisateurs touchés par l'incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services;
(e) | the extent of the impact on economic and societal activities.b) | la durée de l'incident;
The obligation to notify an incident shall only apply where the digital service provider has access to the information needed to assess the impact of an incident against the parameters referred to in the first subparagraph.c) | la portée géographique eu égard à la zone touchée par l'incident;
5.   Where an operator of essential services relies on a third-party digital service provider for the provision of a service which is essential for the maintenance of critical societal and economic activities, any significant impact on the continuity of the essential services due to an incident affecting the digital service provider shall be notified by that operator.d) | la gravité de la perturbation du fonctionnement du service;
6.   Where appropriate, and in particular if the incident referred to in paragraph 3 concerns two or more Member States, the competent authority or the CSIRT shall inform the other affected Member States. In so doing, the competent authorities, CSIRTs and single points of contact shall, in accordance with Union law, or national legislation that complies with Union law, preserve the digital service provider's security and commercial interests as well as the confidentiality of the information provided.e) | l'ampleur de l'impact sur les fonctions économiques et sociétales.
7.   After consulting the digital service provider concerned, the competent authority or the CSIRT and, where appropriate, the authorities or the CSIRTs of other Member States concerned may inform the public about individual incidents or require the digital service provider to do so, where public awareness is necessary in order to prevent an incident or to deal with an ongoing incident, or where disclosure of the incident is otherwise in the public interest.L'obligation de notifier un incident ne s'applique que lorsque le fournisseur de service numérique a accès aux informations nécessaires pour évaluer l'impact de l'incident eu égard aux paramètres visés au premier alinéa.
8.   The Commission shall adopt implementing acts in order to specify further the elements referred to in paragraph 1 and the parameters listed in paragraph 4 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 22(2) by 9 August 2017.5.   Lorsqu'un opérateur de services essentiels s'appuie sur un tiers fournisseur de service numérique pour la prestation d'un service essentiel au maintien de fonctions sociétales et économiques critiques, tout impact significatif sur la continuité des services essentiels en raison d'un incident touchant le fournisseur de service numérique est notifié par ledit opérateur.
9.   The Commission may adopt implementing acts laying down the formats and procedures applicable to notification requirements. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 22(2).6.   Lorsque c'est approprié, et notamment si l'incident visé au paragraphe 3 concerne deux États membres ou plus, l'autorité compétente ou le CSIRT informe les autres États membres touchés. Ce faisant, les autorités compétentes, les CSIRT et les points de contact uniques doivent, dans le respect du droit de l'Union ou de la législation nationale conforme au droit de l'Union, préserver la sécurité et les intérêts commerciaux du fournisseur de service numérique ainsi que la confidentialité des informations communiquées.
10.   Without prejudice to Article 1(6), Member States shall not impose any further security or notification requirements on digital service providers.7.   Après avoir consulté le fournisseur de service numérique concerné, l'autorité compétente ou le CSIRT et, lorsque c'est approprié, les autorités ou les CSIRT des autres États membres concernés peuvent informer le public d'incidents particuliers ou imposer au fournisseur de service numérique de le faire, dans le cas où la sensibilisation du public est nécessaire pour prévenir un incident ou pour gérer un incident en cours, ou lorsque la divulgation de l'incident est dans l'intérêt public à d'autres égards.
11.   Chapter V shall not apply to micro- and small enterprises as defined in Commission Recommendation 2003/361/EC (19).8.   La Commission adopte des actes d'exécution afin de compléter les éléments visés au paragraphe 1 et les paramètres énumérés au paragraphe 4 du présent article. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 22, paragraphe 2, au plus tard le 9 août 2017.
Article 179.   La Commission peut adopter des actes d'exécution fixant les formats et les procédures à appliquer pour respecter les exigences en matière de notification. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 22, paragraphe 2.
Implementation and enforcement10.   Sans préjudice de l'article 1er, paragraphe 6, les États membres n'imposent pas aux fournisseurs de service numérique d'autres exigences liées à la sécurité ou aux notifications.
1.   Member States shall ensure that the competent authorities take action, if necessary, through ex post supervisory measures, when provided with evidence that a digital service provider does not meet the requirements laid down in Article 16. Such evidence may be submitted by a competent authority of another Member State where the service is provided.11.   Le chapitre V ne s'applique pas aux microentreprises et petites entreprises telles qu'elles sont définies dans la recommandation 2003/361/CE de la Commission (19).
2.   For the purposes of paragraph 1, the competent authorities shall have the necessary powers and means to require digital service providers to:Article 17
(a) | provide the information necessary to assess the security of their network and information systems, including documented security policies;Mise en œuvre et exécution
(b) | remedy any failure to meet the requirements laid down in Article 16.1.   Les États membres veillent à ce que les autorités compétentes prennent des mesures, au besoin, dans le cadre de mesures de contrôle a posteriori, lorsque, selon les éléments communiqués, un fournisseur de service numérique ne satisfait pas aux exigences énoncées à l'article 16. Ces éléments peuvent être communiqués par une autorité compétente d'un autre État membre dans lequel le service est fourni.
3.   If a digital service provider has its main establishment or a representative in a Member State, but its network and information systems are located in one or more other Member States, the competent authority of the Member State of the main establishment or of the representative and the competent authorities of those other Member States shall cooperate and assist each other as necessary. Such assistance and cooperation may cover information exchanges between the competent authorities concerned and requests to take the supervisory measures referred to in paragraph 2.2.   Aux fins du paragraphe 1, les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour imposer aux fournisseurs de service numérique:
Article 18a) | de communiquer les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité;
Jurisdiction and territorialityb) | de corriger tout manquement aux obligations fixées à l'article 16.
1.   For the purposes of this Directive, a digital service provider shall be deemed to be under the jurisdiction of the Member State in which it has its main establishment. A digital service provider shall be deemed to have its main establishment in a Member State when it has its head office in that Member State.3.   Si un fournisseur de service numérique a son établissement principal ou un représentant dans un État membre alors que ses réseaux et systèmes d'information sont situés dans un ou plusieurs autres États membres, l'autorité compétente de l'État membre de l'établissement principal ou du représentant et les autorités compétentes de ces autres États membres coopèrent et se prêtent mutuellement assistance si nécessaire. Cette assistance et cette coopération peuvent porter sur les échanges d'informations entre les autorités compétentes concernées et sur les demandes de prise de mesures de contrôle visées au paragraphe 2.
2.   A digital service provider that is not established in the Union, but offers services referred to in Annex III within the Union, shall designate a representative in the Union. The representative shall be established in one of those Member States where the services are offered. The digital service provider shall be deemed to be under the jurisdiction of the Member State where the representative is established.Article 18
3.   The designation of a representative by the digital service provider shall be without prejudice to legal actions which could be initiated against the digital service provider itself.Compétence et territorialité
CHAPTER VI1.   Aux fins de la présente directive, un fournisseur de service numérique est considéré comme relevant de la compétence de l'État membre dans lequel il a son établissement principal. Un fournisseur de service numérique est réputé avoir son établissement principal dans un État membre lorsque son siège social se trouve dans cet État membre.
STANDARDISATION AND VOLUNTARY NOTIFICATION2.   Un fournisseur de service numérique qui n'est pas établi dans l'Union mais fournit des services visés à l'annexe III à l'intérieur de l'Union désigne un représentant dans l'Union. Le représentant est établi dans l'un des États membres dans lesquels les services sont fournis. Le fournisseur de service numérique est considéré comme relevant de la compétence de l'État membre dans lequel le représentant est établi.
Article 193.   La désignation d'un représentant par le fournisseur de service numérique est sans préjudice d'actions en justice qui pourraient être intentées contre le fournisseur de service numérique lui-même.
StandardisationCHAPITRE VI
1.   In order to promote convergent implementation of Article 14(1) and (2) and Article 16(1) and (2), Member States shall, without imposing or discriminating in favour of the use of a particular type of technology, encourage the use of European or internationally accepted standards and specifications relevant to the security of network and information systems.NORMALISATION ET NOTIFICATION VOLONTAIRE
2.   ENISA, in collaboration with Member States, shall draw up advice and guidelines regarding the technical areas to be considered in relation to paragraph 1 as well as regarding already existing standards, including Member States' national standards, which would allow for those areas to be covered.Article 19
Article 20Normalisation
Voluntary notification1.   Afin de favoriser la convergence de la mise en œuvre de l'article 14, paragraphes 1 et 2, et de l'article 16, paragraphes 1 et 2, les États membres encouragent, sans imposer l'utilisation d'un type particulier de technologies ni créer de discrimination en faveur d'un tel type particulier de technologies, le recours à des normes et des spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d'information.
1.   Without prejudice to Article 3, entities which have not been identified as operators of essential services and are not digital service providers may notify, on a voluntary basis, incidents having a significant impact on the continuity of the services which they provide.2.   L'ENISA, en collaboration avec les États membres, formule des avis et des lignes directrices relatives aux domaines techniques qui doivent être pris en considération en liaison avec le paragraphe 1 et relatives aux normes existantes, y compris les normes nationales des États membres, qui permettraient de couvrir ces domaines.
2.   When processing notifications, Member States shall act in accordance with the procedure set out in Article 14. Member States may prioritise the processing of mandatory notifications over voluntary notifications. Voluntary notifications shall only be processed where such processing does not constitute a disproportionate or undue burden on Member States concerned.Article 20
Voluntary notification shall not result in the imposition upon the notifying entity of any obligations to which it would not have been subject had it not given that notification.Notification volontaire
CHAPTER VII1.   Sans préjudice de l'article 3, les entités qui n'ont pas été identifiées en tant qu'opérateurs de services essentiels et qui ne sont pas des fournisseurs de service numérique peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu'elles fournissent.
FINAL PROVISIONS2.   Lorsqu'ils traitent des notifications, les États membres agissent conformément à la procédure énoncée à l'article 14. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile sur les États membres concernés.
Article 21Une notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification.
PenaltiesCHAPITRE VII
Member States shall lay down the rules on penalties applicable to infringements of national provisions adopted pursuant to this Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive. Member States shall, by 9 May 2018, notify the Commission of those rules and of those measures and shall notify it, without delay, of any subsequent amendment affecting them.DISPOSITIONS FINALES
Article 22Article 21
Committee procedureSanctions
1.   The Commission shall be assisted by the Network and Information Systems Security Committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.Les États membres fixent des règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres notifient ces règles et ces mesures à la Commission au plus tard le 9 mai 2018 et lui notifient sans retard toute modification ultérieure les concernant.
2.   Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.Article 22
Article 23Comité
Review1.   La Commission est assistée par le comité de la sécurité des réseaux et des systèmes d'information. Ledit comité est un comité au sens du règlement (UE) no 182/2011.
1.   By 9 May 2019, the Commission shall submit a report to the European Parliament and to Council, assessing the consistency of the approach taken by Member States in the identification of the operators of essential services.2.   Lorsqu'il est fait référence au présent paragraphe, l'article 5 du règlement (UE) no 182/2011 s'applique.
2.   The Commission shall periodically review the functioning of this Directive and report to the European Parliament and to the Council. For this purpose and with a view to further advancing the strategic and operational cooperation, the Commission shall take into account the reports of the Cooperation Group and the CSIRTs network on the experience gained at a strategic and operational level. In its review, the Commission shall also assess the lists contained in Annexes II and III, and the consistency in the identification of operators of essential services and services in the sectors referred to in Annex II. The first report shall be submitted by 9 May 2021.Article 23
Article 24Réexamen
Transitional measures1.   Au plus tard le 9 mai 2019, la Commission présente au Parlement européen et au Conseil un rapport évaluant la cohérence de l'approche adoptée par les États membres pour identifier les opérateurs de services essentiels.
1.   Without prejudice to Article 25 and with a view to providing Member States with additional possibilities for appropriate cooperation during the period of transposition, the Cooperation Group and the CSIRTs network shall begin to perform the tasks set out in Articles 11(3) and 12(3) respectively by 9 February 2017.2.   La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l'expérience acquise au niveau tant stratégique qu'opérationnel. Dans son réexamen, la Commission évalue en outre les listes figurant aux annexes II et III ainsi que la cohérence de l'identification des opérateurs de services essentiels et des services dans les secteurs visés à l'annexe II. Le premier rapport est présenté au plus tard le 9 mai 2021.
2.   For the period from 9 February 2017 to 9 November 2018, and for the purposes of supporting Member States in taking a consistent approach in the process of identification of operators of essential services, the Cooperation Group shall discuss the process, substance and type of national measures allowing for the identification of operators of essential services within a specific sector in accordance with the criteria set out in Articles 5 and 6. The Cooperation Group shall also discuss, at the request of a Member State, specific draft national measures of that Member State, allowing for the identification of operators of essential services within a specific sector in accordance with the criteria set out in Articles 5 and 6.Article 24
3.   By 9 February 2017 and for the purposes of this Article, Member States shall ensure appropriate representation in the Cooperation Group and the CSIRTs network.Mesures transitoires
Article 251.   Sans préjudice de l'article 25 et afin d'offrir aux États membres des possibilités supplémentaires de coopération appropriée au cours de la période de transposition, le groupe de coopération et le réseau des CSIRT commencent à s'acquitter des tâches définies respectivement à l'article 11, paragraphe 3, et à l'article 12, paragraphe 3, au plus tard le 9 février 2017.
Transposition2.   Au cours de la période comprise entre le 9 février 2017 et le 9 novembre 2018, et aux fins d'aider les États membres à adopter une approche cohérente dans le processus d'identification des opérateurs de services essentiels, le groupe de coopération discute du processus, ainsi que du contenu et du type des mesures nationales visant à identifier les opérateurs de services essentiels dans un secteur spécifique, conformément aux critères énoncés aux articles 5 et 6. Le groupe de coopération discute en outre, à la demande d'un État membre, des projets spécifiques de mesures nationales élaborés par cet État membre en vue d'identifier les opérateurs de services essentiels dans un secteur spécifique, conformément aux critères énoncés aux articles 5 et 6.
1.   Member States shall adopt and publish, by 9 May 2018, the laws, regulations and administrative provisions necessary to comply with this Directive. They shall immediately inform the Commission thereof.3.   Au plus tard le 9 février 2017, et aux fins du présent article, les États membres assurent une représentation appropriée au sein du groupe de coopération et du réseau des CSIRT.
They shall apply those measures from 10 May 2018.Article 25
When Member States adopt those measures, they shall contain a reference to this Directive or shall be accompanied by such a reference on the occasion of their official publication. The methods of making such reference shall be laid down by Member States.Transposition
2.   Member States shall communicate to the Commission the text of the main provisions of national law which they adopt in the field covered by this Directive.1.   Les États membres adoptent et publient, au plus tard le 9 mai 2018, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission.
Article 26Ils appliquent ces dispositions à partir du 10 mai 2018.
Entry into forceLorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
This Directive shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.2.   Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu'ils adoptent dans le domaine régi par la présente directive.
Article 27Article 26
AddresseesEntrée en vigueur
This Directive is addressed to the Member States.La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.
Done at Strasbourg, 6 July 2016.Article 27
For the European ParliamentDestinataires
The PresidentLes États membres sont destinataires de la présente directive.
M. SCHULZFait à Strasbourg, le 6 juillet 2016.
For the CouncilPar le Parlement européen
The PresidentLe président
I. KORČOKM. SCHULZ
(1)  OJ C 271, 19.9.2013, p. 133.Par le Conseil
(2)  Position of the European Parliament of 13 March 2014 (not yet published in the Official Journal) and position of the Council at first reading of 17 May 2016 (not yet published in the Official Journal). Position of the European Parliament of 6 July 2016 (not yet published in the Official Journal).Le président
(3)  Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive) (OJ L 108, 24.4.2002, p. 33).I. KORČOK
(4)  Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (OJ L 257, 28.8.2014, p. 73).(1)  JO C 271 du 19.9.2013, p. 133.
(5)  Council Decision 2013/488/EU of 23 September 2013 on the security rules for protecting EU classified information (OJ L 274, 15.10.2013, p. 1).(2)  Position du Parlement européen du 13 mars 2014 (non encore parue au Journal officiel) et position du Conseil en première lecture du 17 mai 2016 (non encore parue au Journal officiel). Position du Parlement européen du 6 juillet 2016 (non encore parue au Journal officiel).
(6)  OJ C 352, 7.10.2014, p. 4.(3)  Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108 du 24.4.2002, p. 33).
(7)  Regulation (EU) No 526/2013 of the European Parliament and the Council of 21 May 2013 concerning the European Union Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004 (OJ L 165, 18.6.2013, p. 41).(4)  Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).
(8)  Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).(5)  Décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'Union européenne (JO L 274 du 15.10.2013, p. 1).
(9)  Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).(6)  JO C 352 du 7.10.2014, p. 4.
(10)  Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31).(7)  Règlement (UE) no 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et abrogeant le règlement (CE) no 460/2004 (JO L 165 du 18.6.2013, p. 41).
(11)  Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1).(8)  Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).
(12)  Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43).(9)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13).
(13)  OJ C 32, 4.2.2014, p. 19.(10)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31).
(14)  Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection (OJ L 345, 23.12.2008, p. 75).(11)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1).
(15)  Directive 2011/93/EU of the European Parliament and of the Council of 13 December 2011 on combating the sexual abuse and sexual exploitation of children and child pornography, and replacing Council Framework Decision 2004/68/JHA (OJ L 335, 17.12.2011, p. 1).(12)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).
(16)  Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA (OJ L 218, 14.8.2013, p. 8).(13)  JO C 32 du 4.2.2014, p. 19.
(17)  Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1).(14)  Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection (JO L 345 du 23.12.2008, p. 75).
(18)  Directive 2013/11/EU of the European Parliament and of the Council of 21 May 2013 on alternative dispute resolution for consumer disputes and amending Regulation (EC) No 2006/2004 and Directive 2009/22/EC (Directive on consumer ADR) (OJ L 165, 18.6.2013, p. 63).(15)  Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
(19)  Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small and medium–sized enterprises (OJ L 124, 20.5.2003, p. 36).(16)  Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
ANNEX I(17)  Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information (JO L 241 du 17.9.2015, p. 1).
REQUIREMENTS AND TASKS OF COMPUTER SECURITY INCIDENT RESPONSE TEAMS (CSIRTs)(18)  Directive 2013/11/UE du Parlement européen et du Conseil du 21 mai 2013 relative au règlement extrajudiciaire des litiges de consommation et modifiant le règlement (CE) no 2006/2004 et la directive 2009/22/CE (directive relative au RELC) (JO L 165 du 18.6.2013, p. 63).
The requirements and tasks of CSIRTs shall be adequately and clearly defined and supported by national policy and/or regulation. They shall include the following:(19)  Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).
(1) | Requirements for CSIRTs: | (a) | CSIRTs shall ensure a high level of availability of their communications services by avoiding single points of failure, and shall have several means for being contacted and for contacting others at all times. Furthermore, the communication channels shall be clearly specified and well known to the constituency and cooperative partners. | (b) | CSIRTs' premises and the supporting information systems shall be located in secure sites. | (c) | Business continuity: | (i) | CSIRTs shall be equipped with an appropriate system for managing and routing requests, in order to facilitate handovers. | (ii) | CSIRTs shall be adequately staffed to ensure availability at all times. | (iii) | CSIRTs shall rely on an infrastructure the continuity of which is ensured. To that end, redundant systems and backup working space shall be available. | (d) | CSIRTs shall have the possibility to participate, where they wish to do so, in international cooperation networks.ANNEXE I
(2) | CSIRTs' tasks: | (a) | CSIRTs' tasks shall include at least the following: | (i) | monitoring incidents at a national level; | (ii) | providing early warning, alerts, announcements and dissemination of information to relevant stakeholders about risks and incidents; | (iii) | responding to incidents; | (iv) | providing dynamic risk and incident analysis and situational awareness; | (v) | participating in the CSIRTs network. | (b) | CSIRTs shall establish cooperation relationships with the private sector. | (c) | To facilitate cooperation, CSIRTs shall promote the adoption and use of common or standardised practices for: | (i) | incident and risk-handling procedures; | (ii) | incident, risk and information classification schemes.OBLIGATIONS ET TÂCHES DES CENTRES DE RÉPONSE AUX INCIDENTS DE SÉCURITÉ INFORMATIQUE (CSIRT)
ANNEX IILes obligations et tâches des CSIRT doivent être correctement et clairement définies sur la base d'une politique ou réglementation nationale. Elles comprennent les éléments suivants:
TYPES OF ENTITIES FOR THE PURPOSES OF POINT (4) OF ARTICLE 41) | Obligations des CSIRT | a) | Les CSIRT doivent veiller à un niveau élevé de disponibilité de leurs services de communication en évitant les points uniques de défaillance et ils doivent disposer de plusieurs moyens pour être contactés et contacter autrui à tout moment. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. | b) | Les locaux des CSIRT et les systèmes d'information utilisés doivent se trouver sur des sites sécurisés. | c) | Continuité des opérations: | i) | les CSIRT sont dotés d'un système approprié de gestion et de routage des demandes afin de faciliter les transferts; | ii) | les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente; | iii) | les CSIRT s'appuient sur une infrastructure dont la continuité est garantie. À cette fin, des systèmes redondants et un espace de travail de secours sont disponibles. | d) | Les CSIRT ont la possibilité de participer, lorsqu'ils le souhaitent, aux réseaux de coopération internationale.
Sector | Subsector | Type of entity2) | Tâches des CSIRT | a) | Les tâches des CSIRT comprennent au moins les éléments suivants: | i) | suivi des incidents au niveau national; | ii) | activation du mécanisme d'alerte précoce, diffusion de messages d'alerte, annonces et diffusion d'informations sur les risques et incidents auprès des parties intéressées; | iii) | intervention en cas d'incident; | iv) | analyse dynamique des risques et incidents et conscience situationnelle; | v) | participation au réseau des CSIRT. | b) | Les CSIRT établissent des relations de coopération avec le secteur privé. | c) | Pour faciliter la coopération, les CSIRT promeuvent l'adoption et l'utilisation de pratiques communes normalisées pour: | i) | les procédures de gestion des risques et incidents; | ii) | les systèmes de classification des incidents, risques et informations.
1. | Energy | (a) | Electricity | — | Electricity undertakings as defined in point (35) of Article 2 of Directive 2009/72/EC of the European Parliament and of the Council (1), which carry out the function of ‘supply’ as defined in point (19) of Article 2 of that DirectiveANNEXE II
— | Distribution system operators as defined in point (6) of Article 2 of Directive 2009/72/ECTYPES D'ENTITÉS AUX FINS DE L'ARTICLE 4, POINT 4)
— | Transmission system operators as defined in point (4) of Article 2 of Directive 2009/72/ECSecteur | Sous-secteur | Type d'entités
(b) | Oil | — | Operators of oil transmission pipelines1. | Énergie | a) | Électricité | — | Entreprises d'électricité au sens de l'article 2, point 35), de la directive 2009/72/CE du Parlement européen et du Conseil (1), qui remplit la fonction de «fourniture» au sens de l'article 2, point 19), de ladite directive
— | Operators of oil production, refining and treatment facilities, storage and transmission— | Gestionnaires de réseau de distribution au sens de l'article 2, point 6), de la directive 2009/72/CE
(c) | Gas | — | Supply undertakings as defined in point (8) of Article 2 of Directive 2009/73/EC of the European Parliament and of the Council (2)— | Gestionnaires de réseau de transport au sens de l'article 2, point 4), de la directive 2009/72/CE
— | Distribution system operators as defined in point (6) of Article 2 of Directive 2009/73/ECb) | Pétrole | — | Exploitants d'oléoducs
— | Transmission system operators as defined in point (4) of Article 2 of Directive 2009/73/EC— | Exploitants d'installations de production, de raffinage, de traitement, de stockage et de transport de pétrole
— | Storage system operators as defined in point (10) of Article 2 of Directive 2009/73/ECc) | Gaz | — | Entreprises de fourniture au sens de l'article 2, point 8), de la directive 2009/73/CE du Parlement européen et du Conseil (2)
— | LNG system operators as defined in point (12) of Article 2 of Directive 2009/73/EC— | Gestionnaires de réseau de distribution au sens de l'article 2, point 6), de la directive 2009/73/CE
— | Natural gas undertakings as defined in point (1) of Article 2 of Directive 2009/73/EC— | Gestionnaires de réseau de transport au sens de l'article 2, point 4), de la directive 2009/73/CE
— | Operators of natural gas refining and treatment facilities— | Gestionnaires d'installation de stockage au sens de l'article 2, point 10), de la directive 2009/73/CE
2. | Transport | (a) | Air transport | — | Air carriers as defined in point (4) of Article 3 of Regulation (EC) No 300/2008 of the European Parliament and of the Council (3)— | Gestionnaires d'installation de GNL au sens de l'article 2, point 12), de la directive 2009/73/CE
— | Airport managing bodies as defined in point (2) of Article 2 of Directive 2009/12/EC of the European Parliament and of the Council (4), airports as defined in point (1) of Article 2 of that Directive, including the core airports listed in Section 2 of Annex II to Regulation (EU) No 1315/2013 of the European Parliament and of the Council (5), and entities operating ancillary installations contained within airports— | Entreprises de gaz naturel au sens de l'article 2, point 1), de la directive 2009/73/CE
— | Traffic management control operators providing air traffic control (ATC) services as defined in point (1) of Article 2 of Regulation (EC) No 549/2004 of the European Parliament and of the Council (6)— | Exploitants d'installations de raffinage et de traitement de gaz naturel
(b) | Rail transport | — | Infrastructure managers as defined in point (2) of Article 3 of Directive 2012/34/EU of the European Parliament and of the Council (7)2. | Transports | a) | Transport aérien | — | Transporteurs aériens au sens de l'article 3, point 4), du règlement (CE) no 300/2008 du Parlement européen et du Conseil (3)
— | Railway undertakings as defined in point (1) of Article 3 of Directive 2012/34/EU, including operators of service facilities as defined in point (12) of Article 3 of Directive 2012/34/EU— | Entités gestionnaires d'aéroports au sens de l'article 2, point 2), de la directive 2009/12/CE du Parlement européen et du Conseil (4), aéroports au sens de l'article 2, point 1), de ladite directive, y compris les aéroports du réseau central énumérés à l'annexe II, section 2, du règlement (UE) no 1315/2013 du Parlement européen et du Conseil (5), et entités exploitant les installations annexes se trouvant dans les aéroports
(c) | Water transport | — | Inland, sea and coastal passenger and freight water transport companies, as defined for maritime transport in Annex I to Regulation (EC) No 725/2004 of the European Parliament and of the Council (8), not including the individual vessels operated by those companies— | Services du contrôle de la circulation aérienne au sens de l'article 2, point 1), du règlement (CE) no 549/2004 du Parlement européen et du Conseil (6)
— | Managing bodies of ports as defined in point (1) of Article 3 of Directive 2005/65/EC of the European Parliament and of the Council (9), including their port facilities as defined in point (11) of Article 2 of Regulation (EC) No 725/2004, and entities operating works and equipment contained within portsb) | Transport ferroviaire | — | Gestionnaires de l'infrastructure au sens de l'article 3, point 2), de la directive 2012/34/UE du Parlement européen et du Conseil (7)
— | Operators of vessel traffic services as defined in point (o) of Article 3 of Directive 2002/59/EC of the European Parliament and of the Council (10)— | Entreprises ferroviaires au sens de l'article 3, point 1), de la directive 2012/34/UE, y compris les exploitants d'installations de services au sens de l'article 3, point 12), de la directive 2012/34/UE
(d) | Road transport | — | Road authorities as defined in point (12) of Article 2 of Commission Delegated Regulation (EU) 2015/962 (11) responsible for traffic management controlc) | Transport par voie d'eau | — | Sociétés de transport terrestre, maritime et côtier de passagers et de fret au sens de l'annexe I du règlement (CE) no 725/2004 du Parlement européen et du Conseil (8), à l'exclusion des navires exploités à titre individuel par ces sociétés
— | Operators of Intelligent Transport Systems as defined in point (1) of Article 4 of Directive 2010/40/EU of the European Parliament and of the Council (12)— | Entités gestionnaires des ports au sens de l'article 3, point 1), de la directive 2005/65/CE du Parlement européen et du Conseil (9), y compris les installations portuaires au sens de l'article 2, point 11), du règlement (CE) no 725/2004, ainsi que les entités exploitant des ateliers et des équipements à l'intérieur des ports
3. | Banking |   | Credit institutions as defined in point (1) of Article 4 of Regulation (EU) No 575/2013 of the European Parliament and of the Council (13)— | Exploitants de services de trafic maritime au sens de l'article 3, point o), de la directive 2002/59/CE du Parlement européen et du Conseil (10)
4. | Financial market infrastructures |   | — | Operators of trading venues as defined in point (24) of Article 4 of Directive 2014/65/EU of the European Parliament and of the Council (14)d) | Transport routier | — | Autorités routières au sens de l'article 2, point 12), du règlement délégué (UE) 2015/962 de la Commission (11), chargées du contrôle de gestion du trafic
— | Central counterparties (CCPs) as defined in point (1) of Article 2 of Regulation (EU) No 648/2012 of the European Parliament and of the Council (15)— | Exploitants de systèmes de transport intelligents au sens de l'article 4, point 1), de la directive 2010/40/UE du Parlement européen et du Conseil (12)
5. | Health sector | Health care settings (including hospitals and private clinics) | Healthcare providers as defined in point (g) of Article 3 of Directive 2011/24/EU of the European Parliament and of the Council (16)3. | Banques |   | Établissements de crédit au sens de l'article 4, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil (13)
6. | Drinking water supply and distribution |   | Suppliers and distributors of water intended for human consumption as defined in point (1)(a) of Article 2 of Council Directive 98/83/EC (17) but excluding distributors for whom distribution of water for human consumption is only part of their general activity of distributing other commodities and goods which are not considered essential services4. | Infrastructures de marchés financiers |   | — | Exploitants de plate-forme de négociation au sens de l'article 4, point 24), de la directive 2014/65/UE du Parlement européen et du Conseil (14)
7. | Digital Infrastructure |   | — | IXPs— | Contreparties centrales au sens de l'article 2, point 1), du règlement (UE) no 648/2012 du Parlement européen et du Conseil (15)
— | DNS service providers5. | Secteur de la santé | Établissements de soins de santé (y compris les hôpitaux et les cliniques privées) | Prestataires de soins de santé au sens de l'article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil (16)
— | TLD name registries6. | Fourniture et distribution d'eau potable |   | Fournisseurs et distributeurs d'eaux destinées à la consommation humaine au sens de l'article 2, point 1) a), de la directive 98/83/CE du Conseil (17), à l'exclusion des distributeurs pour lesquels la distribution d'eaux destinées à la consommation humaine ne constitue qu'une partie de leur activité générale de distribution d'autres produits et biens qui ne sont pas considérés comme des services essentiels
(1)  Directive 2009/72/EC of the European Parliament and of the Council of 13 July 2009 concerning common rules for the internal market in electricity and repealing Directive 2003/54/EC (OJ L 211, 14.8.2009, p. 55).7. | Infrastructures numériques |   | — | IXP
(2)  Directive 2009/73/EC of the European Parliament and of the Council of 13 July 2009 concerning common rules for the internal market in natural gas and repealing Directive 2003/55/EC (OJ L 211, 14.8.2009, p. 94).— | Fournisseurs de services DNS
(3)  Regulation (EC) No 300/2008 of the European Parliament and of the Council of 11 March 2008 on common rules in the field of civil aviation security and repealing Regulation (EC) No 2320/2002 (OJ L 97, 9.4.2008, p. 72).— | Registres de noms de domaines de haut niveau
(4)  Directive 2009/12/EC of the European Parliament and of the Council of 11 March 2009 on airport charges (OJ L 70, 14.3.2009, p. 11).(1)  Directive 2009/72/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur de l'électricité et abrogeant la directive 2003/54/CE (JO L 211 du 14.8.2009, p. 55).
(5)  Regulation (EU) No 1315/2013 of the European Parliament and of the Council of 11 December 2013 on Union guidelines for the development of the trans–European transport network and repealing Decision No 661/2010/EU (OJ L 348, 20.12.2013, p. 1).(2)  Directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE (JO L 211 du 14.8.2009, p. 94).
(6)  Regulation (EC) No 549/2004 of the European Parliament and of the Council of 10 March 2004 laying down the framework for the creation of the single European sky (the framework Regulation) (OJ L 96, 31.3.2004, p. 1).(3)  Règlement (CE) no 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l'instauration de règles communes dans le domaine de la sûreté de l'aviation civile et abrogeant le règlement (CE) no 2320/2002 (JO L 97 du 9.4.2008, p. 72).
(7)  Directive 2012/34/EU of the European Parliament and of the Council of 21 November 2012 establishing a single European railway area (OJ L 343, 14.12.2012, p. 32).(4)  Directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires (JO L 70 du 14.3.2009, p. 11).
(8)  Regulation (EC) No 725/2004 of the European Parliament and of the Council of 31 March 2004 on enhancing ship and port facility security (OJ L 129, 29.4.2004, p. 6).(5)  Règlement (UE) no 1315/2013 du Parlement européen et du Conseil du 11 décembre 2013 sur les orientations de l'Union pour le développement du réseau transeuropéen de transport et abrogeant la décision no 661/2010/UE (JO L 348 du 20.12.2013, p. 1).
(9)  Directive 2005/65/EC of the European Parliament and of the Council of 26 October 2005 on enhancing port security (OJ L 310, 25.11.2005, p. 28).(6)  Règlement (CE) no 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen («règlement-cadre») (JO L 96 du 31.3.2004, p. 1).
(10)  Directive 2002/59/EC of the European Parliament and of the Council of 27 June 2002 establishing a Community vessel traffic monitoring and information system and repealing Council Directive 93/75/EEC (OJ L 208, 5.8.2002, p. 10).(7)  Directive 2012/34/UE du Parlement européen et du Conseil du 21 novembre 2012 établissant un espace ferroviaire unique européen (JO L 343 du 14.12.2012, p. 32).
(11)  Commission Delegated Regulation (EU) 2015/962 of 18 December 2014 supplementing Directive 2010/40/EU of the European Parliament and of the Council with regard to the provision of EU–wide real–time traffic information services (OJ L 157, 23.6.2015, p. 21).(8)  Règlement (CE) no 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l'amélioration de la sûreté des navires et des installations portuaires (JO L 129 du 29.4.2004, p. 6).
(12)  Directive 2010/40/EU of the European Parliament and of the Council of 7 July 2010 on the framework for the deployment of Intelligent Transport Systems in the field of road transport and for interfaces with other modes of transport (OJ L 207, 6.8.2010, p. 1).(9)  Directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l'amélioration de la sûreté des ports (JO L 310 du 25.11.2005, p. 28).
(13)  Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012 (OJ L 176, 27.6.2013, p. 1).(10)  Directive 2002/59/CE du Parlement européen et du Conseil du 27 juin 2002 relative à la mise en place d'un système communautaire de suivi du trafic des navires et d'information, et abrogeant la directive 93/75/CEE du Conseil (JO L 208 du 5.8.2002, p. 10).
(14)  Directive 2014/65/EU of the European Parliament and of the Council of 15 May 2014 on markets in financial instruments and amending Directive 2002/92/EC and Directive 2011/61/EU (OJ L 173, 12.6.2014, p. 349).(11)  Règlement délégué (UE) 2015/962 de la Commission du 18 décembre 2014 complétant la directive 2010/40/UE du Parlement européen et du Conseil en ce qui concerne la mise à disposition, dans l'ensemble de l'Union, de services d'informations en temps réel sur la circulation (JO L 157 du 23.6.2015, p. 21).
(15)  Regulation (EU) No 648/2012 of the European Parliament and of the Council of 4 July 2012 on OTC derivatives, central counterparties and trade repositories (OJ L 201, 27.7.2012, p. 1).(12)  Directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d'interfaces avec d'autres modes de transport (JO L 207 du 6.8.2010, p. 1).
(16)  Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross–border healthcare (OJ L 88, 4.4.2011, p. 45).(13)  Règlement (UE) no 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement et modifiant le règlement (UE) no 648/2012 (JO L 176 du 27.6.2013, p. 1).
(17)  Council Directive 98/83/EC of 3 November 1998 on the quality of water intended for human consumption (OJ L 330, 5.12.1998, p. 32).(14)  Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349).
ANNEX III(15)  Règlement (UE) no 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1).
TYPES OF DIGITAL SERVICES FOR THE PURPOSES OF POINT (5) OF ARTICLE 4(16)  Directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l'application des droits des patients en matière de soins de santé transfrontaliers (JO L 88 du 4.4.2011, p. 45).
1. | Online marketplace.(17)  Directive 98/83/CE du Conseil du 3 novembre 1998 relative à la qualité des eaux destinées à la consommation humaine (JO L 330 du 5.12.1998, p. 32).
2. | Online search engine.ANNEXE III
3. | Cloud computing service.TYPES DE SERVICES NUMÉRIQUES AUX FINS DE L'ARTICLE 4, POINT 5)
 1. | Place de marché en ligne
 2. | Moteurs de recherche en ligne
 3. | Service d'informatique en nuage