?

7.6.2019    | FR | Journal officiel de l'Union européenne | L 151/157.6.2019    | EN | Official Journal of the European Union | L 151/15
RÈGLEMENT (UE) 2019/881 DU PARLEMENT EUROPÉEN ET DU CONSEILREGULATION (EU) 2019/881 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
du 17 avril 2019of 17 April 2019
relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité)on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)
(Texte présentant de l'intérêt pour l'EEE)(Text with EEA relevance)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,Having regard to the Treaty on the Functioning of the European Union, and in particular Article 114 thereof,
vu la proposition de la Commission européenne,Having regard to the proposal from the European Commission,
après transmission du projet d’acte législatif aux parlements nationaux,After transmission of the draft legislative act to the national parliaments,
vu l’avis du Comité économique et social européen (1),Having regard to the opinion of the European Economic and Social Committee (1),
vu l’avis du Comité des régions (2),Having regard to the opinion of the Committee of the Regions (2),
statuant conformément à la procédure législative ordinaire (3),Acting in accordance with the ordinary legislative procedure (3),
considérant ce qui suit:Whereas:
(1) | Les réseaux et systèmes d’information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. Les technologies de l’information et des communications (TIC) sont le fondement des systèmes complexes qui rendent possibles les activités sociales quotidiennes, permettent à nos économies de fonctionner dans des secteurs clés comme la santé, l’énergie, la finance et les transports, et soutiennent, en particulier, le fonctionnement du marché intérieur.(1) | Network and information systems and electronic communications networks and services play a vital role in society and have become the backbone of economic growth. Information and communications technology (ICT) underpins the complex systems which support everyday societal activities, keep our economies running in key sectors such as health, energy, finance and transport, and, in particular, support the functioning of the internal market.
(2) | L’utilisation des réseaux et des systèmes d’information par les citoyens, les organisations et les entreprises s’est généralisée dans l’Union tout entière. La numérisation et la connectivité deviennent des caractéristiques essentielles d’un nombre toujours croissant de produits et de services et avec l’avènement de l’internet des objets (IdO), un nombre extrêmement élevé de dispositifs numériques connectés devrait être mis en service dans toute l’Union au cours de la prochaine décennie. Alors qu’un nombre croissant de dispositifs sont connectés à l’internet, leur conception n’intègre pas suffisamment la sécurité et la résilience, de sorte que la cybersécurité est insuffisante. Dans ce contexte, le recours limité à la certification conduit les utilisateurs — qu’ils soient des particuliers, des organisations ou des entreprises — à ne pas disposer de suffisamment d’informations sur les caractéristiques en matière de cybersécurité des produits TIC, services TIC et processus TIC, ce qui nuit à la confiance dans les solutions numériques. Les réseaux et systèmes d’information sont à même de nous assister dans tous les aspects de notre vie et constituent le moteur de la croissance économique de l’Union. Ils constituent le pilier de la réalisation du marché unique numérique.(2) | The use of network and information systems by citizens, organisations and businesses across the Union is now pervasive. Digitisation and connectivity are becoming core features in an ever growing number of products and services and with the advent of the internet of Things (IoT) an extremely high number of connected digital devices are expected to be deployed across the Union during the next decade. While an increasing number of devices is connected to the internet, security and resilience are not sufficiently built in by design, leading to insufficient cybersecurity. In that context, the limited use of certification leads to individual, organisational and business users having insufficient information about the cybersecurity features of ICT products, ICT services and ICT processes, which undermines trust in digital solutions. Network and information systems are capable of supporting all aspects of our lives and drive the Union’s economic growth. They are the cornerstone for achieving the digital single market.
(3) | Une numérisation et une connectivité accrues augmentent les risques liés à la cybersécurité, ce qui rend l’ensemble de la société plus vulnérable aux cybermenaces et exacerbe les dangers auxquels sont confrontés les individus, notamment les personnes vulnérables telles que les enfants. Afin d’atténuer ces risques, il convient de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union afin que les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — depuis les petites et moyennes entreprises (PME), telles qu’elles sont définies dans la recommandation 2003/361/CE de la Commission (4), jusqu’aux opérateurs d’infrastructures critiques — soient mieux protégés contre les cybermenaces.(3) | Increased digitisation and connectivity increase cybersecurity risks, thus making society as a whole more vulnerable to cyber threats and exacerbating the dangers faced by individuals, including vulnerable persons such as children. In order to mitigate those risks, all necessary actions need to be taken to improve cybersecurity in the Union so that network and information systems, communications networks, digital products, services and devices used by citizens, organisations and businesses – ranging from small and medium-sized enterprises (SMEs), as defined in Commission Recommendation 2003/361/EC (4), to operators of critical infrastructure – are better protected from cyber threats.
(4) | En mettant les informations utiles à la disposition du public, l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA), instituée par le règlement (UE) no 526/2013 du Parlement européen et du Conseil (5), contribue au développement du secteur de la cybersécurité dans l’Union, en particulier les PME et les start-ups. L’ENISA devrait s’efforcer d’établir une coopération plus étroite avec les universités et les entités de recherche afin de contribuer à réduire la dépendance à l’égard des les produits et services de cybersécurité provenant de l’extérieur de l’Union et de renforcer les chaînes d’approvisionnement à l’intérieur de l’Union.(4) | By making the relevant information available to the public, the European Union Agency for Network and Information Security (ENISA), as established by Regulation (EU) No 526/2013 of the European Parliament and of the Council (5) contributes to the development of the cybersecurity industry in the Union, in particular SMEs and start-ups. ENISA should strive for closer cooperation with universities and research entities in order to contribute to reducing dependence on cybersecurity products and services from outside the Union and to reinforce supply chains inside the Union.
(5) | Les cyberattaques sont en augmentation, et une économie et une société connectées qui sont plus vulnérables aux cybermenaces et aux cyberattaques ont besoin de dispositifs de défense renforcés. Cependant, alors que les cyberattaques sont souvent de nature transfrontière, les compétences des autorités chargées de la cybersécurité et des autorités chargées de l’application de la loi ainsi que les réponses politiques qu’elles y apportent sont surtout nationales. Des incidents majeurs pourraient perturber la fourniture de services essentiels dans l’ensemble de l’Union. Cela nécessite de mettre en place des réponses efficaces et coordonnées et une gestion de la crise à l’échelon de l’Union, sur la base de politiques spécifiques et d’instruments élargis aux fins de la solidarité européenne et de l’assistance mutuelle. En outre, il est important pour les décideurs, les entreprises du secteur et les utilisateurs que la situation en matière de cybersécurité et de résilience dans l’Union soit régulièrement évaluée, sur la base de données de l’Union fiables et d’une anticipation systématique des évolutions, défis et menaces futurs au niveau de l’Union et à l’échelle mondiale.(5) | Cyberattacks are on the increase and a connected economy and society that is more vulnerable to cyber threats and attacks requires stronger defences. However, while cyberattacks often take place across borders, the competence of, and policy responses by, cybersecurity and law enforcement authorities are predominantly national. Large-scale incidents could disrupt the provision of essential services across the Union. This necessitates effective and coordinated responses and crisis management at Union level, building on dedicated policies and wider instruments for European solidarity and mutual assistance. Moreover, a regular assessment of the state of cybersecurity and resilience in the Union, based on reliable Union data, as well as systematic forecasts of future developments, challenges and threats, at Union and global level, are important for policy makers, industry and users.
(6) | Compte tenu de l’augmentation des enjeux auxquels l’Union est confrontée dans le domaine de la cybersécurité, il est nécessaire de disposer d’un ensemble complet de mesures qui s’appuieraient sur les actions déjà menées par l’Union et favoriseraient des objectifs complémentaires. Ces objectifs comprennent la poursuite du renforcement des capacités et de l’état de préparation des États membres et des entreprises, ainsi qu’une amélioration de la coopération, du partage d’informations et de la coordination entre les États membres et les institutions, organes et organismes de l’Union. En outre, étant donné que les cybermenaces ignorent les frontières, il est nécessaire d’augmenter, au niveau de l’Union, les capacités susceptibles de compléter l’action des États membres, notamment dans les cas d’incidents et de crises transfrontières majeurs, tout en prenant en compte l’importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types.(6) | In light of the increased cybersecurity challenges faced by the Union, there is a need for a comprehensive set of measures that would build on previous Union action and would foster mutually reinforcing objectives. Those objectives include further increasing the capabilities and preparedness of Member States and businesses, as well as improving cooperation, information sharing and coordination across Member States and Union institutions, bodies, offices and agencies. Furthermore, given the borderless nature of cyber threats, there is a need to increase capabilities at Union level that could complement the action of Member States, in particular in cases of large-scale cross-border incidents and crises, while taking into account the importance of maintaining and further enhancing the national capabilities to respond to cyber threats of all scales.
(7) | Des efforts supplémentaires sont également nécessaires pour sensibiliser davantage les citoyens, les organisations et les entreprises aux questions de cybersécurité. En outre, étant donné que les incidents nuisent à la confiance dans les fournisseurs de services numériques et dans le marché unique numérique lui-même, en particulier chez les consommateurs, cette confiance devrait être encore renforcée par la communication, en toute transparence, d’informations sur le niveau de sécurité qui caractérise les produits TIC, services TIC et processus TIC, qui précisent que la certification de cybersécurité, aussi élevée soit-elle, ne peut garantir qu’un produit TIC, service TIC ou processus TIC soit complètement sécurisé. Un renforcement de la confiance peut être facilité par une certification mise en œuvre à l’échelle de l’Union prévoyant des exigences et des critères d’évaluation communs en matière de cybersécurité dans l’ensemble des marchés nationaux et des secteurs.(7) | Additional efforts are also needed to increase citizens’, organisations’ and businesses’ awareness of cybersecurity issues. Moreover, given that incidents undermine trust in digital service providers and in the digital single market itself, especially among consumers, trust should be further strengthened by offering information in a transparent manner on the level of security of ICT products, ICT services and ICT processes that stresses that even a high level of cybersecurity certification cannot guarantee that an ICT product, ICT service or ICT process is completely secure. An increase in trust can be facilitated by Union-wide certification providing for common cybersecurity requirements and evaluation criteria across national markets and sectors.
(8) | La cybersécurité n’est pas qu’une question liée à la technologie, mais une question pour laquelle le comportement humain est tout aussi important. C’est pourquoi il convient d’encourager vivement les citoyens, les organisations et les entreprises à adopter une «hygiène informatique», à savoir des mesures simples, de routine qui, lorsqu’ils les mettent en œuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces.(8) | Cybersecurity is not only an issue related to technology, but one where human behaviour is equally important. Therefore, ‘cyber-hygiene’, namely, simple, routine measures that, where implemented and carried out regularly by citizens, organisations and businesses, minimise their exposure to risks from cyber threats, should be strongly promoted.
(9) | En vue de renforcer les structures de cybersécurité de l’Union, il est important de préserver et de développer les capacités de réaction globale des États membres en cas de cybermenaces, y compris en cas d’incidents transfrontières.(9) | For the purpose of strengthening Union cybersecurity structures, it is important to maintain and develop the capabilities of Member States to comprehensively respond to cyber threats, including to cross-border incidents.
(10) | Les entreprises et les consommateurs individuels devraient disposer d’informations précises sur le niveau d’assurance auquel la sécurité de leurs produits TIC, services TIC et processus TIC a été certifiée. Dans le même temps, aucun produit TIC ou service TIC n’est totalement sécurisé sur le plan de la cybersécurité, et des règles fondamentales d’hygiène informatique doivent être promues et privilégiées. Compte tenu de la disponibilité croissante de dispositifs IdO, le secteur privé peut prendre une série de mesures volontaires dans l’optique de renforcer la sécurité des produits TIC, services TIC et processus TIC.(10) | Businesses and individual consumers should have accurate information regarding the assurance level with which the security of their ICT products, ICT services and ICT processes has been certified. At the same time, no ICT product or ICT service is wholly cyber-secure and basic rules of cyber-hygiene have to be promoted and prioritised. Given the growing availability of IoT devices, there is a range of voluntary measures that the private sector can take to reinforce trust in the security of ICT products, ICT services and ICT processes.
(11) | Souvent, les produits et systèmes TIC modernes intègrent une ou plusieurs technologies et composants tiers et reposent sur ceux-ci, par exemple des modules logiciels, des bibliothèques ou des interfaces de programmation d’applications. Ce rapport dit de «dépendance» pourrait présenter des risques supplémentaires liés à la cybersécurité car les vulnérabilités des composants tiers pourraient aussi affecter la sécurité des produits TIC, services TIC et processus TIC. Dans bon nombre de cas, recenser et documenter ces dépendances permet aux utilisateurs finaux des produits TIC, services TIC et processus TIC d’optimiser leurs activités de gestion des risques liés à la cybersécurité en améliorant, par exemple, les procédures qu’ils mettent en œuvre pour gérer les vulnérabilités liées à la cybersécurité et y remédier.(11) | Modern ICT products and systems often integrate and rely on one or more third-party technologies and components such as software modules, libraries or application programming interfaces. This reliance, which is referred to as a ‘dependency’, could pose additional cybersecurity risks as vulnerabilities found in third-party components could also affect the security of the ICT products, ICT services and ICT processes. In many cases, identifying and documenting such dependencies enables end users of ICT products, ICT services and ICT processes to improve their cybersecurity risk management activities by improving, for example, users’ cybersecurity vulnerability management and remediation procedures.
(12) | Les organisations, les fabricants ou les fournisseurs impliqués dans la conception et le développement de produits TIC, services TIC ou processus TIC devraient être encouragés à mettre en œuvre, aux stades les plus précoces de la conception et du développement, des mesures permettant de protéger au mieux la sécurité de ces produits, services et processus, de manière que la survenue de cyberattaques soit présumée et que leur incidence soit anticipée et minimisée («sécurité dès le stade de la conception»). La sécurité devrait être prise en charge tout au long du cycle de vie du produit TIC, service TIC ou processus TIC par les processus de conception et de développement qui évoluent constamment pour réduire le risque de préjudice causé par une utilisation malveillante.(12) | Organisations, manufacturers or providers involved in the design and development of ICT products, ICT services or ICT processes should be encouraged to implement measures at the earliest stages of design and development to protect the security of those products, services and processes to the highest possible degree, in such a way that the occurrence of cyberattacks is presumed and their impact is anticipated and minimised (‘security-by-design’). Security should be ensured throughout the lifetime of the ICT product, ICT service or ICT process by design and development processes that constantly evolve to reduce the risk of harm from malicious exploitation.
(13) | Les entreprises, les organisations et le secteur public devraient configurer les produits TIC, services TIC ou processus TIC qu’ils conçoivent de manière à assurer un niveau de sécurité plus élevé, ce qui permettrait au premier utilisateur de recevoir une configuration par défaut avec les paramétrages les plus sûrs possibles (ci-après dénommée «sécurité par défaut»), réduisant ainsi la charge qui pèse sur les utilisateurs de devoir configurer un produit TIC, service TIC ou processus TIC de manière adéquate. Pour fonctionner, la sécurité par défaut ne devrait pas nécessiter une configuration approfondie, ou une compréhension des détails techniques spécifique, ou encore un comportement non intuitif de la part de l’utilisateur, et devrait fonctionner facilement et de façon fiable lorsqu’elle est mise en œuvre. Si, au cas par cas, une analyse des risques et de la facilité d’utilisation aboutit à la conclusion qu’une configuration par défaut n’est pas réalisable, les utilisateurs devraient être incités à choisir le paramétrage le plus sécurisé.(13) | Undertakings, organisations and the public sector should configure the ICT products, ICT services or ICT processes designed by them in a way that ensures a higher level of security which should enable the first user to receive a default configuration with the most secure settings possible (‘security by default’), thereby reducing the burden on users of having to configure an ICT product, ICT service or ICT process appropriately. Security by default should not require extensive configuration or specific technical understanding or non-intuitive behaviour on the part of the user, and should work easily and reliably when implemented. If, on a case-by-case basis, a risk and usability analysis leads to the conclusion that such a setting by default is not feasible, users should be prompted to opt for the most secure setting.
(14) | Le règlement (CE) no 460/2004 du Parlement européen et du Conseil (6) a institué l’ENISA aux fins de contribuer à la réalisation des objectifs visant à assurer un niveau élevé et efficace de sécurité des réseaux et de l’information au sein de l’Union et à favoriser l’émergence d’une culture de la sécurité des réseaux et de l’information dans l’intérêt des citoyens, des consommateurs, des entreprises et des administrations publiques. Le règlement (CE) no 1007/2008 du Parlement européen et du Conseil (7) a prorogé le mandat de l’ENISA jusqu’en mars 2012. Le règlement (UE) no 580/2011 du Parlement européen et du Conseil (8) a prorogé le mandat de l’ENISA une nouvelle fois jusqu’au 13 septembre 2013. Le règlement (UE) no 526/2013 a prorogé le mandat de l’ENISA jusqu’au 19 juin 2020.(14) | Regulation (EC) No 460/2004 of the European Parliament and of the Council (6) established ENISA with the purposes of contributing to the goals of ensuring a high and effective level of network and information security within the Union, and developing a culture of network and information security for the benefit of citizens, consumers, enterprises and public administrations. Regulation (EC) No 1007/2008 of the European Parliament and of the Council (7) extended ENISA’s mandate until March 2012. Regulation (EU) No 580/2011 of the European Parliament and of the Council (8) further extended ENISA’s mandate until 13 September 2013. Regulation (EU) No 526/2013 extended ENISA’s mandate until 19 June 2020.
(15) | L’Union a déjà pris d’importantes mesures pour garantir la cybersécurité et renforcer la confiance dans les technologies numériques. En 2013, la stratégie de cybersécurité de l’Union européenne a été adoptée afin d’orienter la politique que l’Union entendait mener en réaction aux cybermenaces et aux risques liés à la cybersécurité. Dans le but de mieux protéger les citoyens en ligne, l’Union a adopté en 2016 son premier acte juridique dans le domaine de la cybersécurité sous la forme de la directive (UE) 2016/1148 du Parlement européen et du Conseil (9). La directive (UE) 2016/1148 a instauré des exigences concernant les capacités nationales dans le domaine de la cybersécurité, a établi les premiers mécanismes destinés à améliorer la coopération stratégique et opérationnelle entre les États membres, et a introduit des obligations concernant les mesures de sécurité et la notification des incidents dans différents secteurs qui revêtent une importance vitale pour l’économie et la société tels que l’énergie, les transports, la fourniture et la distribution d’eau potable, les banques, les infrastructures des marchés financiers, les soins de santé, les infrastructures numériques ainsi que les fournisseurs de services numériques fondamentaux (moteurs de recherche, services d’informatique en nuage et places de marché en ligne). | L’ENISA s’est vu attribuer un rôle essentiel d’appui à la mise en œuvre de ladite directive. En outre, lutter efficacement contre la cybercriminalité est une priorité importante du programme européen en matière de sécurité et contribue à l’objectif global consistant à atteindre un niveau élevé de cybersécurité. D’autres actes juridiques tels que le règlement (UE) 2016/679 du Parlement européen et du Conseil (10) et les directives 2002/58/CE (11) et (UE) 2018/1972 (12) du Parlement européen et du Conseil contribuent également à un niveau élevé de cybersécurité dans le marché unique numérique.(15) | The Union has already taken important steps to ensure cybersecurity and to increase trust in digital technologies. In 2013, the Cybersecurity Strategy of the European Union was adopted to guide the Union’s policy response to cyber threats and risks. In an effort to better protect citizens online, the Union’s first legal act in the field of cybersecurity was adopted in 2016 in the form of Directive (EU) 2016/1148 of the European Parliament and of the Council (9). Directive (EU) 2016/1148 put in place requirements concerning national capabilities in the field of cybersecurity, established the first mechanisms to enhance strategic and operational cooperation between Member States, and introduced obligations concerning security measures and incident notifications across sectors which are vital for the economy and society, such as energy, transport, drinking water supply and distribution, banking, financial market infrastructures, healthcare, digital infrastructure as well as key digital service providers (search engines, cloud computing services and online marketplaces). | A key role was attributed to ENISA in supporting the implementation of that Directive. In addition, fighting effectively against cybercrime is an important priority in the European Agenda on Security, contributing to the overall aim of achieving a high level of cybersecurity. Other legal acts such as Regulation (EU) 2016/679 of the European Parliament and of the Council (10) and Directives 2002/58/EC (11) and (EU) 2018/1972 (12) of the European Parliament and of the Council also contribute to a high level of cybersecurity in the digital single market.
(16) | Depuis l’adoption de la stratégie de cybersécurité de l’Union européenne en 2013 et la dernière révision du mandat de l’ENISA, le cadre d’action général a considérablement évolué en raison d’un environnement mondial devenu plus incertain et moins sécurisé. Dans ce contexte, et compte tenu de l’évolution positive du rôle que l’ENISA joue en tant que point de référence par ses conseils et ses compétences, et en tant que facilitatrice de coopération et de renforcement des capacités, ainsi que dans le cadre de la nouvelle politique de cybersécurité de l’Union, il est nécessaire de réviser le mandat de l’ENISA pour définir son rôle dans le nouvel écosystème de la cybersécurité et faire en sorte qu’elle contribue efficacement à la réponse apportée par l’Union aux défis en matière de cybersécurité qui résultent de la transformation radicale de la situation en ce qui concerne les cybermenaces, à l’égard desquels le mandat actuel de l’ENISA est insuffisant ainsi qu’il est apparu lors de l’évaluation de l’ENISA.(16) | Since the adoption of the Cybersecurity Strategy of the European Union in 2013 and the last revision of ENISA’s mandate, the overall policy context has changed significantly as the global environment has become more uncertain and less secure. Against that background and in the context of the positive development of the role of ENISA as a reference point for advice and expertise, as a facilitator of cooperation and of capacity-building as well as within the framework of the new Union cybersecurity policy, it is necessary to review ENISA’s mandate, to establish its role in the changed cybersecurity ecosystem and to ensure that it contributes effectively to the Union’s response to cybersecurity challenges emanating from the radically transformed cyber threat landscape, for which, as recognised during the evaluation of ENISA, the current mandate is not sufficient.
(17) | L’ENISA instituée par le présent règlement devrait succéder à l’ENISA instituée par le règlement (UE) no 526/2013. L’ENISA devrait remplir les tâches qui lui sont confiées par le présent règlement et par les autres actes juridiques de l’Union dans le domaine de la cybersécurité, notamment en fournissant des conseils et en apportant des compétences, ainsi qu’en jouant le rôle de centre d’information et de connaissance de l’Union. Elle devrait promouvoir l’échange de bonnes pratiques entre les États membres et les parties prenantes du secteur privé, proposer des actions politiques à la Commission et aux États membres, agir en tant que point de référence pour les initiatives politiques sectorielles au niveau de l’Union en ce qui concerne les questions de cybersécurité, et favoriser la coopération opérationnelle à la fois entre les États membres et entre ceux-ci et les institutions, organes et organismes de l’Union.(17) | ENISA as established by this Regulation should succeed ENISA as established by Regulation (EU) No 526/2013. ENISA should carry out the tasks conferred on it by this Regulation and other legal acts of the Union in the field of cybersecurity, among other things, by providing advice and expertise and by acting as a Union centre of information and knowledge. It should promote the exchange of best practices between Member States and private stakeholders, offer policy suggestions to the Commission and the Member States, act as a reference point for Union sectoral policy initiatives with regard to cybersecurity matters, and foster operational cooperation, both between Member States and between the Member States and Union institutions, bodies, office and agencies.
(18) | Dans le cadre de la décision 2004/97/CE, Euratom prise d’un commun accord entre les représentants des États membres réunis au niveau des chefs d’État ou de gouvernement (13), les représentants des États membres ont décidé que l’ENISA aurait son siège dans une ville en Grèce qui serait désignée par le gouvernement grec. L’État membre d’accueil de l’ENISA devrait offrir les meilleures conditions possibles pour un fonctionnement harmonieux et efficace de l’ENISA. Il est impératif, pour l’exécution correcte et efficace de ses tâches, pour le recrutement et la fidélisation du personnel et pour une plus grande efficacité des activités de mise en réseau, que l’ENISA soit établie dans un lieu approprié, offrant, entre autres, des liaisons de transport et des aménagements appropriés pour les conjoints et enfants accompagnant les membres du personnel de l’ENISA. Les dispositions nécessaires devraient être arrêtées dans un accord conclu entre l’ENISA et l’État membre d’accueil, après approbation du conseil d’administration de l’ENISA.(18) | Within the framework of Decision 2004/97/EC, Euratom taken by common agreement between the Representatives of the Member States, meeting at Head of State or Government level (13), the representatives of the Member States decided that ENISA would have its seat in a town in Greece to be determined by the Greek Government. ENISA’s host Member State should ensure the best possible conditions for the smooth and efficient operation of ENISA. It is imperative for the proper and efficient performance of its tasks, for staff recruitment and retention and for enhancing the efficiency of networking activities that ENISA be based in an appropriate location, among other things providing appropriate transport connections and facilities for spouses and children accompanying members of staff of ENISA. The necessary arrangements should be laid down in an agreement between ENISA and the host Member State concluded after obtaining the approval of the Management Board of ENISA.
(19) | Compte tenu de l’aggravation des risques et des défis liés à la cybersécurité auxquels l’Union est confrontée, il faudrait augmenter les ressources financières et humaines allouées à l’ENISA pour tenir compte du renforcement de son rôle et de ses tâches, ainsi que de sa position critique parmi les organisations qui défendent l’écosystème numérique de l’Union, pour lui permettre d’exécuter efficacement les tâches qui lui sont confiées en vertu du présent règlement.(19) | Given the increasing cybersecurity risks and challenges the Union is facing, the financial and human resources allocated to ENISA should be increased to reflect its enhanced role and tasks, and its critical position in the ecosystem of organisations defending the digital ecosystem of the Union, allowing ENISA to effectively carry out the tasks conferred on it by this Regulation.
(20) | L’ENISA devrait acquérir et maintenir un niveau élevé de compétence et servir de point de référence qui instaure la confiance dans le marché intérieur du fait de son indépendance, de la qualité des conseils qu’elle fournit et des informations qu’elle diffuse, de la transparence de ses procédures, de la transparence de ses modes de fonctionnement et de sa diligence à exécuter ses tâches. L’ENISA devrait soutenir activement les efforts déployés au niveau national et devrait contribuer de manière anticipée aux efforts consentis par l’Union, tout en s’acquittant de ses missions en totale coopération avec les institutions, organes et organismes de l’Union et avec les États membres, en évitant les doubles emplois et en favorisant les synergies. De plus, l’ENISA devrait s’appuyer sur les informations fournies par le secteur privé et les autres parties prenantes concernées et travailler en coopération avec ceux-ci. Un ensemble de tâches devrait déterminer la manière dont l’ENISA doit atteindre ses objectifs tout en lui laissant une certaine souplesse de fonctionnement.(20) | ENISA should develop and maintain a high level of expertise and operate as a reference point, establishing trust and confidence in the single market by virtue of its independence, the quality of the advice it delivers, the quality of information it disseminates, the transparency of its procedures, the transparency of its methods of operation, and its diligence in carrying out its tasks. ENISA should actively support national efforts and should proactively contribute to Union efforts while carrying out its tasks in full cooperation with the Union institutions, bodies, offices and agencies and with the Member States, avoiding any duplication of work and promoting synergy. In addition, ENISA should build on input from and cooperation with the private sector as well as other relevant stakeholders. A set of tasks should establish how ENISA is to accomplish its objectives while allowing flexibility in its operations.
(21) | Pour être en mesure d’apporter un soutien adéquat à la coopération opérationnelle entre les États membres, l’ENISA devrait renforcer davantage ses capacités et aptitudes techniques et humaines. Elle devrait accroître son savoir-faire et ses capacités. Sur une base volontaire, l’ENISA et les États membres pourraient élaborer des programmes visant à détacher des experts nationaux auprès de l’ENISA, en créant des groupes d’experts et des programmes d’échanges de personnel.(21) | In order to be able to provide adequate support to the operational cooperation between Member States, ENISA should further strengthen its technical and human capabilities and skills. ENISA should increase its know-how and capabilities. ENISA and Member States, on a voluntary basis, could develop programmes for seconding national experts to ENISA, creating pools of experts and staff exchanges.
(22) | L’ENISA devrait assister la Commission au moyen de conseils, d’avis et d’analyses sur toutes les questions de l’Union liées à l’élaboration, l’actualisation et la révision des politiques et de la législation dans le domaine de la cybersécurité et de ses aspects sectoriels spécifiques, afin d’améliorer la pertinence des politiques et de la législation de l’Union ayant une dimension liée à la cybersécurité et de permettre la mise en œuvre cohérente de ces politiques et législations au niveau national. L’ENISA devrait agir comme point de référence, par ses conseils et ses compétences, pour les initiatives politiques et législatives sectorielles spécifiques au niveau de l’Union lorsque des questions liées à la cybersécurité sont en jeu. L’ENISA devrait tenir le Parlement européen régulièrement informé de ses activités.(22) | ENISA should assist the Commission by means of advice, opinions and analyses regarding all Union matters related to policy and law development, updates and reviews in the field of cybersecurity and sector-specific aspects thereof in order to enhance the relevance of Union policies and laws with a cybersecurity dimension and to enable consistency in the implementation of those policies and laws at national level. ENISA should act as a reference point for advice and expertise for Union sector-specific policy and law initiatives where matters related to cybersecurity are involved. ENISA should regularly inform the European Parliament about its activities.
(23) | Le noyau public de l’internet ouvert, à savoir ses principaux protocoles et ses principales infrastructures, qui constituent un bien public mondial, joue un rôle essentiel dans la fonction de l’internet en général et soutient son fonctionnement normal. L’ENISA devrait soutenir la sécurité du noyau public de l’internet ouvert et la stabilité de son fonctionnement, y compris, sans s’y limiter, ses protocoles clés (notamment DNS, BGP et IPv6), le fonctionnement du système des noms de domaines (tel que le fonctionnement de tous les domaines de premier niveau) et le fonctionnement de la zone racine.(23) | The public core of the open internet, namely its main protocols and infrastructure, which are a global public good, provides the essential functionality of the internet as a whole and underpins its normal operation. ENISA should support the security of the public core of the open internet and the stability of its functioning, including, but not limited to, key protocols (in particular DNS, BGP, and IPv6), the operation of the domain name system (such as the operation of all top-level domains), and the operation of the root zone.
(24) | La principale tâche de l’ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience. Compte tenu de l’évolution rapide de la situation en ce qui concerne les cybermenaces, il est clair que les États membres doivent s’appuyer sur une approche plus globale, transsectorielle, du développement de la cyber-résilience.(24) | The underlying task of ENISA is to promote the consistent implementation of the relevant legal framework, in particular the effective implementation of Directive (EU) 2016/1148 and other relevant legal instruments containing cybersecurity aspects, which is essential to increasing cyber resilience. In light of the fast evolving cyber threat landscape, it is clear that Member States have to be supported by more comprehensive, cross-policy approach to building cyber resilience.
(25) | L’ENISA devrait assister les États membres et les institutions, organes et organismes de l’Union dans leurs efforts pour mettre en place et développer les capacités et la préparation requises aux fins de prévenir et de détecter les cybermenaces et incidents et d’y réagir, et en ce qui concerne la sécurité des réseaux et des systèmes d’information. L’ENISA devrait notamment soutenir le développement et l’amélioration des centres de réponse aux incidents de sécurité informatique (CSIRT) nationaux et de l’Union prévus par la directive (UE) 2016/1148, afin qu’ils atteignent un niveau de maturité commun élevé dans l’ensemble de l’Union. Les activités entreprises par l’ENISA concernant les capacités opérationnelles des États membres devraient soutenir activement les mesures prises par les États membres pour respecter les obligations qui leur incombent au titre de la directive (UE) 2016/1148 et ne devraient donc pas s’y substituer.(25) | ENISA should assist the Member States and Union institutions, bodies, offices and agencies in their efforts to build and enhance capabilities and preparedness to prevent, detect and respond to cyber threats and incidents and in relation to the security of network and information systems. In particular, ENISA should support the development and enhancement of national and Union computer security incident response teams (‘CSIRTs’) provided for in Directive (EU) 2016/1148, with a view to achieving a high common level of their maturity in the Union. Activities carried out by ENISA relating to the operational capacities of Member States should actively support actions taken by Member States to comply with their obligations under Directive (EU) 2016/1148 and therefore should not supersede them.
(26) | L’ENISA devrait également contribuer à l’élaboration et à la mise à jour des stratégies en matière de sécurité des réseaux et systèmes d’information au niveau de l’Union et, sur demande, au niveau des États membres, notamment en matière de cybersécurité, et devrait promouvoir la diffusion de telles stratégies et suivre les progrès de leur mise en œuvre. L’ENISA devrait en outre contribuer à couvrir les besoins en matière de formations et de matériel pédagogique, y compris les besoins des organismes publics et, le cas échéant, dans une large mesure, «former les formateurs» en s’appuyant sur le cadre de compétences numériques pour les citoyens, en vue d’aider les États membres ainsi que les institutions, organes et organismes de l’Union à mettre en place leurs propres capacités de formation.(26) | ENISA should also assist with the development and updating of strategies on the security of network and information systems at Union level and, upon request, at Member State level, in particular on cybersecurity, and should promote the dissemination of such strategies and follow the progress of their implementation. ENISA should also contribute to covering the need for training and training materials, including the needs of public bodies, and where appropriate, to a high extent, ‘train the trainers’, building on the Digital Competence Framework for Citizens with a view to assisting Member States and Union institutions, bodies, offices and agencies in developing their own training capabilities.
(27) | L’ENISA devrait soutenir les États membres dans le domaine de la sensibilisation et de l’éducation à la cybersécurité en favorisant une coordination plus étroite et l’échange de bonnes pratiques entre les États membres. Un tel soutien pourrait consister à développer un réseau de points de contact nationaux en matière d’éducation ainsi qu’une plateforme de formation à la cybersécurité. Le réseau de points de contact nationaux en matière d’éducation pourrait fonctionner au sein du réseau des agents de liaison nationaux et être un point de départ pour une future coordination au sein des États membres.(27) | ENISA should support Member States in the field of cybersecurity awareness-raising and education by facilitating closer coordination and the exchange of best practices between Member States. Such support could consist in the development of a network of national education points of contact and the development of a cybersecurity training platform. The network of national education points of contact could operate within the National Liaison Officers Network and be a starting point for future coordination within the Members States.
(28) | L’ENISA devrait aider le groupe de coopération créé par la directive (UE) 2016/1148 à exécuter ses tâches, notamment en le faisant bénéficier de ses conseils et de ses compétences, et en facilitant l’échange de bonnes pratiques en matière de risques et d’incidents, entre autres en ce qui concerne l’identification des opérateurs de services essentiels par les États membres, ainsi que les dépendances transfrontalières.(28) | ENISA should assist the Cooperation Group created by Directive (EU) 2016/1148 in the execution of its tasks, in particular by providing expertise, advice and by facilitating the exchange of best practices, inter alia, with regard to the identification of operators of essential services by Member States, as well as in relation to cross-border dependencies, regarding risks and incidents.
(29) | Afin de stimuler la coopération entre le secteur public et le secteur privé et au sein de ce dernier, notamment pour soutenir la protection des infrastructures critiques, l’ENISA devrait soutenir le partage d’informations au sein des secteurs et entre ceux-ci, en particulier les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148, en proposant des bonnes pratiques et des orientations sur les outils disponibles et sur les procédures, ainsi qu’en proposant des orientations sur la manière de traiter les questions de réglementation liées au partage d’informations, par exemple en facilitant la mise en place de centres de partage et d’analyse d’informations sectoriels.(29) | With a view to stimulating cooperation between the public and private sector and within the private sector, in particular to support the protection of the critical infrastructures, ENISA should support information sharing within and among sectors, in particular the sectors listed in Annex II to Directive (EU) 2016/1148, by providing best practices and guidance on available tools and on procedure, as well as by providing guidance on how to address regulatory issues related to information sharing, for example through facilitating the establishment of sectoral information sharing and analysis centres.
(30) | Comme l’incidence négative potentielle des vulnérabilités des produits TIC, services TIC et processus TIC croît constamment, il importe de détecter ces vulnérabilités et d’y remédier pour réduire le risque global en matière de cybersécurité. Il est prouvé que la coopération entre les organisations, les fabricants de produits TIC vulnérables ou les fournisseurs de services et processus TIC vulnérables ainsi que les acteurs du secteur de la recherche en matière de cybersécurité et les autorités qui détectent les vulnérabilités permet d’améliorer sensiblement le taux de détection et le rythme de l’élimination des vulnérabilités dans les produits TIC, services TIC et processus TIC. La divulgation coordonnée des vulnérabilités consiste en un processus structuré de coopération dans lequel les vulnérabilités sont signalées au propriétaire du système d’information, ce qui donne à l’organisation la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. Ce processus prévoit en outre une coordination entre la partie qui a procédé à la détection et l’organisation en ce qui concerne la publication de ces vulnérabilités. Les politiques coordonnées de divulgation des vulnérabilités pourraient jouer un rôle important dans le cadre des efforts que les États membres déploient pour renforcer la cybersécurité.(30) | Whereas the potential negative impact of vulnerabilities in ICT products, ICT services and ICT processes is constantly increasing, finding and remedying such vulnerabilities plays an important role in reducing the overall cybersecurity risk. Cooperation between organisations, manufacturers or providers of vulnerable ICT products, ICT services and ICT processes and members of the cybersecurity research community and governments who find vulnerabilities has been proven to significantly increase both the rate of discovery and the remedy of vulnerabilities in ICT products, ICT services and ICT processes. Coordinated vulnerability disclosure specifies a structured process of cooperation in which vulnerabilities are reported to the owner of the information system, allowing the organisation the opportunity to diagnose and remedy the vulnerability before detailed vulnerability information is disclosed to third parties or to the public. The process also provides for coordination between the finder and the organisation as regards the publication of those vulnerabilities. Coordinated vulnerability disclosure policies could play an important role in Member States’ efforts to enhance cybersecurity.
(31) | L’ENISA devrait agréger et analyser les rapports nationaux partagés volontairement et qui émanent des CSIRT et de l’équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union interinstitutionnelle instituée en vertu de l’accord entre le Parlement européen, le Conseil européen, le Conseil de l’Union européenne, la Commission européenne, la Cour de justice de l’Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l’action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d’investissement relatif à l’organisation et au fonctionnement d’une équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’Union (CERT-UE) (14) afin de contribuer à établir des procédures, un langage et une terminologie communs pour l’échange d’informations. Dans ce contexte, l’ENISA devrait impliquer le secteur privé, dans le cadre de la directive (UE) 2016/1148, laquelle fixe les bases de l’échange volontaire d’informations techniques à l’échelon opérationnel au sein du réseau des centres de réponse aux incidents de sécurité informatique (ci-après dénommé «réseau des CSIRT») institué par ladite directive.(31) | ENISA should aggregate and analyse voluntarily shared national reports from CSIRTs and the inter-institutional computer emergency response team for the Union’s institutions, bodies and agencies established by the Arrangement between the European Parliament, the European Council, the Council of the European Union, the European Commission, the Court of Justice of the European Union, the European Central Bank, the European Court of Auditors, the European External Action Service, the European Economic and Social Committee, the European Committee of the Regions and the European Investment Bank on the organisation and operation of a computer emergency response team for the Union’s institutions, bodies and agencies (CERT-EU) (14) in order to contribute to the setting up of common procedures, language and terminology for the exchange of information. In that context ENISA should involve the private sector within the framework of Directive (EU) 2016/1148 which lays down the grounds for the voluntary exchange of technical information at the operational level, in the computer security incident response teams network (‘CSIRTs network’) created by that Directive.
(32) | L’ENISA devrait contribuer à l’élaboration de réponses au niveau de l’Union en cas d’incidents et de crises transfrontières majeurs liés à la cybersécurité. Cette tâche devrait être effectuée conformément au mandat de l’ENISA en application du présent règlement, ainsi qu’à une approche devant faire l’objet d’un accord des États membres dans le cadre de la recommandation (UE) 2017/1584 de la Commission (15) et des conclusions du Conseil du 26 juin 2018 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs de l’Union. Cette tâche pourrait comprendre la collecte d’informations pertinentes et un rôle de facilitateur entre le réseau des CSIRT et la communauté technique, ainsi qu’entre les décideurs chargés de la gestion des crises. En outre, l’ENISA devrait soutenir la coopération opérationnelle entre les États membres si un ou plusieurs États membres le demandent, pour le traitement des incidents sur le plan technique, en facilitant les échanges de solutions techniques pertinents entre les États membres et en contribuant à l’élaboration des communications au public. L’ENISA devrait soutenir la coopération opérationnelle en testant les modalités de cette coopération grâce à des exercices réguliers de cybersécurité.(32) | ENISA should contribute to responses at Union level in the case of large-scale cross-border incidents and crises related to cybersecurity. That task should be performed in accordance with ENISA’s mandate under this Regulation and an approach to be agreed by Member States in the context of Commission Recommendation (EU) 2017/1584 (15) and the Council conclusions of 26 June 2018 on EU Coordinated Response to Large-Scale Cybersecurity Incidents and Crises. That task could include gathering relevant information and acting as a facilitator between the CSIRTs network and the technical community, as well as between decision makers responsible for crisis management. Furthermore, ENISA should support operational cooperation among Member States, where requested by one or more Member States, in the handling of incidents from a technical perspective, by facilitating relevant exchanges of technical solutions between Member States, and by providing input into public communications. ENISA should support operational cooperation by testing the arrangements for such cooperation through regular cybersecurity exercises.
(33) | Pour soutenir la coopération opérationnelle, l’ENISA devrait recourir aux compétences techniques et opérationnelles disponibles de la CERT-UE grâce à une coopération structurée. Une telle coopération structurée pourrait s’appuyer sur les compétences de l’ENISA. Le cas échéant, des accords dédiés entre les deux entités devraient être conclus afin de définir les modalités pratiques de la mise en œuvre de cette coopération et d’éviter la duplication des activités.(33) | In supporting operational cooperation, ENISA should make use of the available technical and operational expertise of CERT-EU through structured cooperation. Such structured cooperation could build on ENISA’s expertise. Where appropriate, dedicated arrangements between the two entities should be established to define the practical implementation of such cooperation and to avoid the duplication of activities.
(34) | En exécutant sa tâche consistant à soutenir la coopération opérationnelle au sein du réseau des CSIRT, l’ENISA devrait être en mesure de fournir un appui aux États membres, à leur demande, par exemple en fournissant des conseils sur la manière d’améliorer leurs capacités de prévention et de détection des incidents et de réaction aux incidents, en facilitant la gestion technique des incidents ayant un impact significatif ou substantiel, ou en assurant l’analyse des cybermenaces et des incidents. L’ENISA devrait faciliter la gestion technique des incidents ayant un impact significatif ou substantiel, en particulier en soutenant le partage volontaire de solutions techniques entre États membres ou en produisant des informations techniques combinées, telles que des solutions techniques partagées volontairement par les États membres. La recommandation (UE) 2017/1584 recommande aux États membres de coopérer de bonne foi et de partager sans retard indu, entre eux et avec l’ENISA, les informations relatives aux incidents et crises de cybersécurité majeurs. Ces informations devraient apporter une aide supplémentaire à l’ENISA dans l’exécution de sa tâche de soutien à la coopération opérationnelle.(34) | In performing its task to support operational cooperation within the CSIRTs network, ENISA should be able to provide support to Member States at their request, such as by providing advice on how to improve their capabilities to prevent, detect and respond to incidents, by facilitating the technical handling of incidents having a significant or substantial impact or by ensuring that cyber threats and incidents are analysed. ENISA should facilitate the technical handling of incidents having a significant or substantial impact in particular by supporting the voluntary sharing of technical solutions between Member States or by producing combined technical information, such as technical solutions voluntarily shared by the Member States. Recommendation (EU) 2017/1584 recommends that Member States cooperate in good faith and share among themselves and with ENISA information on large-scale incidents and crises related to cybersecurity without undue delay. Such information would further help ENISA in performing its task of supporting operational cooperation.
(35) | Dans le cadre de la coopération régulière sur le plan technique menée pour étayer l’appréciation de la situation au niveau de l’Union, l’ENISA devrait préparer à intervalles réguliers, en coopération étroite avec les États membres, un rapport approfondi de situation technique en matière de cybersécurité sur les incidents et cybermenaces dans l’Union, sur la base d’informations du domaine public, de sa propre analyse et de rapports que lui communiquent les CSIRT des États membres ou les points de contact nationaux uniques en matière de sécurité des réseaux et des systèmes d’information (ci-après dénommés «points de contact uniques») prévus par la directive (UE) 2016/1148, sur une base volontaire dans les deux cas, le Centre européen de lutte contre la cybercriminalité (EC3) au sein d’Europol, la CERT-UE et, le cas échéant, le Centre de l’Union européenne pour l’analyse du renseignement (INTCEN UE) au sein du Service européen pour l’action extérieure. Ce rapport devrait être mis à la disposition du Conseil, de la Commission, du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité et du réseau des CSIRT.(35) | As part of the regular cooperation at technical level to support Union situational awareness, ENISA, in close cooperation with the Member States, should prepare a regular in-depth EU Cybersecurity Technical Situation Report on incidents and cyber threats, based on publicly available information, its own analysis and reports shared with it by Member States’ CSIRTs or the national single points of contact on the security of network and information systems (‘single points of contact’) provided for in Directive (EU) 2016/1148, both on a voluntary basis, the European Cybercrime Centre (EC3) at Europol, CERT-EU and, where appropriate, the European Union Intelligence and Situation Centre (EU INTCEN) at the European External Action Service. That report should be made available to the Council, the Commission, the High Representative of the Union for Foreign Affairs and Security Policy and the CSIRTs network.
(36) | Le soutien apporté par l’ENISA aux enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel, effectuées à la demande des États membres concernés, devrait être axé sur la prévention des incidents futurs. Les États membres concernés devraient fournir les informations et l’assistance nécessaires pour permettre à l’ENISA de soutenir efficacement l’enquête technique ex post.(36) | The support by ENISA for ex-post technical inquiries of incidents having a significant or substantial impact undertaken at the request of the Member States concerned should focus on the prevention of future incidents. The Member States concerned should provide the necessary information and assistance in order to enable ENISA to support the ex-post technical inquiry effectively.
(37) | Les États membres peuvent inviter les entreprises concernées par l’incident à coopérer en fournissant les renseignements et l’assistance nécessaires à l’ENISA, sans préjudice de leur droit de protéger les informations commercialement sensibles et les informations pertinentes du point de vue de la sécurité publique.(37) | Member States may invite the undertakings concerned by the incident to cooperate by providing necessary information and assistance to ENISA without prejudice to their right to protect commercially sensitive information and information that is relevant to public security.
(38) | Pour mieux comprendre les défis dans le domaine de la cybersécurité, et en vue de fournir aux États membres et aux institutions, organes et organismes de l’Union des conseils stratégiques à long terme, l’ENISA devrait analyser les risques actuels et émergents liés à la cybersécurité. À cet effet, l’ENISA devrait, en coopération avec les États membres et, le cas échéant, avec des organismes de statistique et d’autres organismes, recueillir des informations pertinentes du domaine public ou partagées volontairement sur les technologies émergentes, les soumettre à des analyses et fournir des évaluations thématiques spécifiques sur les effets sociétaux, juridiques, économiques et réglementaires à attendre des innovations technologiques sur la sécurité des réseaux et de l’information, notamment sur la cybersécurité. L’ENISA devrait en outre aider les États membres et les institutions, organes et organismes de l’Union à recenser les risques émergents liés à la cybersécurité et à prévenir les incidents, en procédant à l’analyse des cybermenaces, des vulnérabilités et des incidents.(38) | To understand better the challenges in the area of cybersecurity, and with a view to providing strategic long-term advice to Member States and Union institutions, bodies, offices and agencies, ENISA needs to analyse current and emerging cybersecurity risks. For that purpose, ENISA should, in cooperation with Member States and, as appropriate, with statistical bodies and other bodies, collect relevant publicly available or voluntarily shared information and perform analyses of emerging technologies and provide topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations on network and information security, in particular cybersecurity. ENISA should, furthermore, support Member States and Union institutions, bodies, offices and agencies in identifying emerging cybersecurity risks and preventing incidents, by performing analyses of cyber threats, vulnerabilities and incidents.
(39) | Afin de renforcer la résilience de l’Union, l’ENISA devrait développer des compétences dans le domaine de la cybersécurité des infrastructures, en soutenant en particulier les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148 et ceux utilisés par les fournisseurs des services numériques énumérés à l’annexe III de ladite directive, en fournissant des conseils et des lignes directrices et en échangeant de bonnes pratiques. En vue de faciliter l’accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles, l’ENISA devrait mettre sur pied et gérer le «pôle d’information» de l’Union, un portail servant de guichet unique fournissant au public des informations sur la cybersécurité en provenance des institutions, organes et organismes de l’Union et nationaux. Faciliter l’accès à des informations mieux structurées sur les risques liés à la cybersécurité et les solutions possibles pourrait aussi aider les États membres à consolider leurs capacités, à harmoniser leurs pratiques et, partant, à améliorer leur résilience générale face aux cyberattaques.(39) | In order to increase the resilience of the Union, ENISA should develop expertise in the field of cybersecurity of infrastructures, in particular to support the sectors listed in Annex II to Directive (EU) 2016/1148 and those used by the providers of the digital services listed in Annex III to that Directive, by providing advice, issuing guidelines and exchanging best practices. With a view to ensuring easier access to better-structured information on cybersecurity risks and possible remedies, ENISA should develop and maintain the ‘information hub’ of the Union, a one-stop-shop portal providing the public with information on cybersecurity originating in Union and national institutions, bodies, offices and agencies. Facilitating access to better-structured information on cybersecurity risks and possible remedies could also help Member States bolster their capacities and align their practices, thus increasing their overall resilience to cyberattacks.
(40) | L’ENISA devrait contribuer à sensibiliser le public aux risques liés à la cybersécurité, y compris en organisant une campagne de sensibilisation à l’échelle de l’Union en favorisant l’éducation, et à fournir, à l’intention des citoyens, des organisations et des entreprises des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels. L’ENISA devrait également contribuer à promouvoir les meilleures pratiques et solutions, y compris en matière d’hygiène informatique et d’habileté numérique au niveau des citoyens, des organisations et des entreprises en collectant et en analysant des informations du domaine public sur les incidents significatifs, et en rédigeant et en publiant des rapports et des orientations à l’intention des citoyens, des organisations et des entreprises en vue d’améliorer leur niveau global de préparation et de résilience. L’ENISA devrait également s’efforcer de fournir aux consommateurs des informations pertinentes concernant les schémas de certification en vigueur, par exemple en fournissant des lignes directrices et des recommandations. L’ENISA devrait en outre organiser, conformément au plan d’action en matière d’éducation numérique établi par la communication de la Commission du 17 janvier 2018 et en coopération avec les États membres et les institutions, organes et organismes de l’Union, des campagnes d’information régulières et des campagnes publiques d’éducation s’adressant aux utilisateurs finaux, en vue de promouvoir une navigation en ligne plus sûre pour les particuliers et l’habileté numérique, de sensibiliser aux cybermenaces potentielles, y compris les activités criminelles en ligne telles que le hameçonnage, les réseaux zombies, les fraudes financières et bancaires, la falsification de données, et de favoriser la fourniture de conseils de base en matière d’authentification multifacteurs, de mises à jour de sécurité, de chiffrement, d’anonymisation et de protection des données.(40) | ENISA should contribute to raising the public’s awareness of cybersecurity risks, including through an EU-wide awareness-raising campaign by promoting education, and to providing guidance on good practices for individual users aimed at citizens, organisations and businesses. ENISA should also contribute to promoting best practices and solutions, including cyber-hygiene and cyber-literacy at the level of citizens, organisations and businesses by collecting and analysing publicly available information regarding significant incidents, and by compiling and publishing reports and guidance for citizens, organisations and businesses, to improve their overall level of preparedness and resilience. ENISA should also strive to provide consumers with relevant information on applicable certification schemes, for example by providing guidelines and recommendations. ENISA should furthermore organise, in line with the Digital Education Action Plan established in the Commission Communication of 17 January 2018 and in cooperation with the Member States and Union institutions, bodies, offices and agencies regular outreach and public education campaigns directed at end users, to promote safer online behaviour by individuals and digital literacy, to raise awareness of potential cyber threats, including online criminal activities such as phishing attacks, botnets, financial and banking fraud, data fraud incidents, and to promote basic multi-factor authentication, patching, encryption, anonymisation and data protection advice.
(41) | L’ENISA devrait jouer un rôle central dans l’accélération de la sensibilisation des utilisateurs finaux à la sécurité des appareils et à la sécurité de l’utilisation des services, et devrait promouvoir les concepts de sécurité dès la conception et de protection de la vie privée dès la conception au niveau de l’Union. En poursuivant cet objectif, l’ENISA devrait utiliser les meilleures pratiques et les compétences disponibles, en particulier les meilleures pratiques et les compétences développées par le monde universitaire et par les chercheurs en sécurité informatique.(41) | ENISA should play a central role in accelerating end-user awareness of the security of devices and the secure use of services, and should promote security-by-design and privacy-by-design at Union level. In pursuing that objective, ENISA should make use of available best practices and experience, especially the best practices and experience of academic institutions and IT security researchers.
(42) | Afin de soutenir les entreprises actives dans le secteur de la cybersécurité, ainsi que les utilisateurs qui recourent aux solutions de cybersécurité, l’ENISA devrait mettre sur pied et gérer un «observatoire du marché» en procédant à des analyses régulières et en diffusant des informations sur les principales tendances observées sur le marché de la cybersécurité, tant du côté de la demande que du côté de l’offre.(42) | In order to support the businesses operating in the cybersecurity sector, as well as the users of cybersecurity solutions, ENISA should develop and maintain a ‘market observatory’ by performing regular analyses and disseminating information on the main trends in the cybersecurity market, on both the demand and supply sides.
(43) | L’ENISA devrait contribuer aux efforts que l’Union déploie en vue de coopérer avec les organisations internationales ainsi qu’au sein des cadres internationaux de coopération concernés dans le domaine de la cybersécurité. En particulier, l’ENISA devrait contribuer, s’il y a lieu, à une coopération avec des organisations telles que l’OCDE, l’OSCE et l’OTAN. Une telle coopération pourrait comprendre des exercices conjoints dans le domaine de la cybersécurité ainsi qu’une coordination conjointe de la réponse à apporter aux incidents. Ces activités doivent se dérouler dans le plein respect des principes d’inclusion, de réciprocité et d’autonomie décisionnelle de l’Union, sans préjudice du caractère particulier de la politique de sécurité et de défense de tout État membre.(43) | ENISA should contribute to the Union’s efforts to cooperate with international organisations as well as within relevant international cooperation frameworks in the field of cybersecurity. In particular, ENISA should contribute, where appropriate, to cooperation with organisations such as the OECD, the OSCE and NATO. Such cooperation could include joint cybersecurity exercises and joint incident response coordination. Those activities are to be carried out in full respect of the principles of inclusiveness, reciprocity and the decision-making autonomy of the Union, without prejudice to the specific character of the security and defence policy of any Member State.
(44) | Afin de réaliser pleinement ses objectifs, l’ENISA devrait se concerter avec les autorités de contrôle de l’Union compétentes et avec d’autres autorités compétentes de l’Union ainsi qu’avec les institutions, organes et organismes de l’Union, notamment la CERT-UE, l’EC3, l’Agence européenne de défense (AED), l’Agence du système global de navigation par satellite (GNSS — Global Navigation Satellite Systems) européen (ci-après dénommée «Agence du GNSS européen»), l’Organe des régulateurs européens des communications électroniques (ORECE), l’Agence européenne pour la gestion opérationnelle des systèmes d’information à grande échelle au sein de l’espace de liberté, de sécurité et de justice (eu-LISA), la Banque centrale européenne (BCE), l’Autorité bancaire européenne (ABE), le comité européen de la protection des données, l’Agence de coopération des régulateurs de l’énergie (ACER), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et toute autre agence de l’Union jouant un rôle dans le domaine de la cybersécurité. L’ENISA devrait aussi se concerter avec les autorités chargées de la protection des données en vue de procéder à des échanges de savoir-faire et de bonnes pratiques et devrait leur fournir des conseils sur les questions liées à la cybersécurité qui sont susceptibles d’avoir une incidence sur leurs travaux. Les représentants des autorités chargées de l’application de la loi et des autorités chargées de la protection des données au niveau national et à l’échelon de l’Union devraient pouvoir être représentés au sein du groupe consultatif de l’ENISA. Dans ses relations avec les autorités chargées de l’application de la loi concernant les questions de sécurité des réseaux et de l’information susceptibles d’avoir une incidence sur leurs travaux, l’ENISA devrait respecter les canaux d’information existants et les réseaux établis.(44) | In order to ensure that it fully achieves its objectives, ENISA should liaise with the relevant Union supervisory authorities and with other competent authorities in the Union, Union institutions, bodies, offices and agencies, including CERT-EU, EC3, the European Defence Agency (EDA), the European Global Navigation Satellite Systems Agency (European GNSS Agency), the Body of European Regulators for Electronic Communications (BEREC), the European Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA), the European Central Bank (ECB), the European Banking Authority (EBA), the European Data Protection Board, the Agency for the Cooperation of Energy Regulators (ACER), the European Union Aviation Safety Agency (EASA) and any other Union agency involved in cybersecurity. ENISA should also liaise with authorities that deal with data protection in order to exchange know-how and best practices and should provide advice on cybersecurity issues that might have an impact on their work. Representatives of national and Union law enforcement and data protection authorities should be eligible to be represented in the ENISA Advisory Group. In liaising with law enforcement authorities regarding network and information security issues that might have an impact on their work, ENISA should respect existing channels of information and established networks.
(45) | Des partenariats pourraient être noués avec des établissements universitaires menant des initiatives de recherche dans les domaines en question, et il convient que les organisations de consommateurs et autres disposent de canaux adéquats pour leurs contributions, lesquelles devraient être prises en compte.(45) | Partnerships could be established with academic institutions that have research initiatives in relevant fields, and there should be appropriate channels for input from consumer organisations and other organisations, which should be taken into consideration.
(46) | L’ENISA, dans son rôle de secrétariat du réseau des CSIRT, devrait soutenir les CSIRT des États membres et la CERT-UE dans le cadre de la coopération opérationnelle en rapport avec les tâches pertinentes du réseau des CSIRT, telles qu’elles sont visées dans la directive (EU) 2016/1148. En outre, l’ENISA devrait promouvoir et soutenir la coopération entre les CSIRT concernés en cas d’incidents, d’attaques ou de perturbations sur les réseaux ou infrastructures dont les CSIRT assurent la gestion ou la protection et impliquant, ou susceptibles d’impliquer, au moins deux CSIRT, tout en tenant dûment compte des procédures opératoires standard du réseau des CSIRT.(46) | ENISA, in its role as the secretariat of the CSIRTs network, should support Member States’ CSIRTs and the CERT-EU in the operational cooperation in relation to the relevant tasks of the CSIRTs network, as referred to in Directive (EU) 2016/1148. Furthermore, ENISA should promote and support cooperation between the relevant CSIRTs in the event of incidents, attacks or disruptions of networks or infrastructure managed or protected by the CSIRTs and involving or being capable of involving at least two CSIRTs while taking due account of the Standard Operating Procedures of the CSIRTs network.
(47) | Afin que l’Union soit mieux préparée pour réagir aux incidents, l’ENISA devrait organiser régulièrement des exercices de cybersécurité au niveau de l’Union et aider les États membres et les institutions, organes et organismes de l’Union à organiser de tels exercices s’ils en font la demande. Il convient d’organiser tous les deux ans des exercices globaux à grande échelle incluant des éléments techniques, opérationnels ou stratégiques. En outre, l’ENISA devrait pouvoir organiser régulièrement des exercices moins globaux avec le même objectif, à savoir celui de faire en sorte que l’Union soit mieux préparée pour répondre à des incidents.(47) | With a view to increasing Union preparedness in responding to incidents, ENISA should regularly organise cybersecurity exercises at Union level, and, at their request, support Member States and Union institutions, bodies, offices and agencies in organising such exercises. Large-scale comprehensive exercises which include technical, operational or strategic elements should be organised on a biennial basis. In addition, ENISA should be able to regularly organise less comprehensive exercises with the same goal of increasing Union preparedness in responding to incidents.
(48) | L’ENISA devrait continuer à développer et maintenir ses compétences en matière de certification de cybersécurité en vue de soutenir la politique de l’Union dans ce domaine. L’ENISA devrait s’appuyer sur les meilleures pratiques existantes et promouvoir l’adoption de la certification de cybersécurité dans l’Union, notamment en contribuant à l’établissement et au maintien d’un cadre de certification de cybersécurité au niveau de l’Union (ci-après dénommé «cadre européen de certification de cybersécurité»), en vue d’accroître la transparence de l’assurance en matière de cybersécurité des produits TIC, services TIC et processus TIC et, partant, de renforcer la confiance dans le marché intérieur numérique ainsi que sa compétitivité.(48) | ENISA should further develop and maintain its expertise on cybersecurity certification with a view to supporting the Union policy in that area. ENISA should build on existing best practices and should promote the uptake of cybersecurity certification within the Union, including by contributing to the establishment and maintenance of a cybersecurity certification framework at Union level (European cybersecurity certification framework) with a view to increasing the transparency of the cybersecurity assurance of ICT products, ICT services and ICT processes, thereby strengthening trust in the digital internal market and its competitiveness.
(49) | Des politiques de cybersécurité efficaces devraient reposer sur des méthodes d’évaluation des risques bien élaborées, dans le secteur public comme dans le secteur privé. Les méthodes d’évaluation des risques sont utilisées à différents niveaux, et il n’existe pas de pratiques communes en ce qui concerne leur application efficace. La promotion et le développement des meilleures pratiques en matière d’évaluation des risques et de solutions interopérables de gestion des risques dans les organisations des secteurs public et privé relèveront le niveau de cybersécurité dans l’Union. À cette fin, l’ENISA devrait favoriser la coopération entre parties prenantes au niveau de l’Union et contribuer à leurs efforts concernant l’établissement et l’adoption de normes européennes et internationales en matière de gestion des risques et de sécurité mesurable des produits, systèmes, réseaux et services électroniques, lesquels, conjointement avec les logiciels, constituent les réseaux et systèmes d’information.(49) | Efficient cybersecurity policies should be based on well-developed risk assessment methods, in both the public and private sectors. Risk assessment methods are used at different levels, with no common practice regarding how to apply them efficiently. Promoting and developing best practices for risk assessment and for interoperable risk management solutions in public-sector and private-sector organisations will increase the level of cybersecurity in the Union. To that end, ENISA should support cooperation between stakeholders at Union level and facilitate their efforts relating to the establishment and take-up of European and international standards for risk management and for the measurable security of electronic products, systems, networks and services which, together with software, comprise the network and information systems.
(50) | L’ENISA devrait encourager les États membres, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC à renforcer leurs normes de sécurité générales afin que tous les utilisateurs d’internet puissent prendre les mesures nécessaires pour garantir leur propre cybersécurité et devraient inciter à le faire. En particulier, les fabricants et les fournisseurs de produits TIC, services TIC ou processus TIC devraient fournir les mises à jour nécessaires et devraient rappeler, retirer ou recycler les produits TIC, services TIC ou processus TIC qui ne satisfont pas aux normes de cybersécurité, tandis que les importateurs et les distributeurs devraient veiller à ce que les produits TIC, services TIC et processus TIC qu’ils mettent sur le marché de l’Union respectent les exigences applicables et ne présentent pas de risque pour les consommateurs de l’Union.(50) | ENISA should encourage Member States, manufacturers or providers of ICT products, ICT services or ICT processes to raise their general security standards so that all internet users can take the necessary steps to ensure their own personal cybersecurity and should give incentives to do so. In particular, manufacturers and providers of ICT products, ICT services or ICT processes should provide any necessary updates and should recall, withdraw or recycle ICT products, ICT services or ICT processes that do not meet cybersecurity standards, while importers and distributors should make sure that the ICT products, ICT services and ICT processes they place on the Union market comply with the applicable requirements and do not present a risk to Union consumers.
(51) | En coopération avec les autorités compétentes, l’ENISA devrait pouvoir diffuser des informations sur le niveau de cybersécurité des produits TIC, services TIC et processus TIC offerts sur le marché intérieur, et devrait émettre des alertes visant des fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC et les contraignant à améliorer la sécurité de leurs produits TIC, services TIC et processus TIC, y compris la cybersécurité.(51) | In cooperation with competent authorities, ENISA should be able to disseminate information regarding the level of the cybersecurity of the ICT products, ICT services and ICT processes offered in the internal market, and should issue warnings targeting manufacturers or providers of ICT products, ICT services or ICT processes and requiring them to improve the security of their ICT products, ICT services and ICT processes, including the cybersecurity.
(52) | L’ENISA devrait prendre pleinement en compte les activités en cours en matière de recherche, de développement et d’évaluation technologique, et plus particulièrement les activités menées dans le cadre des différentes initiatives de recherche de l’Union, pour fournir des conseils aux institutions, organes et organismes de l’Union et, le cas échéant, aux États membres, s’ils en font la demande, sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité. Pour recenser les besoins et les priorités en matière de recherche, l’ENISA devrait également consulter les groupes d’utilisateurs concernés. Plus spécifiquement, une coopération pourrait être établie avec le Conseil européen de la recherche, l’Institut européen d’innovation et de technologie et l’Institut d’études de sécurité de l’Union européenne.(52) | ENISA should take full account of the ongoing research, development and technological assessment activities, in particular those activities carried out by the various Union research initiatives to advise Union institutions, bodies, offices and agencies and where relevant, the Member States at their request, on research needs and priorities in the field of cybersecurity. In order to identify the research needs and priorities, ENISA should also consult the relevant user groups. More specifically, cooperation with the European Research Council, the European Institute for Innovation and Technology and the European Union Institute for Security Studies could be established.
(53) | L’ENISA devrait consulter régulièrement les organismes de normalisation, en particulier les organismes européens de normalisation, lors de l’élaboration des schémas européens de certification de cybersécurité.(53) | ENISA should regularly consult standardisation organisations, in particular European standardisation organisations, when preparing the European cybersecurity certification schemes.
(54) | Les cybermenaces constituent un problème mondial. Il est nécessaire de renforcer la coopération internationale pour améliorer les normes de cybersécurité, y compris en ce qui concerne la nécessité de définir des normes de comportement communes, d’adopter des codes de conduite, de recourir à des normes internationales, et de partager des informations, d’encourager une collaboration internationale plus rapide en réponse aux problèmes de sécurité des réseaux et de l’information et de favoriser une approche globale commune de ces problèmes. À cette fin, l’ENISA devrait aider l’Union à poursuivre son engagement et sa coopération avec les pays tiers et les organisations internationales en mettant les compétences et l’analyse nécessaires au service des institutions, organes et organismes de l’Union concernés, le cas échéant.(54) | Cyber threats are a global issue. There is a need for closer international cooperation to improve cybersecurity standards, including the need for definitions of common norms of behaviour, the adoption of codes of conduct, the use of international standards, and information sharing, promoting swifter international collaboration in response to network and information security issues and promoting a common global approach to such issues. To that end, ENISA should support further Union involvement and cooperation with third countries and international organisations by providing the necessary expertise and analysis to the relevant Union institutions, bodies, offices and agencies, where appropriate.
(55) | L’ENISA devrait être en mesure de répondre aux demandes de conseil et d’assistance ad hoc qui sont formulées par les États membres et les institutions, organes et organismes de l’Union sur des questions qui relèvent du mandat de l’ENISA.(55) | ENISA should be able to respond to ad hoc requests for advice and assistance by Member States and Union institutions, bodies, offices and agencies on matters falling within ENISA’s mandate.
(56) | Il est raisonnable et recommandé de mettre en œuvre certains principes relatifs à la gouvernance de l’ENISA afin de se conformer à la déclaration commune et à l’approche commune convenues par le groupe de travail interinstitutionnel sur les agences décentralisées de l’Union en juillet 2012, dont l’objectif est de rationaliser les activités des agences décentralisées et d’améliorer leur efficacité. Il convient par ailleurs de tenir compte, s’il y a lieu, des recommandations figurant dans la déclaration commune et de l’approche commune dans les programmes de travail de l’ENISA, les évaluations de l’ENISA ainsi que les pratiques de l’ENISA en matière d’établissement de rapports et ses pratiques administratives.(56) | It is sensible and recommended to implement certain principles regarding the governance of ENISA in order to comply with the Joint Statement and Common Approach agreed upon in July 2012 by the Inter-Institutional Working Group on EU decentralised agencies, the purpose of which is to streamline the activities of decentralised agencies and improve their performance. The recommendations in the Joint Statement and Common Approach should also be reflected, as appropriate, in ENISA’s work programmes, evaluations of ENISA, and ENISA’s reporting and administrative practice.
(57) | Le conseil d’administration, composé de représentants des États membres et de la Commission, devrait fixer l’orientation générale des activités de l’ENISA et veiller à ce qu’elle exécute ses tâches conformément au présent règlement. Le conseil d’administration devrait être doté des pouvoirs nécessaires pour établir le budget, vérifier l’exécution du budget, adopter des règles financières appropriées, instaurer des procédures de travail transparentes pour la prise de décisions par l’ENISA, adopter le document unique de programmation de l’ENISA, adopter son propre règlement intérieur, nommer le directeur exécutif et statuer sur la prorogation et la cessation du mandat du directeur exécutif.(57) | The Management Board, composed of the representatives of the Member States and of the Commission, should establish the general direction of ENISA’s operations and ensure that it carries out its tasks in accordance with this Regulation. The Management Board should be entrusted with the powers necessary to establish the budget, verify the execution of the budget, adopt appropriate financial rules, establish transparent working procedures for decision making by ENISA, adopt ENISA’s single programming document, adopt its own rules of procedure, appoint the Executive Director and decide on the extension and termination of the Executive Director’s term of office.
(58) | Pour assurer le fonctionnement correct et efficace de l’ENISA, la Commission et les États membres devraient veiller à ce que les personnes nommées au conseil d’administration soient dotées de compétences professionnelles et d’une expérience appropriées. La Commission et les États membres devraient également s’efforcer de limiter le roulement de leurs représentants respectifs au sein du conseil d’administration, afin de garantir la continuité des travaux de ce dernier.(58) | In order for ENISA to function properly and effectively, the Commission and the Member States should ensure that persons to be appointed to the Management Board have appropriate professional expertise and experience. The Commission and the Member States should also make efforts to limit the turnover of their respective representatives on the Management Board in order to ensure continuity in its work.
(59) | Le bon fonctionnement de l’ENISA exige que le directeur exécutif de celle-ci soit nommé sur la base de son mérite et de ses aptitudes attestées dans le domaine de l’administration et de la gestion, ainsi que de ses compétences et de son expérience pertinentes en matière de cybersécurité. Il convient que le directeur exécutif exerce ses fonctions en toute indépendance. Le directeur exécutif devrait élaborer une proposition de programme de travail annuel pour l’ENISA, après consultation préalable de la Commission, et prendre toutes les mesures nécessaires pour garantir la bonne mise en œuvre de ce programme de travail. Le directeur exécutif devrait préparer un rapport annuel à soumettre au conseil d’administration, portant sur la mise en œuvre du programme de travail annuel de l’ENISA, établir un projet d’état prévisionnel des recettes et des dépenses de l’ENISA et exécuter le budget. Le directeur exécutif devrait, en outre, avoir la possibilité de créer des groupes de travail ad hoc pour traiter de questions spécifiques, en particulier de questions de nature scientifique, technique, juridique ou socio-économique. La création d’un groupe de travail ad hoc est notamment jugée nécessaire pour la préparation d’un schéma européen de certification de cybersécurité candidat spécifique (ci-après dénommé «schéma candidat»). Le directeur exécutif devrait veiller à ce que les membres des groupes de travail ad hoc soient sélectionnés selon les critères de compétence les plus élevés, visant à assurer un équilibre hommes-femmes et un équilibre adéquat, en fonction des questions spécifiques concernées, entre les administrations publiques des États membres, les institutions, organes et organismes de l’Union et le secteur privé, y compris les entreprises du secteur, les utilisateurs et les experts universitaires en matière de sécurité des réseaux et de l’information.(59) | The smooth functioning of ENISA requires that its Executive Director be appointed on grounds of merit and documented administrative and managerial skills, as well as competence and experience relevant to cybersecurity. The duties of the Executive Director should be carried out with complete independence. The Executive Director should prepare a proposal for ENISA’s annual work programme, after prior consultation with the Commission, and should take all steps necessary to ensure the proper implementation of that work programme. The Executive Director should prepare an annual report to be submitted to the Management Board, covering the implementation of ENISA’s annual work programme, draw up a draft statement of estimates of revenue and expenditure for ENISA, and implement the budget. Furthermore, the Executive Director should have the option of setting up ad hoc working groups to address specific matters, in particular matters of a scientific, technical, legal or socioeconomic nature. In particular, in relation to the preparation of a specific candidate European cybersecurity certification scheme (‘candidate scheme’), the setting up of an ad hoc working group is considered to be necessary. The Executive Director should ensure that the members of ad hoc working groups are selected according to the highest standards of expertise, aiming to ensure gender balance and an appropriate balance, according to the specific issues in question, between the public administrations of the Member States, the Union institutions, bodies, offices and agencies and the private sector, including industry, users, and academic experts in network and information security.
(60) | Le conseil exécutif devrait contribuer au fonctionnement efficace du conseil d’administration. Dans le cadre de ses travaux préparatoires liés aux décisions du conseil d’administration, le conseil exécutif devrait examiner de manière approfondie les informations pertinentes, étudier les options disponibles et proposer des conseils et des solutions afin de préparer les décisions du conseil d’administration.(60) | The Executive Board should contribute to the effective functioning of the Management Board. As part of its preparatory work related to Management Board decisions, the Executive Board should examine relevant information in detail, explore available options and offer advice and solutions to prepare the decisions of the Management Board.
(61) | L’ENISA devrait disposer, à titre d’organe consultatif, d’un groupe consultatif de l’ENISA pour assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs et d’autres parties prenantes concernées. Le groupe consultatif de l’ENISA, institué par le conseil d’administration sur proposition du directeur exécutif, devrait s’attacher à examiner des questions pertinentes pour les parties prenantes et devrait les porter à l’attention de l’ENISA. Le groupe consultatif de l’ENISA devrait être consulté en particulier au sujet du projet de programme de travail annuel de l’ENISA. La composition du groupe consultatif de l’ENISA et les tâches assignées à ce groupe devraient assurer une représentation suffisante des parties prenantes dans les travaux de l’ENISA.(61) | ENISA should have an ENISA Advisory Group as an advisory body to ensure regular dialogue with the private sector, consumers’ organisations and other relevant stakeholders. The ENISA Advisory Group, established by the Management Board on a proposal from the Executive Director, should focus on issues relevant to stakeholders and should bring them to the attention of ENISA. The ENISA Advisory Group should be consulted in particular with regard to ENISA’s draft annual work programme. The composition of the ENISA Advisory Group and the tasks assigned to it should ensure sufficient representation of stakeholders in the work of ENISA.
(62) | Le groupe des parties prenantes pour la certification de cybersécurité devrait être institué pour aider l’ENISA et la Commission à faciliter la consultation des parties prenantes concernées. Le groupe des parties prenantes pour la certification de cybersécurité devrait être composé de membres représentant le secteur dans des proportions équilibrées, du côté tant de la demande que de l’offre de produits TIC et services TIC, y compris, en particulier, les PME, les fournisseurs de services numériques, les organismes européens et internationaux de normalisation, les organismes d’accréditation nationaux, les autorités de contrôle de la protection des données, les organismes d’évaluation de la conformité en application du règlement (CE) no 765/2008 du Parlement européen et du Conseil (16), et les universités ainsi que les organisations de consommateurs.(62) | The Stakeholder Cybersecurity Certification Group should be established in order to help ENISA and the Commission facilitate the consultation of relevant stakeholders. The Stakeholder Cybersecurity Certification Group should be composed of members representing industry in balanced proportions, both on the demand side and the supply side of ICT products and ICT services, and including, in particular, SMEs, digital service providers, European and international standardisation bodies, national accreditation bodies, data protection supervisory authorities and conformity assessment bodies pursuant to Regulation (EC) No 765/2008 of the European Parliament and of the Council (16), and academia as well as consumer organisations.
(63) | L’ENISA devrait disposer de règles en matière de prévention et de gestion des conflits d’intérêts. L’ENISA devrait aussi appliquer les dispositions pertinentes du droit de l’Union en ce qui concerne l’accès du public aux documents prévu par le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (17). Le traitement des données à caractère personnel devrait être régi par le règlement (UE) 2018/1725 du Parlement européen et du Conseil (18). L’ENISA devrait respecter les dispositions applicables aux institutions, organes et organismes de l’Union et la législation nationale concernant le traitement des informations, notamment les informations non classifiées sensibles et les informations classifiées de l’Union européenne (ICUE).(63) | ENISA should have rules in place regarding the prevention and the management of conflicts of interest. ENISA should also apply the relevant Union provisions concerning public access to documents as set out in Regulation (EC) No 1049/2001 of the European Parliament and of the Council (17). The processing of personal data by ENISA should be subject to Regulation (EU) 2018/1725 of the European Parliament and of the Council (18). ENISA should comply with the provisions applicable to the Union institutions, bodies, offices and agencies, and with national legislation regarding the handling of information, in particular sensitive non-classified information and European Union classified information (EUCI).
(64) | Pour garantir l’autonomie et l’indépendance complètes de l’ENISA et lui permettre d’exécuter des tâches supplémentaires, y compris des tâches urgentes imprévues, il convient de la doter d’un budget suffisant et autonome dont l’essentiel des recettes devrait provenir d’une contribution de l’Union et de contributions des pays tiers participant aux travaux de l’ENISA. Doter l’ENISA d’un budget adéquat est primordial pour garantir qu’elle dispose d’une capacité suffisante pour exécuter l’ensemble de ses tâches toujours plus nombreuses et atteindre ses objectifs. La majeure partie des effectifs de l’ENISA devrait se consacrer directement à la mise en œuvre opérationnelle du mandat de l’ENISA. L’État membre d’accueil et tout autre État membre devrait être autorisé à apporter des contributions volontaires au budget de l’ENISA. La procédure budgétaire de l’Union devrait rester applicable en ce qui concerne toute subvention imputable sur le budget général de l’Union. En outre, la Cour des comptes devrait contrôler les comptes de l’ENISA afin de garantir la transparence et la responsabilité.(64) | In order to guarantee the full autonomy and independence of ENISA and to enable it to perform additional tasks, including unforeseen emergency tasks, ENISA should be granted a sufficient and autonomous budget whose revenue should primarily come from a contribution from the Union and contributions from third countries participating in ENISA’s work. An appropriate budget is paramount for ensuring that ENISA has sufficient capacity to perform all of its growing tasks and to achieve its objectives. The majority of ENISA’s staff should be directly engaged in the operational implementation of ENISA’s mandate. The host Member State, and any other Member State, should be allowed to make voluntary contributions to ENISA’s budget. The Union’s budgetary procedure should remain applicable as far as any subsidies chargeable to the general budget of the Union are concerned. Moreover, the Court of Auditors should audit ENISA’s accounts to ensure transparency and accountability.
(65) | La certification de cybersécurité joue un rôle important dans l’amélioration de la sécurité des produits TIC, services TIC et processus TIC et le renforcement de la confiance qui leur est accordée. Le marché unique numérique, et en particulier l’économie des données et l’IdO, ne peuvent prospérer que si le grand public est convaincu que ces produits, services et processus offrent un certain niveau de cybersécurité. Les voitures connectées et automatisées, les dispositifs médicaux électroniques, les systèmes de contrôle-commande industriels et les réseaux intelligents ne sont que quelques exemples de secteurs dans lesquels la certification est déjà largement utilisée ou est susceptible de l’être dans un avenir proche. Les secteurs régis par la directive (UE) 2016/1148 sont également des secteurs où la certification de cybersécurité joue un rôle critique.(65) | Cybersecurity certification plays an important role in increasing trust and security in ICT products, ICT services and ICT processes. The digital single market, and in particular the data economy and the IoT, can thrive only if there is general public trust that such products, services and processes provide a certain level of cybersecurity. Connected and automated cars, electronic medical devices, industrial automation control systems and smart grids are only some examples of sectors in which certification is already widely used or is likely to be used in the near future. The sectors regulated by Directive (EU) 2016/1148 are also sectors in which cybersecurity certification is critical.
(66) | Dans la communication de 2016 intitulée «Renforcer le système européen de cyber-résilience et promouvoir la compétitivité et l’innovation dans le secteur européen de la cybersécurité», la Commission a souligné le besoin de produits et de solutions de très bonne qualité, abordables et interopérables en matière de cybersécurité. L’offre de produits TIC, services TIC et processus TIC au sein du marché unique reste très fragmentée sur le plan géographique. Cela est dû au fait que le secteur de la cybersécurité en Europe s’est développé principalement en fonction de la demande des gouvernements nationaux. En outre, le manque de solutions interopérables (normes techniques), de pratiques et de dispositifs de certification à l’échelle de l’Union constitue l’une des autres lacunes affectant le marché unique dans le domaine de la cybersécurité. Il en résulte que les entreprises européennes ont des difficultés à être concurrentielles au niveau national, à l’échelon de l’Union et au niveau mondial. Cela restreint également le choix des technologies viables et utilisables en matière de cybersécurité qui s’offre aux particuliers et aux entreprises. De la même façon, dans la communication de 2017 sur la révision à mi-parcours de la mise en œuvre de la stratégie pour le marché unique numérique — Un marché unique numérique connecté pour tous, la Commission a insisté sur le besoin de produits et systèmes connectés qui soient sûrs, et a indiqué que la création d’un cadre européen de la sécurité des TIC fixant des règles sur les modalités d’organisation de la certification de sécurité des TIC dans l’Union pourrait à la fois préserver la confiance dans l’internet et permettre de lutter contre la fragmentation actuelle du marché intérieur.(66) | In the 2016 Communication ‘Strengthening Europe’s Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry’, the Commission outlined the need for high-quality, affordable and interoperable cybersecurity products and solutions. The supply of ICT products, ICT services and ICT processes within the single market remains very fragmented geographically. This is because the cybersecurity industry in Europe has developed largely on the basis of national governmental demand. In addition, the lack of interoperable solutions (technical standards), practices and Union-wide mechanisms of certification are among the other gaps affecting the single market in the field of cybersecurity. This makes it difficult for European businesses to compete at national, Union and global level. It also reduces the choice of viable and usable cybersecurity technologies that individuals and businesses have access to. Similarly, in the 2017 Communication on the Mid-Term Review on the implementation of the Digital Single Market Strategy – A Connected Digital Single Market for All, the Commission highlighted the need for safe connected products and systems, and indicated that the creation of a European ICT security framework setting rules on how to organise ICT security certification in the Union could both preserve trust in the internet and tackle the current fragmentation of the internal market.
(67) | Actuellement, la certification de cybersécurité des produits TIC, services TIC et processus TIC n’est utilisée que de façon limitée. Lorsqu’elle existe, elle intervient essentiellement au niveau des États membres ou dans le cadre de schémas pilotés par les entreprises du secteur. Dans ce contexte, un certificat délivré par une autorité nationale de certification de cybersécurité n’est pas, en principe, reconnu dans d’autres États membres. Il arrive donc que les entreprises doivent certifier leurs produits TIC, services TIC et processus TIC dans les différents États membres où elles exercent leurs activités, par exemple pour participer à des procédures nationales de passation de marchés, ce qui implique des coûts supplémentaires. En outre, alors que de nouveaux schémas voient le jour, il ne semble pas exister d’approche cohérente et globale des questions de cybersécurité transversales, par exemple dans le domaine de l’IoD. Les schémas existants présentent des lacunes importantes et des différences en termes de couverture des produits, de niveaux d’assurance, de critères de fond et d’utilisation effective, ce qui entrave les mécanismes de reconnaissance mutuelle au sein de l’Union.(67) | Currently, the cybersecurity certification of ICT products, ICT services and ICT processes is used only to a limited extent. When it exists, it mostly occurs at Member State level or in the framework of industry driven schemes. In that context, a certificate issued by a national cybersecurity certification authority is not in principle recognised in other Member States. Companies thus may have to certify their ICT products, ICT services and ICT processes in several Member States where they operate, for example, with a view to participating in national procurement procedures, which thereby adds to their costs. Moreover, while new schemes are emerging, there seems to be no coherent and holistic approach to horizontal cybersecurity issues, for instance in the field of the IoT. Existing schemes present significant shortcomings and differences in terms of product coverage, levels of assurance, substantive criteria and actual use, impeding mutual recognition mechanisms within the Union.
(68) | Des efforts ont été réalisés pour garantir une reconnaissance mutuelle des certificats dans l’Union. Cependant, ils n’ont que partiellement abouti. L’exemple le plus marquant à cet égard est l’accord de reconnaissance mutuelle (ARM) du groupe des hauts fonctionnaires pour la sécurité des systèmes d’information (SOG-IS). Même s’il est le modèle le plus remarquable en ce qui concerne la coopération et la reconnaissance mutuelle dans le domaine de la certification de sécurité, le SOG-IS ne réunit que certains États membres. De ce fait, l’ARM du SOG-IS n’a eu qu’une efficacité limitée dans la perspective du marché intérieur.(68) | Some efforts have been made in order to ensure the mutual recognition of certificates within the Union. However, they have been only partly successful. The most important example in this regard is the Senior Officials Group – Information Systems Security (SOG-IS) Mutual Recognition Agreement (MRA). While it represents the most important model for cooperation and mutual recognition in the field of security certification, SOG-IS includes only some of the Member States. That fact has limited the effectiveness of SOG-IS MRA from the point of view of the internal market.
(69) | Dès lors, il est nécessaire d’adopter une approche commune et d’établir un cadre européen de certification de cybersécurité établissant les principales exigences horizontales pour les schémas européens de certification de cybersécurité à développer, et permettant la reconnaissance et l’utilisation dans tous les États membres des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne pour les produits TIC, services TIC ou processus TIC. Ce faisant, il est essentiel de s’appuyer sur des schémas nationaux et internationaux existants, ainsi que sur des systèmes de reconnaissance mutuelle, en particulier le SOG-IS, et de créer les conditions d’une transition en douceur des schémas existants relevant de ces systèmes vers les schémas relevant du nouveau cadre européen de certification de cybersécurité. Le cadre européen de certification de cybersécurité devrait poursuivre un double objectif. Tout d’abord, il devrait contribuer à renforcer la confiance dans les produits TIC, services TIC et processus TIC qui ont été certifiés au titre des schémas européens de certification de cybersécurité. Ensuite, il devrait aider à éviter la multiplication de schémas de certification de cybersécurité nationales contradictoires ou faisant double emploi, réduisant ainsi les coûts à la charge des entreprises exerçant leurs activités sur le marché unique numérique. Les schémas européens de certification de cybersécurité devraient être non discriminatoires et fondés sur des normes européennes ou internationales, sauf si ces normes sont inefficaces ou inappropriées pour remplir les objectifs légitimes de l’Union à cet égard.(69) | Therefore, it is necessary to adopt a common approach and to establish a European cybersecurity certification framework that lays down the main horizontal requirements for European cybersecurity certification schemes to be developed and allows European cybersecurity certificates and EU statements of conformity for ICT products, ICT services or ICT processes to be recognised and used in all Member States. In doing so, it is essential to build on existing national and international schemes, as well as on mutual recognition systems, in particular SOG-IS, and to make possible a smooth transition from the existing schemes under such systems to schemes under the new European cybersecurity certification framework. The European cybersecurity certification framework should have a twofold purpose. First, it should help increase trust in ICT products, ICT services and ICT processes that have been certified under European cybersecurity certification schemes. Second, it should help avoid the multiplication of conflicting or overlapping national cybersecurity certification schemes and thus reduce costs for undertakings operating in the digital single market. The European cybersecurity certification schemes should be non-discriminatory and based on European or international standards, unless those standards are ineffective or inappropriate to fulfil the Union’s legitimate objectives in that regard.
(70) | Le cadre européen de certification de cybersécurité devrait être établi de manière homogène dans tous les États membres afin d’éviter la pratique du «shopping de certifications» en raison des différents niveaux d’exigence dans les différents États membres.(70) | The European cybersecurity certification framework should be established in a uniform manner in all Member States in order to prevent ‘certification shopping’ based on different levels of stringency in different Member States.
(71) | Les schémas européens de certification de cybersécurité devraient reposer sur les éléments déjà existants au niveau international et national et, au besoin, sur les spécifications techniques des forums et consortiums, en tirant les leçons des points forts actuels et en évaluant et en corrigeant les points faibles.(71) | European cybersecurity certification schemes should be built on what already exists at international and national level and, if necessary, on technical specifications from forums and consortia, learning from current strong points and assessing and correcting weaknesses.
(72) | Des solutions de cybersécurité flexibles sont nécessaires pour que les entreprises du secteur gardent une longueur d’avance sur les cybermenaces; dès lors, tout schéma de certification devrait être conçu de manière à éviter le risque d’obsolescence rapide.(72) | Flexible cybersecurity solutions are necessary for the industry to stay ahead of cyber threats, and therefore any certification scheme should be designed in a way that avoids the risk of being outdated quickly.
(73) | La Commission devrait être habilitée à adopter des schémas européens de certification de cybersécurité concernant des groupes spécifiques de produits TIC, services TIC et processus TIC. Ces schémas devraient être mis en œuvre et contrôlés par des autorités nationales de certification de cybersécurité, et les certificats délivrés au titre de ces schémas devraient être valables et reconnus sur tout le territoire de l’Union. Les schémas de certification gérés par les entreprises du secteur ou d’autres organismes privés devraient être exclus du champ d’application du présent règlement. Toutefois, les organismes qui gèrent de tels schémas devraient pouvoir proposer que la Commission les prenne pour base en vue de les approuver en tant que schéma européen de certification de cybersécurité.(73) | The Commission should be empowered to adopt European cybersecurity certification schemes concerning specific groups of ICT products, ICT services and ICT processes. Those schemes should be implemented and supervised by national cybersecurity certification authorities, and certificates issued under those schemes should be valid and recognised throughout the Union. Certification schemes operated by the industry or by other private organisations should fall outside of the scope of this Regulation. However, the bodies operating such schemes should be able to propose that the Commission consider such schemes as a basis for approving them as a European cybersecurity certification scheme.
(74) | Les dispositions du présent règlement devraient être sans préjudice du droit de l’Union qui prévoit des règles spécifiques concernant la certification des produits TIC, services TIC et processus TIC. En particulier, le règlement (UE) 2016/679 fixe des dispositions en vue de la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent ledit règlement. Ces mécanismes de certification et ces labels et marques en matière de protection des données devraient permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits TIC, services TIC et processus TIC en question. Le présent règlement est sans préjudice de la certification des opérations de traitement des données au titre du règlement (UE) 2016/679, y compris lorsque ces opérations sont intégrées dans des produits TIC, services TIC et processus TIC.(74) | The provisions of this Regulation should be without prejudice to Union law providing specific rules on the certification of ICT products, ICT services and ICT processes. In particular, Regulation (EU) 2016/679 lays down provisions for the establishment of certification mechanisms and of data protection seals and marks, for the purpose of demonstrating the compliance of processing operations by controllers and processors with that Regulation. Such certification mechanisms and data protection seals and marks should allow data subjects to quickly assess the level of data protection of the relevant ICT products, ICT services and ICT processes. This Regulation is without prejudice to the certification of data processing operations under Regulation (EU) 2016/679, including when such operations are embedded in ICT products, ICT services and ICT processes.
(75) | Les schémas européens de certification de cybersécurité devraient avoir pour finalité de garantir que les produits TIC, services TIC et processus TIC certifiés selon de tels schémas respectent les exigences définies qui visent à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées, transmises ou traitées, ou des fonctions connexes de ces produits, services et processus tout au long de leur cycle de vie, ou des services qu’ils offrent ou qui sont accessibles par leur intermédiaire. Il n’est pas possible d’exposer en détail les exigences de cybersécurité se rapportant à tous les produits TIC, services TIC et processus TIC dans le présent règlement. Les produits TIC, services TIC et processus TIC et les besoins de cybersécurité relatifs à ces produits, services et processus sont si divers qu’il est très difficile d’élaborer des exigences de cybersécurité générales qui soient valables en toutes circonstances. Il est donc nécessaire d’adopter, aux fins de la certification, une notion large et générale de la cybersécurité, laquelle devrait être complétée par une série d’objectifs spécifiques en matière de cybersécurité à prendre en compte lors de la conception de schémas européens de certification de cybersécurité. Les modalités selon lesquelles ces objectifs doivent être atteints pour des produits TIC, services TIC et processus TIC spécifiques devraient ensuite être précisées en détail au niveau de chaque schéma de certification adopté par la Commission, par exemple en faisant référence à des normes ou à des spécifications techniques s’il n’existe aucune norme appropriée.(75) | The purpose of European cybersecurity certification schemes should be to ensure that ICT products, ICT services and ICT processes certified under such schemes comply with specified requirements that aim to protect the availability, authenticity, integrity and confidentiality of stored, transmitted or processed data or of the related functions of or services offered by, or accessible via those products, services and processes throughout their life cycle. It is not possible to set out in detail the cybersecurity requirements relating to all ICT products, ICT services and ICT processes in this Regulation. ICT products, ICT services and ICT processes and the cybersecurity needs related to those products, services and processes are so diverse that it is very difficult to develop general cybersecurity requirements that are valid in all circumstances. It is therefore necessary to adopt a broad and general notion of cybersecurity for the purpose of certification, which should be complemented by a set of specific cybersecurity objectives that are to be taken into account when designing European cybersecurity certification schemes. The arrangements by which such objectives are to be achieved in specific ICT products, ICT services and ICT processes should then be further specified in detail at the level of the individual certification scheme adopted by the Commission, for example by reference to standards or technical specifications if no appropriate standards are available.
(76) | Les spécifications techniques à utiliser dans les schémas européens de certification de cybersécurité devraient respecter les exigences énoncées à l’annexe II du règlement (UE) no 1025/2012 du Parlement européen et du Conseil (19). Il pourrait toutefois être jugé nécessaire de s’écarter quelque peu de ces exigences dans des cas dûment justifiés, lorsque ces spécifications techniques doivent être utilisées dans un schéma européen de certification de cybersécurité renvoyant à un niveau d’assurance dit «élevé». Les motifs de ces écarts devraient être rendus publics.(76) | The technical specifications to be used in European cybersecurity certification schemes should respect the requirements set out in Annex II to Regulation (EU) No 1025/2012 of the European Parliament and of the Council (19). Some deviations from those requirements could, however, be considered to be necessary in duly justified cases where those technical specifications are to be used in a European cybersecurity certification scheme referring to assurance level ‘high’. The reasons for such deviations should be made publicly available.
(77) | L’évaluation de la conformité est une procédure consistant à évaluer s’il est satisfait aux exigences relatives à un produit TIC, service TIC ou processus TIC qui ont été définies. Cette procédure est réalisée par un tiers indépendant, autre que le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC qui font l’objet de l’évaluation. Un certificat de cybersécurité européen devrait être délivré à l’issue d’une procédure d’évaluation d’un produit TIC, service TIC ou processus TIC réussie. Il convient de considérer le certificat de cybersécurité européen comme une confirmation que l’évaluation a été dûment réalisée. En fonction du niveau d’assurance, le schéma européen de certification de cybersécurité devrait indiquer si le certificat de cybersécurité européen doit être délivré par un organisme privé ou public. L’évaluation de la conformité et la certification ne peuvent en soi garantir que les produits TIC, services TIC et processus TIC certifiés sont sécurisés du point de vue de la cybersécurité. Il s’agit plutôt de procédures et de méthodologies techniques visant à attester que des produits TIC, services TIC et processus TIC ont été soumis à des essais et qu’ils respectent certaines exigences de cybersécurité établies par ailleurs, par exemple dans des normes techniques.(77) | A conformity assessment is a procedure for evaluating whether specified requirements relating to an ICT product, ICT service or ICT process have been fulfilled. That procedure is carried out by an independent third party that is not the manufacturer or provider of the ICT products, ICT services or ICT processes that are being assessed. A European cybersecurity certificate should be issued following the successful evaluation of an ICT product, ICT service or ICT process. A European cybersecurity certificate should be considered to be a confirmation that the evaluation has been properly carried out. Depending on the assurance level, the European cybersecurity certification scheme should indicate whether the European cybersecurity certificate is to be issued by a private or public body. Conformity assessment and certification cannot guarantee per se that certified ICT products, ICT services and ICT processes are cyber secure. They are instead procedures and technical methodologies for attesting that ICT products, ICT services and ICT processes have been tested and that they comply with certain cybersecurity requirements laid down elsewhere, for example in technical standards.
(78) | Le choix, par les utilisateurs de certificats de cybersécurité européens, de la certification appropriée et des exigences de sécurité correspondantes devrait se fonder sur une analyse des risques associés à l’utilisation des produits TIC, services TIC ou processus TIC. En conséquence, le niveau d’assurance devrait correspondre au niveau de risque associé à l’utilisation prévue d’un produit TIC, service TIC ou processus TIC.(78) | The choice of the appropriate certification and associated security requirements by the users of European cybersecurity certificates should be based on an analysis of the risks associated with the use of the ICT products, ICT services or ICT processes. Accordingly, the assurance level should be commensurate with the level of the risk associated with the intended use of an ICT product, ICT service or ICT process.
(79) | Les schémas européens de certification de cybersécurité pourraient prévoir une évaluation de la conformité devant être effectuée sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (ci-après dénommée «autoévaluation de la conformité»). En pareils cas, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC effectue lui-même tous les contrôles pour garantir que les produits TIC, services TIC ou processus TIC sont conformes au schéma européen de certification de cybersécurité. L’autoévaluation de la conformité devrait être considérée comme appropriée pour les produits TIC et services TIC de faible complexité ou pour les processus TIC qui présentent un risque faible pour le public, tels que des mécanismes de conception et de production simples. En outre, l’autoévaluation de la conformité ne devrait être autorisée pour les produits TIC, services TIC ou processus TIC que lorsqu’ils correspondent à un niveau d’assurance dit «élémentaire».(79) | European cybersecurity certification schemes could provide for a conformity assessment to be carried out under the sole responsibility of the manufacturer or provider of ICT products, ICT services or ICT processes (‘conformity self-assessment’). In such cases, it should be sufficient that the manufacturer or provider of ICT products, ICT services or ICT processes itself carry out all of the checks to ensure that the ICT products, ICT services or ICT processes conform with the European cybersecurity certification scheme. Conformity self-assessment should be considered to be appropriate for low complexity ICT products, ICT services or ICT processes that present a low risk to the public, such as simple design and production mechanisms. Moreover, conformity self-assessment should be permitted for ICT products, ICT services or ICT processes only where they correspond to assurance level ‘basic’.
(80) | Les schémas européens de certification de cybersécurité pourraient permettre à la fois les autoévaluations de la conformité et les certifications de produits TIC, services TIC ou processus TIC. Dans ce cas, le schéma devrait prévoir des moyens clairs et compréhensibles pour les consommateurs ou les autres utilisateurs de distinguer entre les produits TIC, services TIC ou processus TIC à l’égard desquels le fabricant ou le fournisseur des produits TIC, services TIC ou processus TIC est responsable de l’évaluation, et les produits TIC, services TIC et processus TIC qui sont certifiés par un tiers.(80) | European cybersecurity certification schemes could allow for both conformity self-assessments and certifications of ICT products, ICT services or ICT processes. In such a case, the scheme should provide for clear and understandable means for consumers or other users to differentiate between ICT products, ICT services or ICT processes with regard to which the manufacturer or provider of ICT products, ICT services or ICT processes is responsible for the assessment, and ICT products, ICT services or ICT processes that are certified by a third party.
(81) | Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC qui effectue une autoévaluation de la conformité devrait pouvoir délivrer et signer la déclaration de conformité de l’Union européenne dans le cadre de la procédure d’évaluation de la conformité. Une déclaration de conformité de l’Union européenne est un document qui indique qu’un produit TIC, service TIC ou processus TIC spécifique respecte les exigences du schéma européen de certification de cybersécurité. En délivrant et en signant la déclaration de conformité de l’Union européenne, le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC assume la responsabilité du respect par le produit TIC, service TIC ou processus TIC des exigences légales du schéma européen de certification de cybersécurité. Une copie de la déclaration de conformité de l’Union européenne devrait être soumise à l’autorité nationale de certification de cybersécurité et à l’ENISA.(81) | The manufacturer or provider of ICT products, ICT services or ICT processes who carry out a conformity self-assessment should be able to issue and sign the EU statement of conformity as part of the conformity assessment procedure. An EU statement of conformity is a document that states that a specific ICT product, ICT service or ICT process complies with the requirements of the European cybersecurity certification scheme. By issuing and signing the EU statement of conformity, the manufacturer or provider of ICT products, ICT services or ICT processes assumes responsibility for the compliance of the ICT product, ICT service or ICT process with the legal requirements of the European cybersecurity certification scheme. A copy of the EU statement of conformity should be submitted to the national cybersecurity certification authority and to ENISA.
(82) | Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC devrait mettre à la disposition de l’autorité nationale de certification de cybersécurité compétente, pour une durée fixée dans le schéma européen de certification de cybersécurité concerné, la déclaration de conformité de l’Union européenne, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC, services TIC ou processus TIC avec un schéma européen de certification de cybersécurité. La documentation technique devrait préciser les exigences applicables au titre du schéma et devrait couvrir la conception, la fabrication et le fonctionnement du produit TIC, service TIC ou processus TIC dans la mesure nécessaire à l’autoévaluation de la conformité. La documentation technique devrait être compilée de façon à permettre d’évaluer si un produit TIC ou un service TIC respecte les exigences applicables au titre de ce schéma.(82) | Manufacturers or providers of ICT products, ICT services or ICT processes should make the EU statement of conformity, technical documentation, and all other relevant information relating to the conformity of the ICT products, ICT services or ICT processes with a European cybersecurity certification scheme available to the competent national cybersecurity certification authority for a period provided for in the relevant European cybersecurity certification scheme. The technical documentation should specify the requirements applicable under the scheme and should cover the design, manufacture and operation of the ICT product, ICT service or ICT process to the extent relevant to the conformity self-assessment. The technical documentation should be so compiled as to enable the assessment of whether an ICT product or ICT service complies with the requirements applicable under that scheme.
(83) | La gouvernance du cadre européen de certification de cybersécurité prend en compte la participation des États membres ainsi qu’une participation appropriée des parties prenantes, et définit le rôle de la Commission pendant la planification et la proposition, la demande, l’élaboration, l’adoption ainsi que l’évaluation des schémas européens de certification de cybersécurité.(83) | The governance of the European cybersecurity certification framework takes into account the involvement of Member States as well as the appropriate involvement of stakeholders, and establishes the role of the Commission during the planning and proposing, requesting, preparing, adopting and reviewing of European cybersecurity certification schemes.
(84) | La Commission devrait préparer, avec le soutien du groupe européen de certification de cybersécurité (GECC) et du groupe des parties prenantes pour la certification de cybersécurité et à la suite d’une large consultation ouverte, un programme de travail glissant de l’Union pour les schémas européens de certification de cybersécurité et devrait le publier sous la forme d’un instrument non contraignant. Le programme de travail glissant de l’Union devrait consister en un document stratégique permettant aux entreprises du secteur, aux autorités nationales et aux organismes de normalisation, en particulier, de se préparer à l’avance dans la perspective des futurs schémas européens de certification de cybersécurité. Le programme de travail glissant de l’Union devrait comporter un aperçu pluriannuel des demandes de schémas candidats que la Commission compte adresser à l’ENISA pour préparation, sur la base de motifs spécifiques. La Commission devrait tenir compte du programme de travail glissant de l’Union lors de la préparation de son plan glissant pour la normalisation des TIC et des demandes de normalisation adressées à des organismes européens de normalisation. Compte tenu de la rapidité de l’introduction et de l’adoption des nouvelles technologies, de l’apparition de risques liés à la cybersécurité auparavant inconnus et de l’évolution de la législation et des marchés, la Commission ou le GECC devrait être habilité(e) à demander à l’ENISA de préparer des schémas candidats qui n’ont pas été prévus dans le programme de travail glissant de l’Union. En pareils cas, la Commission et le GECC devraient en outre évaluer le bien-fondé d’une telle demande en tenant compte des finalités et objectifs généraux du présent règlement et de la nécessité d’assurer la continuité en ce qui concerne la planification et l’utilisation des ressources par l’ENISA. | À la suite d’une telle demande, l’ENISA devrait préparer les schémas candidats pour des produits TIC, services TIC et processus TIC spécifiques sans retard injustifié. La Commission devrait évaluer l’incidence positive et négative de sa demande sur le marché spécifique en question, en particulier son impact sur les PME, l’innovation, les obstacles à l’entrée sur ce marché et les coûts pour les utilisateurs finaux. Sur la base du schéma candidat préparé par l’ENISA, la Commission devrait alors être habilitée à adopter le schéma européen de certification de cybersécurité par voie d’actes d’exécution. Compte tenu de la finalité générale du présent règlement et des objectifs de sécurité qui y sont fixés, les schémas européens de certification de cybersécurité adoptés par la Commission devraient préciser un ensemble minimal d’éléments relatifs à l’objet, au champ d’application et au fonctionnement du schéma considéré. Ces éléments devraient notamment comprendre le champ d’application et l’objet de la certification de cybersécurité, y compris l’indication des catégories de produits TIC, services TIC et processus TIC couverts, la description détaillée des exigences de cybersécurité, par exemple par référence à des normes ou des spécifications techniques, les critères et méthodes d’évaluation spécifiques, ainsi que le niveau d’assurance visé («élémentaire», «substantiel» ou «élevé»), et les niveaux d’évaluation s’il y a lieu. L’ENISA devrait pouvoir refuser une demande adressée par le GECC. De telles décisions devraient être prises par le conseil d’administration et devraient être dûment motivées.(84) | The Commission should prepare, with the support of the European Cybersecurity Certification Group (the ‘ECCG’) and the Stakeholder Cybersecurity Certification Group and after an open and wide consultation, a Union rolling work programme for European cybersecurity certification schemes and should publish it in the form of a non-binding instrument. The Union rolling work programme should be a strategic document that allows industry, national authorities and standardisation bodies, in particular, to prepare in advance for future European cybersecurity certification schemes. The Union rolling work programme should include a multiannual overview of the requests for candidate schemes which the Commission intends to submit to ENISA for preparation on the basis of specific grounds. The Commission should take into account the Union rolling work programme while preparing its Rolling Plan for ICT Standardisation and standardisation requests to European standardisation organisations. In light of the rapid introduction and uptake of new technologies, the emergence of previously unknown cybersecurity risks, and legislative and market developments, the Commission or the ECCG should be entitled to request ENISA to prepare candidate schemes which have not been included in the Union rolling work programme. In such cases, the Commission and the ECCG should also assess the necessity of such a request, taking into account the overall aims and objectives of this Regulation and the need to ensure continuity as regards ENISA’s planning and use of resources. | Following such a request, ENISA should prepare the candidate schemes for specific ICT products, ICT services and ICT processes without undue delay. The Commission should evaluate the positive and negative impact of its request on the specific market in question, especially its impact on SMEs, on innovation, on barriers to entry to that market and on costs to end users. The Commission, on the basis of the candidate scheme prepared by ENISA, should be empowered to adopt the European cybersecurity certification scheme by means of implementing acts. Taking account of the general purpose and security objectives laid down in this Regulation, European cybersecurity certification schemes adopted by the Commission should specify a minimum set of elements concerning the subject matter, scope and functioning of the individual scheme. Those elements should include, among other things, the scope and object of the cybersecurity certification, including the categories of ICT products, ICT services and ICT processes covered, the detailed specification of the cybersecurity requirements, for example by reference to standards or technical specifications, the specific evaluation criteria and evaluation methods, as well as the intended assurance level (‘basic’, ‘substantial’ or ‘high’) and the evaluation levels where applicable. ENISA should be able to refuse a request by the ECCG. Such decisions should be taken by the Management Board and should be duly reasoned.
(85) | L’ENISA devrait maintenir un site internet fournissant des informations sur les schémas européens de certification de cybersécurité et leur donnant une visibilité, qui devrait, entre autres, comprendre les demandes de préparation d’un schéma candidat ainsi que les retours d’information reçus lors du processus de consultation réalisé par l’ENISA au cours de la phase préparatoire. Le site internet devrait en outre fournir des informations sur les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne délivrés en application du présent règlement, notamment des informations concernant le retrait et l’expiration de tels certificats de cybersécurité européens et déclarations de conformité de l’Union européenne. Le site internet devrait en outre indiquer les schémas nationaux de certification de cybersécurité qui ont été remplacés par un schéma européen de certification de cybersécurité.(85) | ENISA should maintain a website providing information on and publicising European cybersecurity certification schemes, which should include, among other things, the requests for the preparation of a candidate scheme as well as the feedback received in the consultation process carried out by ENISA in the preparation phase. The website should also provide information about the European cybersecurity certificates and EU statements of conformity issued under this Regulation including information regarding the withdrawal and expiry of such European cybersecurity certificates and EU statements of conformity. The website should also indicate the national cybersecurity certification schemes that have been replaced by a European cybersecurity certification scheme.
(86) | Le niveau d’assurance d’un schéma européen de certification constitue le fondement permettant de garantir qu’un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique. Pour assurer la cohérence du cadre européen de certification de cybersécurité, un schéma européen de certification de cybersécurité devrait pouvoir préciser les niveaux d’assurance pour les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne délivrés dans le cadre de ce schéma. Chaque certificat de cybersécurité européen pourrait renvoyer à l’un des niveaux d’assurance, à savoir «élémentaire», «substantiel» ou «élevé», tandis que la déclaration de conformité de l’Union européenne pourrait ne renvoyer qu’au niveau d’assurance dit «élémentaire». Les niveaux d’assurance prévoiraient la rigueur et l’ampleur correspondantes de l’évaluation du produit TIC, du service TIC ou du processus TIC et seraient déterminés par référence aux spécifications techniques, normes et procédures qui y sont liées, y compris les contrôles techniques, dont l’objectif est de limiter les incidents ou de les prévenir. Chaque niveau d’assurance devrait être cohérent dans les différents domaines sectoriels dans lesquels la certification s’applique.(86) | The assurance level of a European certification scheme is a basis for confidence that an ICT product, ICT service or ICT process meets the security requirements of a specific European cybersecurity certification scheme. In order to ensure the consistency of the European cybersecurity certification framework, a European cybersecurity certification scheme should be able to specify assurance levels for European cybersecurity certificates and EU statements of conformity issued under that scheme. Each European cybersecurity certificate might refer to one of the assurance levels: ‘basic’, ‘substantial’ or ‘high’, while the EU statement of conformity might only refer to the assurance level ‘basic’. The assurance levels would provide the corresponding rigour and depth of the evaluation of the ICT product, ICT service or ICT process and would be characterised by reference to technical specifications, standards and procedures related thereto, including technical controls, the purpose of which is to mitigate or prevent incidents. Each assurance level should be consistent among the different sectorial domains where certification is applied.
(87) | Un schéma européen de certification de cybersécurité pourrait préciser plusieurs niveaux d’évaluation, en fonction de la rigueur et de l’ampleur de la méthode d’évaluation utilisée. Les niveaux d’évaluation devraient correspondre à l’un des niveaux d’assurance et être associés à une combinaison appropriée de composantes d’assurance. Pour tous les niveaux d’assurance, le produit TIC, service TIC ou processus TIC devrait contenir un certain nombre de fonctions sécurisées, telles qu’elles sont définies par le schéma, pouvant comprendre: une configuration sécurisée prête à l’emploi, un code signé, une mise à jour sécurisée, ainsi que la limitation de l’exploitation de failles et des protections complètes («full stack») ou du tas de la mémoire. Ces fonctions devraient faire l’objet d’un développement et d’une maintenance fondés sur des approches de développement mettant l’accent sur la sécurité et des outils associés, afin de garantir que des mécanismes efficaces au niveau tant du logiciel que du matériel sont incorporés de manière fiable.(87) | A European cybersecurity certification scheme might specify several evaluation levels depending on the rigour and depth of the evaluation methodology used. Evaluation levels should correspond to one of the assurance levels and should be associated with an appropriate combination of assurance components. For all assurance levels, the ICT product, ICT service or ICT process should contain a number of secure functions, as specified by the scheme, which may include: a secure out-of-the-box configuration, a signed code, secure update and exploit mitigations and full stack or heap memory protections. Those functions should have been developed, and be maintained, using security-focused development approaches and associated tools to ensure that effective software and hardware mechanisms are reliably incorporated.
(88) | Pour le niveau d’assurance dit «élémentaire», l’évaluation devrait au moins porter sur les composantes d’assurance suivantes: l’évaluation devrait comprendre au moins un examen, par l’organisme d’évaluation de la conformité, de la documentation technique accompagnant le produit TIC, service TIC ou processus TIC. Lorsque la certification inclut des processus TIC, le processus de conception, de développement et de maintenance d’un produit TIC ou service TIC devrait également être soumis à l’examen technique. Lorsqu’un schéma européen de certification de cybersécurité prévoit une autoévaluation de la conformité, il devrait suffire que le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC ait effectué une autoévaluation de la conformité du produit TIC, service TIC ou processus TIC avec le schéma de certification.(88) | For assurance level ‘basic’, the evaluation should be guided at least by the following assurance components: the evaluation should at least include a review of the technical documentation of the ICT product, ICT service or ICT process by the conformity assessment body. Where the certification includes ICT processes, the process used to design, develop and maintain an ICT product or ICT service should also be subject to the technical review. Where a European cybersecurity certification scheme provides for a conformity self-assessment, it should be sufficient that the manufacturer or provider of ICT products, ICT services or ICT processes has carried out a self-assessment of the compliance of the ICT product, ICT service or ICT process with the certification scheme.
(89) | Pour le niveau d’assurance dit «substantiel», l’évaluation devrait au moins porter sur, outre les exigences liées au niveau d’assurance dit «élémentaire», la vérification de la conformité des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC avec sa documentation technique.(89) | For assurance level ‘substantial’, the evaluation, in addition to the requirements for assurance level ‘basic’, should be guided at least by the verification of the compliance of the security functionalities of the ICT product, ICT service or ICT process with its technical documentation.
(90) | Pour le niveau d’assurance dit «élevé», l’évaluation devrait au moins porter sur, outre les exigences liées au niveau d’assurance dit «substantiel», un test d’efficacité évaluant la résistance des fonctionnalités de sécurité du produit TIC, service TIC ou processus TIC face à des cyberattaques élaborées lancées par des personnes aux aptitudes solides et aux ressources importantes.(90) | For assurance level ‘high’, the evaluation, in addition to the requirements for assurance level ‘substantial’, should be guided at least by an efficiency testing which assesses the resistance of the security functionalities of ICT product, ICT service or ICT process against elaborate cyberattacks performed by persons who have significant skills and resources.
(91) | Le recours à la certification de cybersécurité européenne et aux déclarations de conformité de l’Union européenne devrait rester volontaire, sauf disposition contraire du droit de l’Union ou du droit d’un État membre adoptée conformément au droit de l’Union. En l’absence d’harmonisation du droit de l’Union, les États membres peuvent adopter des réglementations techniques nationales prévoyant une certification obligatoire dans le cadre du schéma européen de certification de cybersécurité conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil (20). Les États membres ont aussi recours à la certification européenne de cybersécurité dans le cadre d’un marché public et de la directive 2014/24/UE du Parlement européen et du Conseil (21).(91) | Recourse to European cybersecurity certification and to EU statements of conformity should remain voluntary, unless otherwise provided for in Union law, or in Member State law adopted in accordance with Union law. In the absence of harmonised Union law, Member States are able to adopt national technical regulations providing for mandatory certification under a European cybersecurity certification scheme in accordance with Directive (EU) 2015/1535 of the European Parliament and of the Council (20). Member States also have recourse to European cybersecurity certification in the context of public procurement and of Directive 2014/24/EU of the European Parliament and of the Council (21).
(92) | Dans certains domaines, il pourrait s’avérer nécessaire, à l’avenir, d’imposer certaines exigences spécifiques en matière de cybersécurité et de rendre la certification y afférente obligatoire pour certains produits TIC, services TIC ou processus TIC, afin d’améliorer le niveau de la cybersécurité dans l’Union. À intervalles réguliers, la Commission devrait assurer un suivi de l’incidence des schémas européens de certification de cybersécurité adoptés sur la disponibilité dans le marché intérieur de produits TIC, services TIC et processus TIC sécurisés et devrait régulièrement évaluer le niveau d’utilisation des schémas de certification par les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC dans l’Union. Il convient d’évaluer l’efficacité des schémas européens de certification de cybersécurité et la question de savoir si certains schémas devraient être rendus obligatoires à la lumière de la législation de l’Union relative à la cybersécurité, en particulier la directive (UE) 2016/1148, en tenant compte de la sécurité du réseau et des systèmes d’information utilisés par les opérateurs de services essentiels.(92) | In some areas, it could be necessary in the future to impose specific cybersecurity requirements and make the certification thereof mandatory for certain ICT products, ICT services or ICT processes, in order to improve the level of cybersecurity in the Union. The Commission should regularly monitor the impact of adopted European cybersecurity certification schemes on the availability of secure ICT products, ICT services and ICT processes in the internal market and should regularly assess the level of use of the certification schemes by the manufacturers or providers of ICT products, ICT services or ICT processes in the Union. The efficiency of the European cybersecurity certification schemes, and whether specific schemes should be made mandatory, should be assessed in light of the cybersecurity-related legislation of the Union, in particular Directive (EU) 2016/1148, taking into consideration the security of the network and information systems used by operators of essential services.
(93) | Les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne devraient aider les utilisateurs finaux à faire des choix éclairés. Dès lors, les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l’Union européenne a été émise, devraient être accompagnés d’informations structurées, adaptées au niveau technique attendu de l’utilisateur final auquel ils sont destinés. Toutes ces informations devraient être disponibles en ligne et, le cas échéant, sous une forme physique. L’utilisateur final devrait avoir accès à des informations concernant le numéro de référence du schéma de certification, le niveau d’assurance, la description des risques liés à la cybersécurité qui sont associés au produit TIC, service TIC ou processus TIC, et l’autorité ou l’organisme de délivrance, ou devrait être en mesure d’obtenir une copie du certificat de cybersécurité européen. En outre, l’utilisateur final devrait recevoir des informations sur la politique d’assistance en matière de cybersécurité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC (à savoir combien de temps l’utilisateur final peut escompter recevoir des mises à jour ou des correctifs en matière de cybersécurité). Le cas échéant, des orientations en ce qui concerne les mesures que l’utilisateur final peut prendre ou les paramétrages qu’il peut effectuer pour maintenir ou accroître la cybersécurité du produit TIC ou service TIC et des informations de contact d’un point de contact unique auquel s’adresser ou auprès duquel recevoir une aide en cas de cyberattaque (outre le signalement automatique) devraient être fournis. Ces informations devraient être actualisées régulièrement et être mises à disposition sur un site internet fournissant des informations sur les schémas européens de certification de cybersécurité.(93) | European cybersecurity certificates and EU statements of conformity should help end users to make informed choices. Therefore, ICT products, ICT services and ICT processes that have been certified or for which an EU statement of conformity has been issued should be accompanied by structured information that is adapted to the expected technical level of the intended end user. All such information should be available online, and, where appropriate, in physical form. The end user should have access to information regarding the reference number of the certification scheme, the assurance level, the description of the cybersecurity risks associated with the ICT product, ICT service or ICT process, and the issuing authority or body, or should be able to obtain a copy of the European cybersecurity certificate. In addition, the end user should be informed of the cybersecurity support policy, namely for how long the end user can expect to receive cybersecurity updates or patches, of the manufacturer or provider of ICT products, ICT services or ICT processes. Where applicable, guidance on actions or settings that the end user can implement to maintain or increase the cybersecurity of the ICT product or of the ICT service and contact information of a single point of contact to report and receive support in the case of cyberattacks (in addition to automatic reporting) should be provided. That information should be regularly updated and made available on a website providing information on European cybersecurity certification schemes.
(94) | En vue d’atteindre les objectifs du présent règlement et d’éviter la fragmentation du marché intérieur, les procédures ou schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC couverts par un schéma européen de certification de cybersécurité devraient cesser de produire leurs effets à compter d’une date fixée par la Commission par voie d’actes d’exécution. De plus, les États membres devraient s’abstenir d’instaurer de nouveaux schémas nationaux de certification de cybersécurité applicables aux produits TIC, services TIC ou processus TIC déjà couverts par un schéma européen de certification de cybersécurité existant. Toutefois, il convient de ne pas empêcher les États membres d’adopter ou de maintenir des schémas nationaux de certification de cybersécurité à des fins de sécurité nationale. Les États membres devraient informer la Commission et le GECC de leur intention éventuelle d’élaborer de nouveaux schémas nationaux de certification de cybersécurité. La Commission et le GECC devraient évaluer l’incidence des nouveaux schémas nationaux de certification de cybersécurité sur le bon fonctionnement du marché intérieur, à la lumière de tout intérêt stratégique qu’il y aurait à demander, en leur lieu et place, un schéma européen de certification de cybersécurité.(94) | With a view to achieving the objectives of this Regulation and avoiding the fragmentation of the internal market, national cybersecurity certification schemes or procedures for ICT products, ICT services or ICT processes covered by a European cybersecurity certification scheme should cease to be effective from a date established by the Commission by means of implementing acts. Moreover, Member States should not introduce new national cybersecurity certification schemes for ICT products, ICT services or ICT processes already covered by an existing European cybersecurity certification scheme. However, Member States should not be prevented from adopting or maintaining national cybersecurity certification schemes for national security purposes. Member States should inform the Commission and the ECCG of any intention to draw up new national cybersecurity certification schemes. The Commission and the ECCG should evaluate the impact of the new national cybersecurity certification schemes on the proper functioning of the internal market and in light of any strategic interest in requesting a European cybersecurity certification scheme instead.
(95) | Les schémas européens de certification de cybersécurité ont vocation à contribuer à harmoniser les pratiques de cybersécurité au sein de l’Union. Ils doivent contribuer à augmenter le niveau de cybersécurité dans l’Union. La conception des schémas européens de certification de cybersécurité devrait également prendre en compte et permettre la mise au point d’innovations dans le domaine de la cybersécurité.(95) | European cybersecurity certification schemes are intended to help harmonise cybersecurity practices within the Union. They need to contribute to increasing the level of cybersecurity within the Union. The design of the European cybersecurity certification schemes should take into account and allow for the development of innovations in the field of cybersecurity.
(96) | Les schémas européens de certification de cybersécurité devraient tenir compte des méthodes actuelles de développement des logiciels et du matériel et, en particulier, de l’incidence sur des certificats de cybersécurité européens individuels de mises à jour fréquentes des logiciels ou des micrologiciels. Les schémas européens de certification de cybersécurité devraient préciser les conditions dans lesquelles une mise à jour peut nécessiter qu’un produit TIC, service TIC ou processus TIC doive être de nouveau certifié ou que le champ d’application d’un certificat de cybersécurité européen particulier doive être réduit, compte tenu des éventuels effets négatifs de la mise à jour sur le respect des exigences de ce certificat en matière de sécurité.(96) | European cybersecurity certification schemes should take into account current software and hardware development methods and, in particular, the impact of frequent software or firmware updates on individual European cybersecurity certificates. European cybersecurity certification schemes should specify the conditions under which an update may require that an ICT product, ICT service or ICT process be recertified or that the scope of a specific European cybersecurity certificate be reduced, taking into account any possible adverse effects of the update on compliance with the security requirements of that certificate.
(97) | Une fois qu’un schéma européen de certification de cybersécurité a été adopté, les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC devraient être en mesure de soumettre des demandes de certification de leurs produits TIC ou services TIC à l’organisme d’évaluation de la conformité de leur choix établi où que ce soit dans l’Union. Les organismes d’évaluation de la conformité devraient être accrédités par un organisme d’accréditation national s’ils satisfont à certaines exigences définies telles qu’elles sont énoncées dans le présent règlement. L’accréditation devrait être accordée pour une durée maximale de cinq ans et devrait pouvoir être renouvelée dans les mêmes conditions, pourvu que l’organisme d’évaluation de la conformité satisfasse encore aux exigences. L’accréditation devrait être limitée, suspendue ou révoquée par des organismes d’accréditation nationaux lorsque les conditions de l’accréditation ne sont pas ou ne sont plus remplies ou lorsque l’organisme d’évaluation de la conformité viole le présent règlement.(97) | Once a European cybersecurity certification scheme is adopted, manufacturers or providers of ICT products, ICT services or ICT processes should be able to submit applications for certification of their ICT products or ICT services to the conformity assessment body of their choice anywhere in the Union. Conformity assessment bodies should be accredited by a national accreditation body if they comply with certain specified requirements set out in this Regulation. Accreditation should be issued for a maximum of five years and should be renewable on the same conditions provided that the conformity assessment body still meets the requirements. National accreditation bodies should restrict, suspend or revoke the accreditation of a conformity assessment body where the conditions for the accreditation have not been met or are no longer met, or where the conformity assessment body infringes this Regulation.
(98) | Les références faites dans la législation nationale à des normes nationales qui ont cessé de produire leurs effets en raison de l’entrée en vigueur d’un schéma européen de certification de cybersécurité peuvent être une source de confusion. Dès lors, les États membres devraient tenir compte, dans leur législation nationale, de l’adoption d’un schéma européen de certification de cybersécurité.(98) | References in national legislation to national standards which have ceased to be effective due to the entry into force of a European cybersecurity certification scheme can be a source of confusion. Therefore, Member States should reflect the adoption of a European cybersecurity certification scheme in their national legislation.
(99) | Pour parvenir à l’équivalence des normes dans toute l’Union, faciliter la reconnaissance mutuelle et favoriser l’acceptation globale des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne, il est nécessaire de mettre en place un système d’examen par les pairs entre les autorités nationales de certification de cybersécurité. L’examen par les pairs devrait couvrir les procédures de contrôle de la conformité des produits TIC, services TIC et processus TIC avec les certificats de cybersécurité européens, de surveillance du respect des obligations des fabricants ou des fournisseurs de produits TIC, services TIC ou processus TIC qui procèdent à une autoévaluation de la conformité, et de surveillance des organismes d’évaluation de la conformité ainsi que de l’adéquation des compétences du personnel des organismes qui délivrent les certificats pour les niveaux d’assurance dits «élevés». La Commission devrait pouvoir, par voie d’actes d’exécution, établir au moins un plan quinquennal pour les examens par les pairs, et fixer les critères et les méthodes de fonctionnement du système d’examen par les pairs.(99) | In order to achieve equivalent standards throughout the Union, to facilitate mutual recognition and to promote the overall acceptance of European cybersecurity certificates and EU statements of conformity, it is necessary to put in place a system of peer review between national cybersecurity certification authorities. Peer review should cover procedures for supervising the compliance of ICT products, ICT services and ICT processes with European cybersecurity certificates, for monitoring the obligations of manufacturers or providers of ICT products, ICT services or ICT processes who carry out the conformity self-assessment, for monitoring conformity assessment bodies, as well as the appropriateness of the expertise of the staff of bodies issuing certificates for assurance level ‘high’. The Commission should be able, by means of implementing acts, to establish at least a five-year plan for peer reviews, as well as lay down criteria and methodologies for the operation of the peer review system.
(100) | Sans préjudice du système général d’examen par les pairs à mettre en place entre toutes les autorités nationales de certification de cybersécurité au sein du cadre européen de certification de cybersécurité, certains schémas européens de certification de cybersécurité peuvent comporter un mécanisme d’évaluation par les pairs pour les organismes délivrant des certificats de cybersécurité européens pour des produits TIC, services TIC et processus TIC avec un niveau d’assurance dit «élevé» en application de ces schémas. Le GECC devrait soutenir la mise en œuvre de ces mécanismes d’évaluation par les pairs. Les évaluations par les pairs devraient en particulier évaluer si les organismes concernés s’acquittent de leurs tâches de façon harmonisée, et peuvent comporter des mécanismes de recours. Les résultats des évaluations par les pairs devraient être rendus publics. Les organismes concernés peuvent adopter des mesures appropriées pour adapter leurs pratiques et leurs compétences en conséquence.(100) | Without prejudice to the general peer review system to be put in place across all national cybersecurity certification authorities within the European cybersecurity certification framework, certain European cybersecurity certification schemes may include a peer-assessment mechanism for the bodies that issue European cybersecurity certificates for ICT products, ICT services and ICT processes with an assurance level ‘high’ under such schemes. The ECCG should support the implementation of such peer-assessment mechanisms. The peer assessments should assess in particular whether the bodies concerned carry out their tasks in a harmonised way, and may include appeal mechanisms. The results of the peer assessments should be made publicly available. The bodies concerned may adopt appropriate measures to adapt their practices and expertise accordingly.
(101) | Les États membres devraient désigner une ou plusieurs autorités nationales de certification de cybersécurité afin de contrôler le respect des obligations découlant du présent règlement. Une autorité nationale de certification de cybersécurité peut être une autorité existante ou une nouvelle autorité. Un État membre devrait également pouvoir désigner, après en être convenu avec un autre État membre, une ou plusieurs autorités nationales de certification de cybersécurité sur le territoire de cet autre État membre.(101) | Member States should designate one or more national cybersecurity certification authorities to supervise compliance with obligations arising from this Regulation. A national cybersecurity certification authority may be an existing or new authority. A Member State should also be able to designate, after agreeing with another Member State, one or more national cybersecurity certification authorities in the territory of that other Member State.
(102) | Les autorités nationales de certification de cybersécurité devraient en particulier contrôler et faire respecter les obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC établis sur leur territoire respectif en ce qui concerne la déclaration de conformité de l’Union européenne, assister les organismes nationaux d’accréditation dans le contrôle et la supervision des activités des organismes d’évaluation de la conformité en leur offrant leurs compétences et en leur fournissant des informations utiles, autoriser les organismes d’évaluation de la conformité à exécuter leurs tâches lorsque ces organismes satisfont aux exigences supplémentaires fixées dans un schéma européen de certification de cybersécurité, et suivre les évolutions pertinentes dans le domaine de la certification de cybersécurité. Les autorités nationales de certification de cybersécurité devraient également traiter les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens que ces autorités ont délivrés ou en rapport avec des certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité, lorsque de tels certificats indiquent un niveau d’assurance dit «élevé», devraient examiner l’objet de la réclamation dans la mesure nécessaire et devraient informer l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable. De plus, les autorités nationales de certification de cybersécurité devraient coopérer avec d’autres autorités nationales de certification de cybersécurité ou d’autres autorités publiques, notamment en partageant des informations sur l’éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou de certains schémas européens de certification de cybersécurité spécifiques. La Commission devrait faciliter ce partage d’informations grâce à la mise à disposition d’un système général de soutien à l’information électronique, par exemple, le système d’information et de communication pour la surveillance des marchés (ICSMS) et le système européen d’échange rapide sur les produits dangereux (RAPEX) déjà utilisés par les autorités de surveillance du marché en vertu du règlement (CE) no 765/2008.(102) | National cybersecurity certification authorities should in particular monitor and enforce the obligations of manufacturers or providers of ICT products, ICT services or ICT processes established in its respective territory in relation to the EU statement of conformity, should assist the national accreditation bodies in the monitoring and supervision of the activities of conformity assessment bodies by providing them with expertise and relevant information, should authorise conformity assessment bodies to carry out their tasks where such bodies meet additional requirements set out in a European cybersecurity certification scheme, and should monitor relevant developments in the field of cybersecurity certification. National cybersecurity certification authorities should also handle complaints lodged by natural or legal persons in relation to European cybersecurity certificates issued by those authorities or in relation to European cybersecurity certificates issued by conformity assessment bodies, where such certificates indicate assurance level ‘high’, should investigate, to the extent appropriate, the subject matter of the complaint and should inform the complainant of the progress and the outcome of the investigation within a reasonable period. Moreover, national cybersecurity certification authorities should cooperate with other national cybersecurity certification authorities or other public authorities, including by the sharing of information on the possible non-compliance of ICT products, ICT services and ICT processes with the requirements of this Regulation or with specific European cybersecurity certification schemes. The Commission should facilitate that sharing of information by making available a general electronic information support system, for example the Information and Communication System on Market Surveillance (ICSMS) and the Rapid Alert System for dangerous non-food products (RAPEX), already used by market surveillance authorities pursuant to Regulation (EC) No 765/2008.
(103) | Afin d’assurer une application cohérente du cadre européen de certification de cybersécurité, un GECC qui est composé de représentants des autorités nationales de certification de cybersécurité ou d’autres autorités nationales compétentes devrait être mis en place. Les tâches principales du GECC devraient consister à conseiller et assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du cadre européen de certification de cybersécurité, à assister l’ENISA et à coopérer étroitement avec elle dans la préparation des schémas de certification de cybersécurité candidats, à demander à l’ENISA, dans des cas dûment justifiés, de préparer un schéma candidat, à adopter des avis adressés à l’ENISA sur les schémas candidats et à adopter des avis à l’intention de la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants. Le GECC devrait faciliter l’échange de bonnes pratiques et de compétences entre les diverses autorités nationales de certification de cybersécurité qui sont responsables de l’accréditation des organismes d’évaluation de la conformité et de la délivrance des certificats de cybersécurité européens.(103) | With a view to ensuring the consistent application of the European cybersecurity certification framework, an ECCG that consists of representatives of national cybersecurity certification authorities or other relevant national authorities should be established. The main tasks of the ECCG should be to advise and assist the Commission in its work towards ensuring the consistent implementation and application of the European cybersecurity certification framework, to assist and closely cooperate with ENISA in the preparation of candidate cybersecurity certification schemes, in duly justified cases to request ENISA to prepare a candidate scheme, to adopt opinions addressed to ENISA on candidate schemes and to adopt opinions addressed to the Commission on the maintenance and review of existing European cybersecurity certifications schemes. The ECCG should facilitate the exchange of good practices and expertise between the various national cybersecurity certification authorities that are responsible for the authorisation of conformity assessment bodies and the issuance of European cybersecurity certificates.
(104) | Dans une optique de sensibilisation et pour faciliter l’acceptation de futurs schémas européens de certification de cybersécurité, la Commission peut publier des lignes directrices générales ou sectorielles dans le domaine de la cybersécurité, par exemple sur les bonnes pratiques ou les comportements responsables en matière de cybersécurité, en soulignant les effets positifs de l’utilisation de produits TIC, services TIC et processus TIC certifiés.(104) | In order to raise awareness and to facilitate the acceptance of future European cybersecurity certification schemes, the Commission may issue general or sector-specific cybersecurity guidelines, for example on good cybersecurity practices or responsible cybersecurity behaviour highlighting the positive effect of the use of certified ICT products, ICT services and ICT processes.
(105) | Pour faciliter encore davantage les échanges, et compte tenu du fait que les chaînes d’approvisionnement TIC sont mondiales, des accords de reconnaissance mutuelle concernant les certificats de cybersécurité européens peuvent être conclus par l’Union conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne. La Commission, tenant compte de l’avis de l’ENISA et du GECC, peut recommander l’ouverture de négociations à cette fin. Chaque schéma européen de certification de cybersécurité devrait prévoir des conditions spécifiques pour de tels accords de reconnaissance mutuelle avec des pays tiers.(105) | In order to further facilitate trade, and recognising that ICT supply chains are global, mutual recognition agreements concerning European cybersecurity certificates may be concluded by the Union in accordance with Article 218 of the Treaty on the Functioning of the European Union (TFEU). The Commission, taking into account the advice from ENISA and the European Cybersecurity Certification Group, may recommend the opening of relevant negotiations. Each European cybersecurity certification scheme should provide specific conditions for such mutual recognition agreements with third countries.
(106) | Afin d’assurer des conditions uniformes d’exécution du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (22).(106) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council (22).
(107) | Il convient d’avoir recours à la procédure d’examen pour l’adoption d’actes d’exécution concernant les schémas européens de certification de cybersécurité applicables à des produits TIC, services TIC ou processus TIC, pour l’adoption d’actes d’exécution concernant les modalités d’exécution des enquêtes menées par l’ENISA, pour l’adoption d’actes d’exécution concernant un plan pour l’examen par les pairs des autorités nationales de certification de cybersécurité et pour l’adoption d’actes d’exécution concernant les circonstances, les formats et les procédures de notification à la Commission des organismes d’évaluation de la conformité accrédités par les autorités nationales de certification de cybersécurité.(107) | The examination procedure should be used for the adoption of implementing acts on European cybersecurity certification schemes for ICT products, ICT services or ICT processes, for the adoption of implementing acts on arrangements for carrying out inquiries by ENISA, for the adoption of implementing acts on a plan for the peer review of national cybersecurity certification authorities, as well as for the adoption of implementing acts on the circumstances, formats and procedures of notifications of accredited conformity assessment bodies by the national cybersecurity certification authorities to the Commission.
(108) | Les activités de l’ENISA devraient faire l’objet d’évaluations régulières et indépendantes. Ces évaluations devraient porter sur les objectifs, les méthodes de travail et la pertinence des tâches de l’ENISA, en particulier les tâches qui ont trait à la coopération opérationnelle au niveau de l’Union. Ces évaluations devraient également porter sur l’impact, l’efficacité et l’efficience du cadre européen de certification de cybersécurité. En cas de réexamen, la Commission devrait évaluer comment le rôle de l’ENISA en tant que point de référence pour les conseils et les compétences peut être renforcé, et devrait également évaluer le rôle que l’ENISA pourrait jouer pour soutenir l’évaluation des produits TIC, services TIC et processus TIC de pays tiers qui ne respectent pas les règles de l’Union, lorsque ces produits, services et processus entrent dans l’Union.(108) | ENISA’s operations should be subject to regular and independent evaluation. That evaluation should have regard to ENISA’s objectives, its working practices and the relevance of its tasks, in particular its tasks relating to the operational cooperation at Union level. That evaluation should also assess the impact, effectiveness and efficiency of the European cybersecurity certification framework. In the event of a review, the Commission should evaluate how ENISA’s role as a reference point for advice and expertise can be reinforced and should also evaluate the possibility of a role for ENISA in supporting the assessment of third country ICT products, ICT services and ICT processes that do not comply with Union rules, where such products, services and processes enter the Union.
(109) | Étant donné que les objectifs du présent règlement ne peuvent pas être atteints de manière suffisante par les États membres, mais peuvent, en raison de ses dimensions et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.(109) | Since the objectives of this Regulation cannot be sufficiently achieved by the Member States but can rather, by reason of its scale and effects, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve those objectives.
(110) | Il y a lieu d’abroger le règlement (UE) no 526/2013,(110) | Regulation (EU) No 526/2013 should be repealed,
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:HAVE ADOPTED THIS REGULATION:
TITRE ITITLE I
DISPOSITIONS GÉNÉRALESGENERAL PROVISIONS
Article premierArticle 1
Objet et champ d’applicationSubject matter and scope
1.   En vue d’assurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de l’Union, le présent règlement fixe:1.   With a view to ensuring the proper functioning of the internal market while aiming to achieve a high level of cybersecurity, cyber resilience and trust within the Union, this Regulation lays down:
a) | les objectifs, les tâches et les questions organisationnelles concernant l’ENISA (l’Agence de l’Union européenne pour la cybersécurité); et(a) | objectives, tasks and organisational matters relating to ENISA (the European Union Agency for Cybersecurity); and
b) | un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union.(b) | a framework for the establishment of European cybersecurity certification schemes for the purpose of ensuring an adequate level of cybersecurity for ICT products, ICT services and ICT processes in the Union, as well as for the purpose of avoiding the fragmentation of the internal market with regard to cybersecurity certification schemes in the Union.
Le cadre visé au premier alinéa, point b), s’applique sans préjudice des dispositions spécifiques d’autres actes juridiques de l’Union en matière de certification volontaire ou obligatoire.The framework referred to in point (b) of the first subparagraph applies without prejudice to specific provisions in other Union legal acts regarding voluntary or mandatory certification.
2.   Le présent règlement est sans préjudice des compétences des États membres en ce qui concerne les activités relatives à la sécurité publique, à la défense et à la sécurité nationale, et les activités de l’État dans des domaines du droit pénal.2.   This Regulation is without prejudice to the competences of the Member States regarding activities concerning public security, defence, national security and the activities of the State in areas of criminal law.
Article 2Article 2
DéfinitionsDefinitions
Aux fins du présent règlement, on entend par:For the purposes of this Regulation, the following definitions apply:
1) | «cybersécurité», les actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces;(1) | ‘cybersecurity’ means the activities necessary to protect network and information systems, the users of such systems, and other persons affected by cyber threats;
2) | «réseau et système d’information», un réseau et système d’information au sens de l’article 4, point 1), de la directive (UE) 2016/1148;(2) | ‘network and information system’ means a network and information system as defined in point (1) of Article 4 of Directive (EU) 2016/1148;
3) | «stratégie nationale en matière de sécurité des réseaux et des systèmes d’information», une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information au sens de l’article 4, point 3), de la directive (UE) 2016/1148;(3) | ‘national strategy on the security of network and information systems’ means a national strategy on the security of network and information systems as defined in point (3) of Article 4 of Directive (EU) 2016/1148;
4) | «opérateur de services essentiels», un opérateur de services essentiels au sens de l’article 4, point 4), de la directive (UE) 2016/1148;(4) | ‘operator of essential services’ means an operator of essential services as defined in point (4) of Article 4 of Directive (EU) 2016/1148;
5) | «fournisseur de service numérique», un fournisseur de service numérique au sens de l’article 4, point 6), de la directive (UE) 2016/1148;(5) | ‘digital service provider’ means a digital service provider as defined in point (6) of Article 4 of Directive (EU) 2016/1148;
6) | «incident», un incident au sens de l’article 4, point 7), de la directive (UE) 2016/1148;(6) | ‘incident’ means an incident as defined in point (7) of Article 4 of Directive (EU) 2016/1148;
7) | «gestion d’incident», la gestion d’incident au sens de l’article 4, point 8), de la directive (UE) 2016/1148;(7) | ‘incident handling’ means incident handling as defined in point (8) of Article 4 of Directive (EU) 2016/1148;
8) | «cybermenace», toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d’information, aux utilisateurs de tels systèmes et à d’autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes;(8) | ‘cyber threat’ means any potential circumstance, event or action that could damage, disrupt or otherwise adversely impact network and information systems, the users of such systems and other persons;
9) | «schéma européen de certification de cybersécurité», un ensemble complet de règles, d’exigences techniques, de normes et de procédures qui sont établies à l’échelon de l’Union et qui s’appliquent à la certification ou à l’évaluation de la conformité de produits TIC, services TIC ou processus TIC spécifiques;(9) | ‘European cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures that are established at Union level and that apply to the certification or conformity assessment of specific ICT products, ICT services or ICT processes;
10) | «schéma national de certification de cybersécurité», un ensemble complet de règles, d’exigences techniques, de normes et de procédures élaborées et adoptées par une autorité publique nationale et qui s’appliquent à la certification ou à l’évaluation de la conformité des produits TIC, services TIC et processus TIC relevant de ce schéma spécifique;(10) | ‘national cybersecurity certification scheme’ means a comprehensive set of rules, technical requirements, standards and procedures developed and adopted by a national public authority and that apply to the certification or conformity assessment of ICT products, ICT services and ICT processes falling under the scope of the specific scheme;
11) | «certificat de cybersécurité européen», un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité;(11) | ‘European cybersecurity certificate’ means a document issued by a relevant body, attesting that a given ICT product, ICT service or ICT process has been evaluated for compliance with specific security requirements laid down in a European cybersecurity certification scheme;
12) | «produit TIC», un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information;(12) | ‘ICT product’ means an element or a group of elements of a network or information system;
13) | «service TIC», un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information;(13) | ‘ICT service’ means a service consisting fully or mainly in the transmission, storing, retrieving or processing of information by means of network and information systems;
14) | «processus TIC», un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance;(14) | ‘ICT process’ means a set of activities performed to design, develop, deliver or maintain an ICT product or ICT service;
15) | «accréditation», l’accréditation au sens de l’article 2, point 10), du règlement (CE) no 765/2008;(15) | ‘accreditation’ means accreditation as defined in point (10) of Article 2 of Regulation (EC) No 765/2008;
16) | «organisme national d’accréditation», un organisme national d’accréditation au sens de l’article 2, point 11), du règlement (CE) no 765/2008;(16) | ‘national accreditation body’ means a national accreditation body as defined in point (11) of Article 2 of Regulation (EC) No 765/2008;
17) | «évaluation de la conformité», une évaluation de la conformité au sens de l’article 2, point 12), du règlement (CE) no 765/2008;(17) | ‘conformity assessment’ means a conformity assessment as defined in point (12) of Article 2 of Regulation (EC) No 765/2008;
18) | «organisme d’évaluation de la conformité», un organisme d’évaluation de la conformité au sens de l’article 2, point 13), du règlement (CE) no 765/2008;(18) | ‘conformity assessment body’ means a conformity assessment body as defined in point (13) of Article 2 of Regulation (EC) No 765/2008;
19) | «norme», une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012;(19) | ‘standard’ means a standard as defined in point (1) of Article 2 of Regulation (EU) No 1025/2012;
20) | «spécification technique», un document qui établit les exigences techniques auxquelles un produit TIC, service TIC ou processus TIC doit répondre ou des procédures d’évaluation de la conformité afférentes à un produit TIC, service TIC ou processus TIC;(20) | ‘technical specification’ means a document that prescribes the technical requirements to be met by, or conformity assessment procedures relating to, an ICT product, ICT service or ICT process;
21) | «niveau d’assurance», le fondement permettant de garantir qu’un produit TIC, service TIC ou processus TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité spécifique, indique le niveau auquel un produit TIC, service TIC ou processus TIC a été évalué mais, en tant que tel, ne mesure pas la sécurité du produit TIC, service TIC ou processus TIC concerné;(21) | ‘assurance level’ means a basis for confidence that an ICT product, ICT service or ICT process meets the security requirements of a specific European cybersecurity certification scheme, indicates the level at which an ICT product, ICT service or ICT process has been evaluated but as such does not measure the security of the ICT product, ICT service or ICT process concerned;
22) | «autoévaluation de la conformité», une action effectuée par un fabricant ou un fournisseur de produits TIC, services TIC ou processus TIC, qui évalue si ces produits TIC, services TIC ou processus TIC satisfont aux exigences fixées dans un schéma européen de certification de cybersécurité spécifique.(22) | ‘conformity self-assessment’ means an action carried out by a manufacturer or provider of ICT products, ICT services or ICT processes, which evaluates whether those ICT products, ICT services or ICT processes meet the requirements of a specific European cybersecurity certification scheme.
TITRE IITITLE II
ENISA (L’AGENCE DE L’UNION EUROPÉENNE POUR LA CYBERSÉCURITÉ)ENISA (THE EUROPEAN UNION AGENCY FOR CYBERSECURITY)
CHAPITRE ICHAPTER I
Mandat et objectifsMandate and objectives
Article 3Article 3
MandatMandate
1.   L’ENISA exécute les tâches qui lui sont assignées par le présent règlement dans le but de parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, y compris en aidant activement les États membres et les institutions, organes et organismes de l’Union à améliorer la cybersécurité. L’ENISA sert de point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l’Union ainsi que pour les autres parties prenantes concernées de l’Union.1.   ENISA shall carry out the tasks assigned to it under this Regulation for the purpose of achieving a high common level of cybersecurity across the Union, including by actively supporting Member States, Union institutions, bodies, offices and agencies in improving cybersecurity. ENISA shall act as a reference point for advice and expertise on cybersecurity for Union institutions, bodies, offices and agencies as well as for other relevant Union stakeholders.
L’ENISA contribue à réduire la fragmentation du marché intérieur en s’acquittant des tâches qui lui sont assignées en vertu du présent règlement.ENISA shall contribute to reducing the fragmentation of the internal market by carrying out the tasks assigned to it under this Regulation.
2.   L’ENISA exécute les tâches qui lui sont assignées par des actes juridiques de l’Union établissant des mesures destinées à rapprocher les dispositions législatives, réglementaires et administratives des États membres relatives à la cybersécurité.2.   ENISA shall carry out the tasks assigned to it by Union legal acts that set out measures for approximating Member State laws, regulations and administrative provisions which are related to cybersecurity.
3.   Dans l’accomplissement de ses tâches, l’ENISA agit de façon indépendante tout en évitant la duplication des activités des États membres et en tenant compte des compétences existantes des États membres.3.   When carrying out its tasks, ENISA shall act independently while avoiding the duplication of Member State activities and taking into consideration existing Member State expertise.
4.   L’ENISA développe ses ressources propres, y compris les capacités et les aptitudes techniques et humaines, nécessaires pour exécuter les tâches qui lui sont assignées en vertu du présent règlement.4.   ENISA shall develop its own resources, including technical and human capabilities and skills, necessary to perform the tasks assigned to it under this Regulation.
Article 4Article 4
ObjectifsObjectives
1.   L’ENISA est un centre de compétences en matière de cybersécurité du fait de son indépendance, de la qualité scientifique et technique des conseils et de l’assistance qu’elle dispense, des informations qu’elle fournit, de la transparence de ses procédures de fonctionnement, des modes de fonctionnement et de sa diligence à exécuter ses tâches.1.   ENISA shall be a centre of expertise on cybersecurity by virtue of its independence, the scientific and technical quality of the advice and assistance it delivers, the information it provides, the transparency of its operating procedures, the methods of operation, and its diligence in carrying out its tasks.
2.   L’ENISA assiste les institutions, organes et organismes de l’Union, ainsi que les États membres, dans l’élaboration et la mise en œuvre des politiques de l’Union liées à la cybersécurité, y compris les politiques sectorielles concernant la cybersécurité.2.   ENISA shall assist the Union institutions, bodies, offices and agencies, as well as Member States, in developing and implementing Union policies related to cybersecurity, including sectoral policies on cybersecurity.
3.   L’ENISA soutient le renforcement des capacités et contribue à l’état de préparation au sein de l’Union en aidant les institutions, organes et organismes de l’Union, ainsi que les États membres et les parties prenantes des secteurs public et privé, à accroître la protection de leurs réseaux et systèmes d’information, à développer et à améliorer les capacités de cyber-résilience et de cyber-réaction, et à développer des aptitudes et des compétences dans le domaine de la cybersécurité.3.   ENISA shall support capacity-building and preparedness across the Union by assisting the Union institutions, bodies, offices and agencies, as well as Member States and public and private stakeholders, to increase the protection of their network and information systems, to develop and improve cyber resilience and response capacities, and to develop skills and competencies in the field of cybersecurity.
4.   L’ENISA favorise la coopération, notamment le partage d’informations et la coordination au niveau de l’Union, entre les États membres, les institutions, organes et organismes de l’Union et les parties prenantes concernées des secteurs public et privé en ce qui concerne les questions liées à la cybersécurité.4.   ENISA shall promote cooperation, including information sharing and coordination at Union level, among Member States, Union institutions, bodies, offices and agencies, and relevant private and public stakeholders on matters related to cybersecurity.
5.   L’ENISA contribue à renforcer les capacités dans le domaine de la cybersécurité au niveau de l’Union afin de soutenir les actions des États membres pour prévenir les cybermenaces et réagir à celles-ci, notamment en cas d’incidents transfrontières.5.   ENISA shall contribute to increasing cybersecurity capabilities at Union level in order to support the actions of Member States in preventing and responding to cyber threats, in particular in the event of cross-border incidents.
6.   L’ENISA favorise le recours à la certification européenne de cybersécurité en vue d’éviter la fragmentation du marché intérieur. L’ENISA contribue à l’établissement et au maintien d’un cadre européen de certification de cybersécurité, conformément au titre III du présent règlement, en vue de rendre plus transparente la cybersécurité des produits TIC, services TIC et processus TIC et, partant, de rehausser la confiance dans le marché intérieur numérique et la compétitivité de ce dernier.6.   ENISA shall promote the use of European cybersecurity certification, with a view to avoiding the fragmentation of the internal market. ENISA shall contribute to the establishment and maintenance of a European cybersecurity certification framework in accordance with Title III of this Regulation, with a view to increasing the transparency of the cybersecurity of ICT products, ICT services and ICT processes, thereby strengthening trust in the digital internal market and its competitiveness.
7.   L’ENISA promeut un niveau élevé de sensibilisation des citoyens, des organisations et des entreprises aux questions liées à la cybersécurité, y compris en matière d’hygiène informatique et d’habileté numérique.7.   ENISA shall promote a high level of cybersecurity awareness, including cyber-hygiene and cyber-literacy among citizens, organisations and businesses.
CHAPITRE IICHAPTER II
TâchesTasks
Article 5Article 5
Élaboration et mise en œuvre de la politique et du droit de l’UnionDevelopment and implementation of Union policy and law
L’ENISA contribue à l’élaboration et à la mise en œuvre de la politique et du droit de l’Union:ENISA shall contribute to the development and implementation of Union policy and law, by:
1) | en apportant son concours et en fournissant des conseils concernant l’élaboration et la révision de la politique et du droit de l’Union dans le domaine de la cybersécurité, et concernant les initiatives politiques et législatives sectorielles mettant en jeu des questions liées à la cybersécurité, notamment en fournissant des avis et des analyses indépendants, ainsi qu’en effectuant des travaux préparatoires;(1) | assisting and advising on the development and review of Union policy and law in the field of cybersecurity and on sector-specific policy and law initiatives where matters related to cybersecurity are involved, in particular by providing its independent opinion and analysis as well as carrying out preparatory work;
2) | en aidant les États membres à mettre en œuvre la politique et le droit de l’Union en matière de cybersécurité de manière cohérente, notamment en ce qui concerne la directive (UE) 2016/1148, y compris en délivrant des avis et des lignes directrices, et en fournissant des conseils et des meilleures pratiques sur des thèmes tels que la gestion des risques, le signalement des incidents et le partage d’informations, ainsi qu’en facilitant l’échange de meilleures pratiques entre les autorités compétentes à cet égard;(2) | assisting Member States to implement the Union policy and law regarding cybersecurity consistently, in particular in relation to Directive (EU) 2016/1148, including by means of issuing opinions, guidelines, providing advice and best practices on topics such as risk management, incident reporting and information sharing, as well as by facilitating the exchange of best practices between competent authorities in that regard;
3) | en aidant les États membres et les institutions, organes et organismes de l’Union à élaborer et à promouvoir des politiques en matière de cybersécurité visant à soutenir la disponibilité ou l’intégrité générales du noyau public de l’internet ouvert;(3) | assisting Member States and Union institutions, bodies, offices and agencies in developing and promoting cybersecurity policies related to sustaining the general availability or integrity of the public core of the open internet;
4) | en contribuant, par ses compétences et son concours, aux travaux du groupe de coopération institué en application de l’article 11 de la directive (UE) 2016/1148;(4) | contributing to the work of the Cooperation Group pursuant to Article 11 of Directive (EU) 2016/1148, by providing its expertise and assistance;
5) | en soutenant: | a) | l’élaboration et la mise en œuvre de la politique de l’Union dans le domaine de l’identification électronique et des services de confiance, en particulier en fournissant des conseils et en délivrant des lignes directrices techniques, ainsi qu’en facilitant l’échange de meilleures pratiques entre les autorités compétentes; | b) | la promotion d’une amélioration du niveau de sécurité des communications électroniques, y compris en fournissant des conseils et des compétences, ainsi qu’en facilitant l’échange de meilleures pratiques entre les autorités compétentes; | c) | les États membres dans la mise en œuvre d’aspects spécifiques en matière de cybersécurité des politiques et du droit de l’Union concernant la protection des données et la vie privée, y compris en fournissant des avis au comité européen de la protection des données à sa demande;(5) | supporting: | (a) | the development and implementation of Union policy in the field of electronic identity and trust services, in particular by providing advice and issuing technical guidelines, as well as by facilitating the exchange of best practices between competent authorities; | (b) | the promotion of an enhanced level of security of electronic communications, including by providing advice and expertise, as well as by facilitating the exchange of best practices between competent authorities; | (c) | Member States in the implementation of specific cybersecurity aspects of Union policy and law relating to data protection and privacy, including by providing advice to the European Data Protection Board upon request;
6) | en soutenant le réexamen périodique des activités liées aux politiques de l’Union, par la préparation d’un rapport annuel sur l’état d’avancement de la mise en œuvre du cadre juridique applicable en ce qui concerne: | a) | les informations sur les notifications d’incidents des États membres transmises par les points de contact uniques au groupe de coopération conformément à l’article 10, paragraphe 3, de la directive (UE) 2016/1148; | b) | les résumés des notifications d’atteinte à la sécurité ou de perte d’intégrité reçues des prestataires de services de confiance et transmises à l’ENISA par les organes de contrôle, conformément à l’article 19, paragraphe 3, du règlement (UE) no 910/2014 du Parlement européen et du Conseil (23); | c) | les notifications d’incidents de sécurité transmises par les fournisseurs de réseaux de communications publics ou de services de communications électroniques accessibles au public, fournies à l’ENISA par les autorités compétentes, conformément à l’article 40 de la directive (UE) 2018/1972.(6) | supporting the regular review of Union policy activities by preparing an annual report on the state of the implementation of the respective legal framework regarding: | (a) | information on Member States’ incident notifications provided by the single points of contact to the Cooperation Group pursuant to Article 10(3) of Directive (EU) 2016/1148; | (b) | summaries of notifications of breach of security or loss of integrity received from trust service providers provided by the supervisory bodies to ENISA, pursuant to Article 19(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council (23); | (c) | notifications of security incidents transmitted by the providers of public electronic communications networks or of publicly available electronic communications services, provided by the competent authorities to ENISA, pursuant to Article 40 of Directive (EU) 2018/1972.
Article 6Article 6
Renforcement des capacitésCapacity-building
1.   L’ENISA assiste:1.   ENISA shall assist:
a) | les États membres dans leurs efforts pour améliorer la prévention, la détection et l’analyse des cybermenaces et incidents, ainsi que la capacité d’y réagir, en leur fournissant des connaissances et des compétences;(a) | Member States in their efforts to improve the prevention, detection and analysis of, and the capability to respond to cyber threats and incidents by providing them with knowledge and expertise;
b) | les États membres et les institutions, organes et organismes de l’Union pour établir et mettre en œuvre, sur une base volontaire, des politiques en matière de divulgation des vulnérabilités;(b) | Member States and Union institutions, bodies, offices and agencies in establishing and implementing vulnerability disclosure policies on a voluntary basis;
c) | les institutions, organes et organismes de l’Union dans leurs efforts pour améliorer la prévention, la détection et l’analyse des cybermenaces et incidents, et pour améliorer leur capacité à y réagir, notamment en apportant un soutien adapté à la CERT-UE;(c) | Union institutions, bodies, offices and agencies in their efforts to improve the prevention, detection and analysis of cyber threats and incidents and to improve their capabilities to respond to such cyber threats and incidents, in particular through appropriate support for the CERT-EU;
d) | les États membres dans la mise en place de CSIRT nationaux, lorsqu’ils le demandent conformément à l’article 9, paragraphe 5, de la directive (UE) 2016/1148;(d) | Member States in developing national CSIRTs, where requested pursuant to Article 9(5) of Directive (EU) 2016/1148;
e) | les États membres dans l’élaboration de stratégies nationales en matière de sécurité des réseaux et des systèmes d’information, lorsqu’ils le demandent conformément à l’article 7, paragraphe 2, de la directive (UE) 2016/1148, et favorise la diffusion de ces stratégies et prend note de l’avancement de leur mise en œuvre dans toute l’Union afin de promouvoir les meilleures pratiques;(e) | Member States in developing national strategies on the security of network and information systems, where requested pursuant to Article 7(2) of Directive (EU) 2016/1148, and promote the dissemination of those strategies and note the progress in their implementation across the Union in order to promote best practices;
f) | les institutions de l’Union dans l’élaboration et la révision des stratégies de l’Union en matière de cybersécurité, la promotion de leur diffusion et le suivi de l’avancement de leur mise en œuvre;(f) | Union institutions in developing and reviewing Union strategies regarding cybersecurity, promoting their dissemination and tracking the progress in their implementation;
g) | les CSIRT nationaux et de l’Union dans le relèvement du niveau de leurs capacités, y compris en favorisant le dialogue et les échanges d’informations, pour faire en sorte que chaque CSIRT, eu égard à l’état de l’art, possède un socle commun de capacités minimales et fonctionne selon les meilleures pratiques;(g) | national and Union CSIRTs in raising the level of their capabilities, including by promoting dialogue and exchanges of information, with a view to ensuring that, with regard to the state of the art, each CSIRT possesses a common set of minimum capabilities and operates according to best practices;
h) | les États membres en organisant régulièrement les exercices de cybersécurité au niveau de l’Union visés à l’article 7, paragraphe 5, au moins tous les deux ans, et en formulant des recommandations en vue d’actions sur la base de l’évaluation de ces exercices et des enseignements qui en ont été tirés;(h) | Member States by regularly organising the cybersecurity exercises at Union level referred to in Article 7(5) on at least a biennial basis and by making policy recommendations based on the evaluation process of the exercises and lessons learned from them;
i) | les organismes publics concernés en proposant des formations sur la cybersécurité, le cas échéant en coopération avec des parties prenantes;(i) | relevant public bodies by offering trainings regarding cybersecurity, where appropriate in cooperation with stakeholders;
j) | le groupe de coopération pour ce qui est de l’échange de meilleures pratiques, notamment en ce qui concerne l’identification, par les États membres, des opérateurs de services essentiels, conformément à l’article 11, paragraphe 3, point l), de la directive (UE) 2016/1148, y compris au regard des dépendances transfrontières, en matière de risques et d’incidents.(j) | the Cooperation Group, in the exchange of best practices, in particular with regard to the identification by Member States of operators of essential services, pursuant to point (l) of Article 11(3) of Directive (EU) 2016/1148, including in relation to cross-border dependencies, regarding risks and incidents.
2.   L’ENISA soutient le partage d’informations au sein des secteurs et entre ceux-ci, en particulier dans les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148, en fournissant des meilleures pratiques et des orientations sur les outils disponibles, les procédures, ainsi que la manière de traiter les questions de réglementation liées au partage d’informations.2.   ENISA shall support information sharing in and between sectors, in particular in the sectors listed in Annex II to Directive (EU) 2016/1148, by providing best practices and guidance on available tools, procedures, as well as on how to address regulatory issues related to information-sharing.
Article 7Article 7
Coopération opérationnelle au niveau de l’UnionOperational cooperation at Union level
1.   L’ENISA apporte son soutien à la coopération opérationnelle entre les États membres, les institutions, organes et organismes de l’Union, et entre les parties prenantes.1.   ENISA shall support operational cooperation among Member States, Union institutions, bodies, offices and agencies, and between stakeholders.
2.   L’ENISA coopère sur le plan opérationnel et crée des synergies avec les institutions, organes et organismes de l’Union, y compris la CERT-UE, avec les services traitant de la cybercriminalité et avec les autorités de contrôle responsables de la protection de la vie privée et des données à caractère personnel, en vue de traiter des questions d’intérêt commun, y compris:2.   ENISA shall cooperate at the operational level and establish synergies with Union institutions, bodies, offices and agencies, including the CERT-EU, with the services dealing with cybercrime and with supervisory authorities dealing with the protection of privacy and personal data, with a view to addressing issues of common concern, including by means of:
a) | en échangeant savoir-faire et meilleures pratiques;(a) | the exchange of know-how and best practices;
b) | en fournissant des conseils et des lignes directrices sur des questions pertinentes liées à la cybersécurité;(b) | the provision of advice and issuing of guidelines on relevant matters related to cybersecurity;
c) | en établissant les modalités pratiques de l’exécution de tâches spécifiques, après consultation de la Commission.(c) | the establishment of practical arrangements for the execution of specific tasks, after consulting the Commission.
3.   L’ENISA assure le secrétariat du réseau des CSIRT, conformément à l’article 12, paragraphe 2, de la directive (UE) 2016/1148 et, à ce titre, elle soutient activement le partage d’informations et la coopération entre les membres de ce réseau.3.   ENISA shall provide the secretariat of the CSIRTs network pursuant to Article 12(2) of Directive (EU) 2016/1148, and in that capacity shall actively support the information sharing and the cooperation among its members.
4.   L’ENISA soutient les États membres en ce qui concerne la coopération opérationnelle au sein du réseau des CSIRT:4.   ENISA shall support Member States with respect to operational cooperation within the CSIRTs network by:
a) | en prodiguant des conseils sur la façon d’améliorer leur capacité à prévenir et à détecter les incidents ainsi qu’à y réagir et, à la demande d’un ou de plusieurs États membres, en prodiguant des conseils concernant une cybermenace spécifique;(a) | advising on how to improve their capabilities to prevent, detect and respond to incidents and, at the request of one or more Member States, providing advice in relation to a specific cyber threat;
b) | en prêtant son assistance, à la demande d’un ou de plusieurs États membres, dans l’évaluation des incidents ayant un impact significatif ou substantiel, en les faisant bénéficier de compétences et en facilitant la gestion technique de tels incidents, en particulier en soutenant le partage volontaire d’informations et de solutions techniques pertinentes entre États membres;(b) | assisting, at the request of one or more Member States, in the assessment of incidents having a significant or substantial impact through the provision of expertise and facilitating the technical handling of such incidents including in particular by supporting the voluntary sharing of relevant information and technical solutions between Member States;
c) | en analysant les vulnérabilités et les incidents à l’aide des informations publiquement disponibles ou des informations fournies volontairement par les États membres à cet effet; et(c) | analysing vulnerabilities and incidents on the basis of publicly available information or information provided voluntarily by Member States for that purpose; and
d) | à la demande d’un ou de plusieurs États membres, en apportant un soutien en rapport avec les enquêtes techniques ex post sur les incidents ayant un impact significatif ou substantiel au sens de la directive (UE) 2016/1148.(d) | at the request of one or more Member States, providing support in relation to ex-post technical inquiries regarding incidents having a significant or substantial impact within the meaning of Directive (EU) 2016/1148.
Dans l’accomplissement de ces tâches, l’ENISA mène avec la CERT-UE une coopération structurée afin de tirer avantage des synergies et d’éviter une duplication des activités.In performing those tasks, ENISA and CERT-EU shall engage in structured cooperation to benefit from synergies and to avoid the duplication of activities.
5.   L’ENISA organise régulièrement des exercices de cybersécurité à l’échelle de l’Union, et aide, à leur demande, les États membres et les institutions, organes et organismes de l’Union à organiser des exercices de cybersécurité. De tels exercices de cybersécurité à l’échelle de l’Union peuvent comporter des aspects techniques, opérationnels ou stratégiques. Tous les deux ans, l’ENISA organise un exercice global à grande échelle.5.   ENISA shall regularly organise cybersecurity exercises at Union level, and shall support Member States and Union institutions, bodies, offices and agencies in organising cybersecurity exercises following their requests. Such cybersecurity exercises at Union level may include technical, operational or strategic elements. On a biennial basis, ENISA shall organise a large-scale comprehensive exercise.
Le cas échéant, l’ENISA contribue également à des exercices de cybersécurité sectoriels, qu’elle aide à organiser, en collaboration avec des organisations compétentes qui peuvent participer également à des exercices de cybersécurité à l’échelle de l’Union.Where appropriate, ENISA shall also contribute to and help organise sectoral cybersecurity exercises together with relevant organisations that also participate in cybersecurity exercises at Union level.
6.   L’ENISA prépare à intervalles réguliers, en coopération étroite avec les États membres, un rapport approfondi de situation technique en matière de cybersécurité de l’Union européenne sur les incidents et cybermenaces dans l’Union, sur la base d’informations publiquement disponibles, de ses propres analyses et des rapports que lui communiquent notamment les CSIRT des États membres ou les points de contact uniques institués par la directive (UE) 2016/1148, sur une base volontaire dans les deux cas, l’EC3 et la CERT-UE.6.   ENISA, in close cooperation with the Member States, shall prepare a regular in-depth EU Cybersecurity Technical Situation Report on incidents and cyber threats based on publicly available information, its own analysis, and reports shared by, among others, the Member States’ CSIRTs or the single points of contact established by Directive (EU) 2016/1148, both on a voluntary basis, EC3 and CERT-EU.
7.   L’ENISA contribue à l’élaboration d’une réaction concertée au niveau de l’Union et des États membres en cas d’incidents ou de crises transfrontières de cybersécurité majeurs, principalement:7.   ENISA shall contribute to developing a cooperative response at Union and Member States level to large-scale cross-border incidents or crises related to cybersecurity, mainly by:
a) | en agrégeant et en analysant des rapports provenant de sources nationales qui sont dans le domaine public ou qui sont partagés sur une base volontaire en vue de contribuer à former une appréciation commune de la situation;(a) | aggregating and analysing reports from national sources that are in the public domain or shared on a voluntary basis with a view to contributing to the establishment of common situational awareness;
b) | en assurant une circulation efficace de l’information et en proposant des mécanismes de remontée des décisions entre le réseau des CSIRT et les décideurs techniques et politiques au niveau de l’Union;(b) | ensuring the efficient flow of information and the provision of escalation mechanisms between the CSIRTs network and the technical and political decision-makers at Union level;
c) | à la demande, en facilitant la gestion technique de tels incidents ou crises, en particulier en favorisant le partage volontaire de solutions techniques entre les États membres;(c) | upon request, facilitating the technical handling of such incidents or crises, including, in particular, by supporting the voluntary sharing of technical solutions between Member States;
d) | en soutenant les institutions, organes et organismes de l’Union et, à leur demande, les États membres dans la communication publique relative à tels incidents ou crises;(d) | supporting Union institutions, bodies, offices and agencies and, at their request, Member States, in the public communication relating to such incidents or crises;
e) | en mettant à l’épreuve les plans de coopération destinés à réagir à de tels incidents ou crises au niveau de l’Union et en aidant les États membres, à leur demande, à mettre de tels plans à l’épreuve au niveau national.(e) | testing the cooperation plans for responding to such incidents or crises at Union level and, at their request, supporting Member States in testing such plans at national level.
Article 8Article 8
Marché, certification de cybersécurité et normalisationMarket, cybersecurity certification, and standardisation
1.   L’ENISA soutient et favorise l’élaboration et la mise en œuvre de la politique de l’Union en matière de certification de cybersécurité des produits TIC, services TIC et processus TIC, telle qu’elle est établie au titre III du présent règlement:1.   ENISA shall support and promote the development and implementation of Union policy on cybersecurity certification of ICT products, ICT services and ICT processes, as established in Title III of this Regulation, by:
a) | en surveillant, en permanence, les évolutions dans les domaines connexes de la normalisation et en recommandant des spécifications techniques d’utilisation appropriées dans le développement des schémas européens de certification de cybersécurité en application de l’article 54, paragraphe 1, point c), dans les cas où il n’existe aucune norme;(a) | monitoring developments, on an ongoing basis, in related areas of standardisation and recommending appropriate technical specifications for use in the development of European cybersecurity certification schemes pursuant to point (c) of Article 54(1) where standards are not available;
b) | en préparant des schémas européens de certification de cybersécurité candidats (ci-après dénommés «schémas candidats») pour des produits TIC, services TIC et processus TIC, conformément à l’article 49;(b) | preparing candidate European cybersecurity certification schemes (‘candidate schemes’) for ICT products, ICT services and ICT processes in accordance with Article 49;
c) | en évaluant les schémas européens de certification de cybersécurité, conformément à l’article 49, paragraphe 8;(c) | evaluating adopted European cybersecurity certification schemes in accordance with Article 49(8);
d) | en participant aux examens par les pairs, conformément à l’article 59, paragraphe 4;(d) | participating in peer reviews pursuant to Article 59(4);
e) | en aidant la Commission à assurer le secrétariat du GECC, conformément à l’article 62, paragraphe 5.(e) | assisting the Commission in providing the secretariat of the ECCG pursuant to Article 62(5).
2.   L’ENISA assure le secrétariat du groupe des parties prenantes pour la certification de cybersécurité, conformément à l’article 22, paragraphe 4.2.   ENISA shall provide the secretariat of the Stakeholder Cybersecurity Certification Group pursuant to Article 22(4).
3.   L’ENISA compile et publie des lignes directrices et met au point des bonnes pratiques en ce qui concerne les exigences de cybersécurité de produits TIC, services TIC et processus TIC, en coopération avec les autorités nationales de certification de cybersécurité et les entreprises du secteur d’une façon formelle, structurée et transparente.3.   ENISA shall compile and publish guidelines and develop good practices, concerning the cybersecurity requirements for ICT products, ICT services and ICT processes, in cooperation with national cybersecurity certification authorities and industry in a formal, structured and transparent way.
4.   L’ENISA contribue à un renforcement des capacités en matière de processus d’évaluation et de certification, en compilant et en délivrant des lignes directrices ainsi qu’en fournissant un soutien aux États membres, à leur demande.4.   ENISA shall contribute to capacity-building related to evaluation and certification processes by compiling and issuing guidelines as well as by providing support to Member States at their request.
5.   L’ENISA facilite l’établissement et l’adoption de normes européennes et internationales en matière de gestion des risques et de sécurité des produits TIC, services TIC et processus TIC.5.   ENISA shall facilitate the establishment and take-up of European and international standards for risk management and for the security of ICT products, ICT services and ICT processes.
6.   L’ENISA formule, en collaboration avec les États membres et les entreprises du secteur, des avis et des lignes directrices concernant les domaines techniques liés aux exigences de sécurité qui s’imposent aux opérateurs de services essentiels et aux fournisseurs de services numériques, et concernant les normes existantes, y compris les normes nationales des États membres, en application de l’article 19, paragraphe 2, de la directive (UE) 2016/1148.6.   ENISA shall draw up, in collaboration with Member States and industry, advice and guidelines regarding the technical areas related to the security requirements for operators of essential services and digital service providers, as well as regarding already existing standards, including Member States’ national standards, pursuant to Article 19(2) of Directive (EU) 2016/1148.
7.   L’ENISA effectue et diffuse, à intervalles réguliers, des analyses des principales tendances du marché de la cybersécurité, tant du côté de la demande que du côté de l’offre, en vue de stimuler le marché de la cybersécurité dans l’Union.7.   ENISA shall perform and disseminate regular analyses of the main trends in the cybersecurity market on both the demand and supply sides, with a view to fostering the cybersecurity market in the Union.
Article 9Article 9
Connaissance et informationKnowledge and information
L’ENISA:ENISA shall:
a) | analyse les technologies émergentes et fournit des évaluations thématiques sur les incidences escomptées des innovations technologiques en matière de cybersécurité, du point de vue sociétal, juridique, économique et réglementaire;(a) | perform analyses of emerging technologies and provide topic-specific assessments on the expected societal, legal, economic and regulatory impact of technological innovations on cybersecurity;
b) | produit des analyses stratégiques à long terme des cybermenaces et des incidents afin d’identifier les tendances émergentes et de contribuer à prévenir les incidents;(b) | perform long-term strategic analyses of cyber threats and incidents in order to identify emerging trends and help prevent incidents;
c) | en coopération avec des experts des autorités des États membres et les parties prenantes concernées, fournit des avis, des orientations et des meilleures pratiques en matière de sécurité des réseaux et des systèmes d’information, en particulier pour la sécurité des infrastructures sur lesquelles s’appuient les secteurs énumérés à l’annexe II de la directive (UE) 2016/1148 et de celles utilisées par les fournisseurs des services numériques énumérés à l’annexe III de ladite directive;(c) | in cooperation with experts from Member States authorities and relevant stakeholders, provide advice, guidance and best practices for the security of network and information systems, in particular for the security of the infrastructures supporting the sectors listed in Annex II to Directive (EU) 2016/1148 and those used by the providers of the digital services listed in Annex III to that Directive;
d) | par l’intermédiaire d’un portail spécialisé, regroupe, organise et met à la disposition du public des informations sur la cybersécurité, fournies par les institutions, organes et organismes de l’Union et des informations sur la cybersécurité fournies, sur une base volontaire, par les États membres et les parties prenantes des secteurs public et privé;(d) | through a dedicated portal, pool, organise and make available to the public information on cybersecurity provided by the Union institutions, bodies, offices and agencies and information on cybersecurity provided on a voluntary basis by Member States and private and public stakeholders;
e) | collecte et analyse des informations du domaine public sur les incidents importants, et rédige des rapports en vue de fournir des orientations aux citoyens, organisations et entreprises dans toute l’Union.(e) | collect and analyse publicly available information regarding significant incidents and compile reports with a view to providing guidance to citizens, organisations and businesses across the Union.
Article 10Article 10
Sensibilisation et éducationAwareness-raising and education
L’ENISA:ENISA shall:
a) | sensibilise le public aux risques liés à la cybersécurité et fournit, à l’intention des citoyens, des organisations et des entreprises, des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels, y compris en matière d’hygiène informatique et d’habileté numérique;(a) | raise public awareness of cybersecurity risks, and provide guidance on good practices for individual users aimed at citizens, organisations and businesses, including cyber-hygiene and cyber-literacy;
b) | en coopération avec les États membres, ainsi que les institutions, organes et organismes de l’Union et les entreprises du secteur, organise à intervalles réguliers des campagnes d’information afin de renforcer la cybersécurité et d’en accroître la visibilité dans l’Union, et encourage un large débat public;(b) | in cooperation with the Member States, Union institutions, bodies, offices and agencies and industry, organise regular outreach campaigns to increase cybersecurity and its visibility in the Union and encourage a broad public debate;
c) | aide les États membres dans leurs efforts visant à mieux faire connaître la cybersécurité et à promouvoir l’éducation à la cybersécurité;(c) | assist Member States in their efforts to raise cybersecurity awareness and promote cybersecurity education;
d) | encourage une coordination plus étroite et l’échange de meilleures pratiques entre les États membres en matière de sensibilisation et d’éducation à la cybersécurité.(d) | support closer coordination and exchange of best practices among Member States on cybersecurity awareness and education.
Article 11Article 11
Recherche et innovationResearch and innovation
En ce qui concerne la recherche et l’innovation, l’ENISA:In relation to research and innovation, ENISA shall:
a) | conseille les institutions, organes et organismes de l’Union et les États membres sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité, afin que des réponses efficaces puissent être apportées aux risques et aux cybermenaces actuels et émergents, y compris en ce qui concerne les technologies de l’information et de la communication nouvelles et émergentes, et afin que les technologies de prévention des risques soient utilisées de manière efficace;(a) | advise the Union institutions, bodies, offices and agencies and the Member States on research needs and priorities in the field of cybersecurity, with a view to enabling effective responses to current and emerging risks and cyber threats, including with respect to new and emerging information and communications technologies, and with a view to using risk-prevention technologies effectively;
b) | participe, lorsque la Commission lui a conféré les pouvoirs correspondants, à la phase de mise en œuvre des programmes de financement de la recherche et de l’innovation, ou est bénéficiaire de ces programmes;(b) | where the Commission has conferred the relevant powers on it, participate in the implementation phase of research and innovation funding programmes or as a beneficiary;
c) | contribue au programme stratégique de recherche et d’innovation au niveau de l’Union dans le domaine de la cybersécurité.(c) | contribute to the strategic research and innovation agenda at Union level in the field of cybersecurity.
Article 12Article 12
Coopération internationaleInternational cooperation
L’ENISA contribue aux efforts de l’Union pour coopérer avec les pays tiers et les organisations internationales, ainsi qu’au sein des cadres internationaux de coopération pertinents, afin de promouvoir une coopération internationale sur les problèmes de cybersécurité:ENISA shall contribute to the Union’s efforts to cooperate with third countries and international organisations as well as within relevant international cooperation frameworks to promote international cooperation on issues related to cybersecurity, by:
a) | le cas échéant, en s’impliquant en tant qu’observateur dans l’organisation d’exercices internationaux, ainsi qu’en analysant les résultats de ces exercices et en en rendant compte au conseil d’administration;(a) | where appropriate, engaging as an observer in the organisation of international exercises, and analysing and reporting to the Management Board on the outcome of such exercises;
b) | à la demande de la Commission, en facilitant l’échange de meilleures pratiques;(b) | at the request of the Commission, facilitating the exchange of best practices;
c) | à la demande de la Commission, en lui faisant bénéficier de ses compétences;(c) | at the request of the Commission, providing it with expertise;
d) | en fournissant des conseils et un soutien à la Commission sur les questions relatives aux accords de reconnaissance mutuelle des certificats de cybersécurité avec des pays tiers, en collaboration avec le GECC institué en vertu de l’article 62.(d) | providing advice and support to the Commission on matters concerning agreements for the mutual recognition of cybersecurity certificates with third countries, in collaboration with the ECCG established under Article 62.
CHAPITRE IIICHAPTER III
Organisation de l’ENISAOrganisation of ENISA
Article 13Article 13
Structure de l’ENISAStructure of ENISA
La structure administrative et de gestion de l’ENISA comprend:The administrative and management structure of ENISA shall be composed of the following:
a) | un conseil d’administration;(a) | a Management Board;
b) | un conseil exécutif;(b) | an Executive Board;
c) | un directeur exécutif;(c) | an Executive Director;
d) | un groupe consultatif de l’ENISA;(d) | an ENISA Advisory Group;
e) | un réseau des agents de liaison nationaux.(e) | a National Liaison Officers Network.
Section 1Section 1
Conseil d’administrationManagement Board
Article 14Article 14
Composition du conseil d’administrationComposition of the Management Board
1.   Le conseil d’administration est composé d’un membre nommé par chaque État membre, et de deux membres nommés par la Commission. Tous les membres disposent du droit de vote.1.   The Management Board shall be composed of one member appointed by each Member State, and two members appointed by the Commission. All members shall have the right to vote.
2.   Chaque membre du conseil d’administration dispose d’un suppléant. Ce suppléant représente le membre en son absence.2.   Each member of the Management Board shall have an alternate. That alternate shall represent the member in the member’s absence.
3.   Les membres du conseil d’administration et leurs suppléants sont nommés sur la base de leurs connaissances dans le domaine de la cybersécurité, compte tenu de leurs aptitudes managériales, administratives et budgétaires pertinentes. La Commission et les États membres s’efforcent de limiter le roulement de leurs représentants au sein du conseil d’administration, afin de garantir la continuité des travaux du conseil d’administration. La Commission et les États membres visent à atteindre une représentation hommes-femmes équilibrée au sein du conseil d’administration.3.   Members of the Management Board and their alternates shall be appointed on the basis of their knowledge in the field of cybersecurity, taking into account their relevant managerial, administrative and budgetary skills. The Commission and the Member States shall make efforts to limit the turnover of their representatives on the Management Board, in order to ensure continuity of the Management Board’s work. The Commission and the Member States shall aim to achieve gender balance on the Management Board.
4.   La durée du mandat des membres du conseil d’administration et de leurs suppléants est de quatre ans. Ce mandat est renouvelable.4.   The term of office of the members of the Management Board and their alternates shall be four years. That term shall be renewable.
Article 15Article 15
Fonctions du conseil d’administrationFunctions of the Management Board
1.   Le conseil d’administration:1.   The Management Board shall:
a) | fixe l’orientation générale du fonctionnement de l’ENISA et veille à ce que l’ENISA fonctionne conformément aux règles et principes fixés dans le présent règlement; il assure aussi la cohérence des travaux de l’ENISA avec les activités menées par les États membres ainsi qu’au niveau de l’Union;(a) | establish the general direction of the operation of ENISA and ensure that ENISA operates in accordance with the rules and principles laid down in this Regulation; it shall also ensure the consistency of ENISA’s work with activities conducted by the Member States as well as at Union level;
b) | adopte le projet de document unique de programmation de l’ENISA visé à l’article 24, avant de le soumettre pour avis à la Commission;(b) | adopt ENISA’s draft single programming document referred to in Article 24, before its submission to the Commission for an opinion;
c) | adopte le document unique de programmation de l’ENISA, en tenant compte de l’avis de la Commission;(c) | adopt ENISA’s single programming document, taking into account the Commission opinion;
d) | supervise la mise en œuvre de la programmation annuelle et pluriannuelle contenue dans le document unique de programmation;(d) | supervise the implementation of the multiannual and annual programming included in the single programming document;
e) | adopte le budget annuel de l’ENISA et exerce d’autres fonctions en ce qui concerne le budget de l’ENISA conformément au chapitre IV;(e) | adopt the annual budget of ENISA and exercise other functions in respect of ENISA’s budget in accordance with Chapter IV;
f) | évalue et adopte le rapport annuel consolidé sur les activités de l’ENISA, y compris les comptes et une description de la manière dont l’ENISA a atteint ses indicateurs de performance, et transmet, au plus tard le 1er juillet de l’année suivante, le rapport annuel et l’évaluation de ce rapport au Parlement européen, au Conseil, à la Commission et à la Cour des comptes; elle publie le rapport annuel;(f) | assess and adopt the consolidated annual report on ENISA’s activities, including the accounts and a description of how ENISA has met its performance indicators, submit both the annual report and the assessment thereof by 1 July of the following year, to the European Parliament, to the Council, to the Commission and to the Court of Auditors, and make the annual report public;
g) | adopte les règles financières applicables à l’ENISA, conformément à l’article 32;(g) | adopt the financial rules applicable to ENISA in accordance with Article 32;
h) | adopte une stratégie antifraude qui est proportionnée aux risques de fraude compte tenu de l’analyse coûts-bénéfices des mesures à mettre en œuvre;(h) | adopt an anti-fraud strategy that is proportionate to the fraud risks, having regard to a cost-benefit analysis of the measures to be implemented;
i) | adopte des règles en matière de prévention et de gestion des conflits d’intérêts concernant ses membres;(i) | adopt rules for the prevention and management of conflicts of interest in respect of its members;
j) | assure le suivi approprié des conclusions et des recommandations découlant des enquêtes de l’Office européen de lutte antifraude (OLAF) et des divers rapports d’audit et évaluations internes et externes;(j) | ensure adequate follow-up to the findings and recommendations resulting from investigations of the European Anti-Fraud Office (OLAF) and the various internal or external audit reports and evaluations;
k) | adopte son règlement intérieur, y compris les règles relatives aux décisions provisoires sur la délégation de tâches spécifiques, en vertu de l’article 19, paragraphe 7;(k) | adopt its rules of procedure, including rules for provisional decisions on the delegation of specific tasks, pursuant to Article 19(7);
l) | exerce, à l’égard du personnel de l’ENISA, les compétences qui sont dévolues par le statut des fonctionnaires de l’Union européenne (ci-après dénommé «statut des fonctionnaires») et le régime applicable aux autres agents de l’Union européenne (ci-après dénommé «régime applicable aux autres agents»), fixés par le règlement (CEE, Euratom, CECA) no 259/68 du Conseil (24), à l’autorité investie du pouvoir de nomination et à l’autorité habilitée à conclure les contrats d’engagement (ci-après dénommées «compétences de l’autorité investie du pouvoir de nomination») conformément au paragraphe 2 du présent article;(l) | with respect to the staff of ENISA, exercise the powers conferred by the Staff Regulations of Officials (the ‘Staff Regulations of Officials’) and the Conditions of Employment of Other Servants of the European Union (the ‘Conditions of Employment of Other Servants’), laid down in Council Regulation (EEC, Euratom, ECSC) No 259/68 (24) on the appointing authority and on the Authority Empowered to Conclude a Contract of Employment (‘appointing authority powers’) in accordance with paragraph 2 of this Article;
m) | arrête les règles d’exécution du statut des fonctionnaires et du régime applicable aux autres agents conformément à la procédure prévue à l’article 110 du statut des fonctionnaires;(m) | adopt rules implementing the Staff Regulations of Officials and the Conditions of Employment of Other Servants in accordance with the procedure provided for in Article 110 of the Staff Regulations of Officials;
n) | nomme le directeur exécutif et, le cas échéant, proroge son mandat ou le démet de ses fonctions conformément à l’article 36;(n) | appoint the Executive Director and where relevant extend his or her term of office or remove him or her from office in accordance with Article 36;
o) | nomme un comptable, qui peut être le comptable de la Commission et qui est totalement indépendant dans l’exercice de ses fonctions;(o) | appoint an accounting officer, who may be the Commission’s accounting officer, who shall be wholly independent in the performance of his or her duties;
p) | prend toutes les décisions relatives à la mise en place des structures internes de l’ENISA et, le cas échéant, à leur modification, en tenant compte des besoins liés à l’activité de l’ENISA et en respectant le principe d’une gestion budgétaire saine;(p) | take all decisions concerning the establishment of ENISA’s internal structures and, where necessary, the modification of those internal structures, taking into consideration ENISA’s activity needs and having regard to sound budgetary management;
q) | autorise la conclusion d’arrangements de travail conformément à l’article 7;(q) | authorise the establishment of working arrangements with regard to Article 7;
r) | autorise l’élaboration ou la conclusion d’arrangements de travail conformément à l’article 42.(r) | authorise the establishment or conclusion of working arrangements in accordance with Article 42.
2.   Conformément à l’article 110 du statut des fonctionnaires, le conseil d’administration adopte une décision fondée sur l’article 2, paragraphe 1, du statut des fonctionnaires et sur l’article 6 du régime applicable aux autres agents, déléguant au directeur exécutif les compétences correspondantes dévolues à l’autorité investie du pouvoir de nomination et définissant les conditions dans lesquelles cette délégation de compétences peut être suspendue. Le directeur exécutif peut sous-déléguer ces compétences.2.   In accordance with Article 110 of the Staff Regulations of Officials, the Management Board shall adopt a decision based on Article 2(1) of the Staff Regulations of Officials and Article 6 of the Conditions of Employment of Other Servants, delegating the relevant appointing authority powers to the Executive Director and determining the conditions under which that delegation of powers can be suspended. The Executive Director may sub-delegate those powers.
3.   Lorsque des circonstances exceptionnelles l’exigent, le conseil d’administration peut adopter une décision en vue de suspendre temporairement la délégation au directeur exécutif des compétences dévolues à l’autorité investie du pouvoir de nomination ainsi que les compétences dévolues à l’autorité investie du pouvoir de nomination sous-déléguées par le directeur exécutif, pour les exercer lui-même ou les déléguer à l’un de ses membres ou à un membre du personnel autre que le directeur exécutif.3.   Where exceptional circumstances so require, the Management Board may adopt a decision to temporarily suspend the delegation of appointing authority powers to the Executive Director and any appointing authority powers sub-delegated by the Executive Director and instead exercise them itself or delegate them to one of its members or to a staff member other than the Executive Director.
Article 16Article 16
Présidence du conseil d’administrationChairperson of the Management Board
Le conseil d’administration élit un président et un vice-président parmi ses membres, à la majorité des deux tiers des membres. La durée de leur mandat est de quatre ans; ce mandat est renouvelable une fois. Cependant, si le président ou le vice-président perd sa qualité de membre du conseil d’administration à un moment quelconque de son mandat, ledit mandat expire automatiquement à la même date. Le vice-président remplace le président d’office lorsque celui-ci n’est pas en mesure d’assumer ses fonctions.The Management Board shall elect a Chairperson and a Deputy Chairperson from among its members, by a majority of two thirds of the members. Their terms of office shall be four years, which shall be renewable once. If, however, their membership of the Management Board ends at any time during their term of office, their term of office shall automatically expire on that date. The Deputy Chair shall replace the Chairperson ex officio if the Chairperson is unable to attend to his or her duties.
Article 17Article 17
Réunions du conseil d’administrationMeetings of the Management Board
1.   Les réunions du conseil d’administration sont convoquées par son président.1.   Meetings of the Management Board shall be convened by its Chairperson.
2.   Le conseil d’administration tient une réunion ordinaire au moins deux fois par an. Il tient aussi des réunions extraordinaires à l’initiative de son président, à la demande de la Commission ou à la demande d’au moins un tiers de ses membres.2.   The Management Board shall hold at least two ordinary meetings a year. It shall also hold extraordinary meetings at the request of its Chairperson, at the request of the Commission, or at the request of at least one third of its members.
3.   Le directeur exécutif participe aux réunions du conseil d’administration mais ne dispose pas du droit de vote.3.   The Executive Director shall take part in the meetings of the Management Board but shall not have the right to vote.
4.   Sur invitation du président, des membres du groupe consultatif de l’ENISA peuvent participer aux réunions du conseil d’administration, mais ne disposent pas du droit de vote.4.   Members of the ENISA Advisory Group may take part in the meetings of the Management Board at the invitation of the Chairperson, but shall not have the right to vote.
5.   Les membres du conseil d’administration et leurs suppléants peuvent, dans le respect du règlement intérieur du conseil d’administration, être assistés au cours des réunions du conseil d’administration par des conseillers ou des experts.5.   The members of the Management Board and their alternates may be assisted at the meetings of the Management Board by advisers or experts, subject to the rules of procedure of the Management Board.
6.   L’ENISA assure le secrétariat du conseil d’administration.6.   ENISA shall provide the secretariat of the Management Board.
Article 18Article 18
Règles de vote du conseil d’administrationVoting rules of the Management Board
1.   Les décisions du conseil d’administration sont prises à la majorité de ses membres.1.   The Management Board shall take its decisions by a majority of its members.
2.   Une majorité des deux tiers des membres du conseil d’administration est nécessaire pour adopter le document unique de programmation et le budget annuel, et pour nommer le directeur exécutif, proroger son mandat ou le révoquer.2.   A majority of two-thirds of the members of the Management Board shall be required for the adoption of the single programming document and of the annual budget and for the appointment, extension of the term of office or removal of the Executive Director.
3.   Chaque membre dispose d’une voix. En l’absence d’un membre, son suppléant peut exercer le droit de vote du membre.3.   Each member shall have one vote. In the absence of a member, their alternate shall be entitled to exercise the member’s right to vote.
4.   Le président du conseil d’administration prend part au vote.4.   The Chairperson of the Management Board shall take part in the voting.
5.   Le directeur exécutif ne prend pas part au vote.5.   The Executive Director shall not take part in the voting.
6.   Le règlement intérieur du conseil d’administration fixe les modalités détaillées du vote, notamment les conditions dans lesquelles un membre peut agir au nom d’un autre membre.6.   The Management Board’s rules of procedure shall establish more detailed voting arrangements, in particular the circumstances in which a member may act on behalf of another member.
Section 2Section 2
Conseil exécutifExecutive Board
Article 19Article 19
Conseil exécutifExecutive Board
1.   Le conseil d’administration est assisté d’un conseil exécutif.1.   The Management Board shall be assisted by an Executive Board.
2.   Le conseil exécutif:2.   The Executive Board shall:
a) | prépare les décisions qui doivent être adoptées par le conseil d’administration;(a) | prepare decisions to be adopted by the Management Board;
b) | assure, avec le conseil d’administration, le suivi approprié des conclusions et des recommandations découlant des enquêtes de l’OLAF ainsi que des divers rapports d’audit et des évaluations internes ou externes;(b) | together with the Management Board, ensure the adequate follow-up to the findings and recommendations stemming from investigations of OLAF and the various internal or external audit reports and evaluations;
c) | sans préjudice des tâches du directeur exécutif énoncées à l’article 20, assiste et conseille le directeur exécutif dans la mise en œuvre des décisions du conseil d’administration relatives à des questions administratives et budgétaires, conformément à l’article 20.(c) | without prejudice to the responsibilities of the Executive Director set out in Article 20, assist and advise the Executive Director in implementing the decisions of the Management Board on administrative and budgetary matters pursuant to Article 20.
3.   Le conseil exécutif est composé de cinq membres. Les membres du conseil exécutif sont nommés parmi les membres du conseil d’administration. Un des membres est le président du conseil d’administration, qui peut également présider le conseil exécutif, et un autre membre est un des représentants de la Commission. Les nominations des membres du conseil exécutif visent à assurer une représentation hommes-femmes équilibrée au sein du conseil exécutif. Le directeur exécutif participe aux réunions du conseil exécutif, mais ne dispose pas du droit de vote.3.   The Executive Board shall be composed of five members. The members of the Executive Board shall be appointed from among the members of the Management Board. One of the members shall be the Chairperson of the Management Board, who may also chair the Executive Board, and another shall be one of the representatives of the Commission. The appointments of the members of the Executive Board shall aim to ensure gender balance on the Executive Board. The Executive Director shall take part in the meetings of the Executive Board but shall not have the right to vote.
4.   La durée du mandat des membres du conseil exécutif est de quatre ans. Ce mandat est renouvelable.4.   The term of office of the members of the Executive Board shall be four years. That term shall be renewable.
5.   Le conseil exécutif se réunit au moins une fois par trimestre. Le président du conseil exécutif convoque des réunions supplémentaires à la demande de ses membres.5.   The Executive Board shall meet at least once every three months. The Chairperson of the Executive Board shall convene additional meetings at the request of its members.
6.   Le conseil d’administration établit le règlement intérieur du conseil exécutif.6.   The Management Board shall lay down the rules of procedure of the Executive Board.
7.   Lorsque l’urgence le requiert, le conseil exécutif peut prendre certaines décisions provisoires au nom du conseil d’administration, en particulier sur des questions de gestion administrative, comme la suspension de la délégation des compétences dévolues à l’autorité investie du pouvoir de nomination, et sur des questions budgétaires. De telles décisions provisoires sont notifiées sans retard indu. Le conseil d’administration décide ensuite s’il approuve ou s’il rejette la décision provisoire trois mois au plus tard après la prise de décision. Le conseil exécutif ne prend pas de décisions au nom du conseil d’administration qui doivent être approuvées par une majorité des deux tiers des membres du conseil d’administration.7.   When necessary because of urgency, the Executive Board may take certain provisional decisions on behalf of the Management Board, in particular on administrative management matters, including the suspension of the delegation of the appointing authority powers and budgetary matters. Any such provisional decisions shall be notified to the Management Board without undue delay. The Management Board shall then decide whether to approve or reject the provisional decision no later than three months after the decision was taken. The Executive Board shall not take decisions on behalf of the Management Board that require the approval of a majority of two-thirds of the members of the Management Board.
Section 3Section 3
Directeur exécutifExecutive Director
Article 20Article 20
Tâches du directeur exécutifDuties of the Executive Director
1.   L’ENISA est gérée par son directeur exécutif, qui est indépendant dans l’exécution de ses tâches. Le directeur exécutif rend compte de ses activités au conseil d’administration.1.   ENISA shall be managed by its Executive Director, who shall be independent in the performance of his or her duties. The Executive Director shall be accountable to the Management Board.
2.   Le directeur exécutif fait rapport au Parlement européen sur l’exécution de ses tâches, lorsqu’il y est invité. Le Conseil peut inviter le directeur exécutif à lui faire rapport sur l’exécution de ses tâches.2.   The Executive Director shall report to the European Parliament on the performance of his or her duties when invited to do so. The Council may invite the Executive Director to report on the performance of his or her duties.
3.   Le directeur exécutif est chargé:3.   The Executive Director shall be responsible for:
a) | d’assurer l’administration courante de l’ENISA;(a) | the day-to-day administration of ENISA;
b) | de mettre en œuvre les décisions adoptées par le conseil d’administration;(b) | implementing the decisions adopted by the Management Board;
c) | de préparer le projet de document unique de programmation et de le soumettre au conseil d’administration pour approbation, avant qu’il ne soit soumis à la Commission;(c) | preparing the draft single programming document and submitting it to the Management Board for approval before its submission to the Commission;
d) | de mettre en œuvre le document unique de programmation et d’en faire rapport au conseil d’administration;(d) | implementing the single programming document and reporting to the Management Board thereon;
e) | de préparer le rapport annuel consolidé sur les activités de l’ENISA, y compris la mise en œuvre du programme de travail annuel de l’ENISA, et de le présenter au conseil d’administration pour évaluation et adoption;(e) | preparing the consolidated annual report on ENISA’s activities, including the implementation of ENISA’s annual work programme, and presenting it to the Management Board for assessment and adoption;
f) | de préparer un plan d’action faisant suite aux conclusions des évaluations rétrospectives et de faire rapport tous les deux ans à la Commission sur les progrès accomplis;(f) | preparing an action plan that follows up on the conclusions of the retrospective evaluations, and reporting on progress every two years to the Commission;
g) | de préparer un plan d’action donnant suite aux conclusions des rapports d’audit internes ou externes, ainsi qu’aux enquêtes de l’OLAF, et de présenter des rapports semestriels à la Commission et des rapports réguliers au conseil d’administration sur les progrès accomplis;(g) | preparing an action plan that follows up on the conclusions of internal or external audit reports, as well as on investigations by OLAF and reporting on progress biannually to the Commission and regularly to the Management Board;
h) | de préparer le projet de règles financières applicables à l’ENISA visé à l’article 32;(h) | preparing the draft financial rules applicable to ENISA as referred to in Article 32;
i) | de préparer le projet d’état prévisionnel des recettes et dépenses de l’ENISA et d’exécuter son budget;(i) | preparing ENISA’s draft statement of estimates of revenue and expenditure and implementing its budget;
j) | de protéger les intérêts financiers de l’Union par l’application de mesures préventives contre la fraude, la corruption et d’autres activités illégales, par des contrôles efficaces et, si des irrégularités sont constatées, par le recouvrement des montants indûment payés et, le cas échéant, par des sanctions administratives et financières effectives, proportionnées et dissuasives;(j) | protecting the financial interests of the Union by the application of preventive measures against fraud, corruption and any other illegal activities, by effective checks and, if irregularities are detected, by the recovery of the amounts wrongly paid and, where appropriate, by effective, proportionate and dissuasive administrative and financial penalties;
k) | de préparer une stratégie antifraude pour l’ENISA et de la présenter au conseil d’administration pour approbation;(k) | preparing an anti-fraud strategy for ENISA and presenting it to the Management Board for approval;
l) | d’établir et de maintenir le contact avec le secteur des entreprises et les organisations de consommateurs afin d’assurer un dialogue régulier avec les parties prenantes concernées;(l) | developing and maintaining contact with the business community and consumers’ organisations to ensure regular dialogue with relevant stakeholders;
m) | d’avoir un échange de vues et d’informations régulier avec les institutions, organes et organismes de l’Union sur leurs activités en matière de cybersécurité, pour assurer la cohérence dans l’élaboration et dans la mise en œuvre de la politique de l’Union;(m) | exchanging views and information regularly with Union institutions, bodies, offices and agencies regarding their activities relating to cybersecurity to ensure coherence in the development and the implementation of Union policy;
n) | d’exécuter les autres tâches qui sont assignées au directeur exécutif par le présent règlement.(n) | carrying out other tasks assigned to the Executive Director by this Regulation.
4.   En tant que de besoin et dans le cadre des objectifs et tâches de l’ENISA, le directeur exécutif peut créer des groupes de travail ad hoc composés d’experts, y compris des experts des autorités compétentes des États membres. Le directeur exécutif en informe le conseil d’administration au préalable. Les procédures concernant en particulier la composition des groupes de travail, la nomination par le directeur exécutif des experts qui composent les groupes de travail et le fonctionnement de ces groupes sont précisées dans les règles internes de fonctionnement de l’ENISA.4.   Where necessary and within ENISA’s objectives and tasks, the Executive Director may set up ad hoc working groups composed of experts, including experts from the Member States’ competent authorities. The Executive Director shall inform the Management Board in advance thereof. The procedures regarding in particular the composition of the working groups, the appointment of the experts of the working groups by the Executive Director and the operation of the working groups shall be specified in ENISA’s internal rules of operation.
5.   Lorsque cela s’avère nécessaire, à l’effet d’exécuter les tâches de l’ENISA de manière efficiente et efficace et sur la base d’une analyse coûts-bénéfices appropriée, le directeur exécutif peut décider d’établir un ou plusieurs bureaux locaux dans un ou plusieurs États membres. Avant de prendre une décision sur l’établissement d’un bureau local, le directeur exécutif demande l’avis des États membres concernés, notamment l’État membre dans lequel est situé le siège de l’ENISA, et obtient le consentement préalable de la Commission et du conseil d’administration. En cas de désaccord, au cours de la procédure de consultation, entre le directeur exécutif et les États membres concernés, la question est soumise au Conseil pour discussion. Les effectifs agrégés de l’ensemble des bureaux locaux sont maintenus au minimum et ne dépassent pas 40 % des effectifs totaux de l’ENISA en place dans l’État membre où se situe le siège de l’ENISA. Les effectifs de chaque bureau local ne dépassent pas 10 % des effectifs totaux de l’ENISA en place dans l’État membre où se situe le siège de l’ENISA.5.   Where necessary, for the purpose of carrying out ENISA’s tasks in an efficient and effective manner and based on an appropriate cost-benefit analysis, the Executive Director may decide to establish one or more local offices in one or more Member States. Before deciding to establish a local office, the Executive Director shall seek the opinion of the Member States concerned, including the Member State in which the seat of ENISA is located, and shall obtain the prior consent of the Commission and the Management Board. In cases of disagreement during the consultation process between the Executive Director and the Member States concerned, the issue shall be brought to the Council for discussion. The aggregate number of staff in all local offices shall be kept to a minimum and shall not exceed 40 % of the total number of ENISA’s staff located in the Member State in which the seat of ENISA is located. The number of the staff in each local office shall not exceed 10 % of the total number of ENISA’s staff located in the Member State in which the seat of ENISA is located.
La décision établissant un bureau local précise la portée des activités confiées à ce bureau local de manière à éviter des coûts inutiles et une duplication des fonctions administratives de l’ENISA.The decision establishing a local office shall specify the scope of the activities to be carried out at the local office in a manner that avoids unnecessary costs and duplication of administrative functions of ENISA.
Section 4Section 4
Groupe consultatif de l’ENISA, groupe des parties prenantes pour la certification de cybersécurité et réseau des agents de liaison nationauxENISA Advisory Group, Stakeholder Cybersecurity Certification Group and National Liaison Officers Network
Article 21Article 21
Groupe consultatif de l’ENISAENISA Advisory Group
1.   Le conseil d’administration crée de manière transparente, sur proposition du directeur exécutif, le groupe consultatif de l’ENISA composé d’experts reconnus représentant les parties prenantes concernées, telles que les entreprises du secteur des TIC, les fournisseurs de réseaux ou de services de communications électroniques accessibles au public, les PME, les opérateurs de services essentiels, les organisations de consommateurs, les experts universitaires en matière de cybersécurité, les représentants des autorités compétentes qui ont fait l’objet d’une notification conformément à la directive (UE) 2018/1972, les organisations européennes de normalisation ainsi que les autorités chargées de l’application de la loi et les autorités de contrôle de la protection des données. Le conseil d’administration s’efforce d’assurer un équilibre approprié entre les hommes et les femmes et un équilibre géographique, ainsi qu’un équilibre entre les différents groupes de parties prenantes.1.   The Management Board, acting on a proposal from the Executive Director, shall establish in a transparent manner the ENISA Advisory Group composed of recognised experts representing the relevant stakeholders, such as the ICT industry, providers of electronic communications networks or services available to the public, SMEs, operators of essential services, consumer groups, academic experts in the field of cybersecurity, and representatives of competent authorities notified in accordance with Directive (EU) 2018/1972, of European standardisation organisations, as well as of law enforcement and data protection supervisory authorities. The Management Board shall aim to ensure an appropriate gender and geographical balance as well as a balance between the different stakeholder groups.
2.   Les procédures applicables au groupe consultatif de l’ENISA, notamment en ce qui concerne sa composition, la proposition du directeur exécutif visée au paragraphe 1, le nombre de membres et leur nomination, ainsi que le fonctionnement du groupe consultatif de l’ENISA sont précisées dans les règles internes de fonctionnement de l’ENISA et sont rendues publiques.2.   Procedures for the ENISA Advisory Group, in particular regarding its composition, the proposal by the Executive Director referred to in paragraph 1, the number and appointment of its members and the operation of the ENISA Advisory Group, shall be specified in ENISA’s internal rules of operation and shall be made public.
3.   Le groupe consultatif de l’ENISA est présidé par le directeur exécutif ou par toute personne qu’il désigne à cet effet au cas par cas.3.   The ENISA Advisory Group shall be chaired by the Executive Director or by any person whom the Executive Director appoints on a case-by-case basis.
4.   La durée du mandat des membres du groupe consultatif de l’ENISA est de deux ans et demi. Les membres du conseil d’administration ne peuvent pas être membres du groupe consultatif de l’ENISA. Des experts de la Commission et des États membres sont autorisés à assister aux réunions et à prendre part aux travaux du groupe consultatif de l’ENISA. Des représentants d’autres organismes jugés intéressants par le directeur exécutif, qui ne sont pas membres du groupe consultatif de l’ENISA, peuvent être invités à assister aux réunions du groupe consultatif de l’ENISA et à prendre part à ses travaux.4.   The term of office of the members of the ENISA Advisory Group shall be two-and-a-half years. Members of the Management Board shall not be members of the ENISA Advisory Group. Experts from the Commission and the Member States shall be entitled to be present at the meetings of the ENISA Advisory Group and to participate in its work. Representatives of other bodies deemed to be relevant by the Executive Director, who are not members of the ENISA Advisory Group, may be invited to attend the meetings of the ENISA Advisory Group and to participate in its work.
5.   Le groupe consultatif de l’ENISA conseille l’ENISA en ce qui concerne l’exécution des tâches de celle-ci, excepté l’application des dispositions du titre III du présent règlement. Il conseille en particulier le directeur exécutif pour ce qui est de l’élaboration d’une proposition de programme de travail annuel pour l’ENISA et de la communication à assurer avec les parties prenantes concernées sur les questions liées au programme de travail annuel.5.   The ENISA Advisory Group shall advise ENISA in respect of the performance of ENISA’s tasks, except of the application of the provisions of Title III of this Regulation. It shall in particular advise the Executive Director on the drawing up of a proposal for ENISA’s annual work programme, and on ensuring communication with the relevant stakeholders on issues related to the annual work programme.
6.   Le groupe consultatif de l’ENISA informe régulièrement le conseil d’administration de ses activités.6.   The ENISA Advisory Group shall inform the Management Board of its activities on a regular basis.
Article 22Article 22
Groupe des parties prenantes pour la certification de cybersécuritéStakeholder Cybersecurity Certification Group
1.   Il est établi un groupe des parties prenantes pour la certification de cybersécurité.1.   The Stakeholder Cybersecurity Certification Group shall be established.
2.   Le groupe des parties prenantes pour la certification de cybersécurité se compose de membres sélectionnés parmi des experts reconnus représentant les parties prenantes concernées. La Commission, à la suite d’un appel transparent et ouvert, sélectionne, sur la base d’une proposition de l’ENISA, les membres du groupe des parties prenantes pour la certification de cybersécurité en assurant un équilibre entre les différents groupes de parties prenantes ainsi qu’un équilibre approprié entre les hommes et les femmes et un équilibre géographique.2.   The Stakeholder Cybersecurity Certification Group shall be composed of members selected from among recognised experts representing the relevant stakeholders. The Commission, following a transparent and open call, shall select, on the basis of a proposal from ENISA, members of the Stakeholder Cybersecurity Certification Group ensuring a balance between the different stakeholder groups as well as an appropriate gender and geographical balance.
3.   Le groupe des parties prenantes pour la certification de cybersécurité est chargé:3.   The Stakeholder Cybersecurity Certification Group shall:
a) | de conseiller la Commission sur des questions stratégiques relatives au cadre européen de certification de cybersécurité;(a) | advise the Commission on strategic issues regarding the European cybersecurity certification framework;
b) | sur demande, de conseiller l’ENISA sur des questions générales et stratégiques concernant les tâches de l’ENISA relatives au marché, à la certification de cybersécurité et à la normalisation;(b) | upon request, advise ENISA on general and strategic matters concerning ENISA’s tasks relating to market, cybersecurity certification, and standardisation;
c) | d’aider la Commission à préparer le programme de travail glissant de l’Union visé à l’article 47;(c) | assist the Commission in the preparation of the Union rolling work programme referred to in Article 47;
d) | de rendre un avis sur le programme de travail glissant de l’Union conformément à l’article 47, paragraphe 4; et(d) | issue an opinion on the Union rolling work programme pursuant to Article 47(4); and
e) | en cas d’urgence, de donner un avis à la Commission et au GECC sur la nécessité de disposer de schémas de certification supplémentaires qui ne sont pas compris dans le programme de travail glissant de l’Union, comme indiqué aux articles 47 et 48.(e) | in urgent cases, provide advice to the Commission and the ECCG on the need for additional certification schemes not included in the Union rolling work programme, as outlined in Articles 47 and 48.
4.   Le groupe des parties prenantes pour la certification de cybersécurité est coprésidé par les représentants de la Commission et de l’ENISA, et son secrétariat est assuré par l’ENISA.4.   The Stakeholder Certification Group shall be co-chaired by the representatives of the Commission and of ENISA, and its secretariat shall be provided by ENISA.
Article 23Article 23
Réseau des agents de liaison nationauxNational Liaison Officers Network
1.   Le conseil d’administration crée, sur proposition du directeur exécutif, un réseau des agents de liaison nationaux composé de représentants de tous les États membres (les agents de liaison nationaux). Chaque État membre nomme un représentant au sein du réseau des agents de liaison nationaux. Les réunions du réseau des agents de liaison nationaux peuvent se tenir dans différentes configurations d’experts.1.   The Management Board, acting on a proposal from the Executive Director, shall set up a National Liaison Officers Network composed of representatives of all Member States (National Liaison Officers). Each Member State shall appoint one representative to the National Liaison Officers Network. The meetings of the National Liaison Officers Network may be held in different expert formations.
2.   Le réseau des agents de liaison nationaux facilite en particulier l’échange d’informations entre l’ENISA et les États membres et aide l’ENISA à faire connaître ses activités et à diffuser les résultats de ses travaux et ses recommandations auprès des parties prenantes concernées dans l’ensemble de l’Union.2.   The National Liaison Officers Network shall in particular facilitate the exchange of information between ENISA and the Member States, and shall support ENISA in disseminating its activities, findings and recommendations to the relevant stakeholders across the Union.
3.   Les agents de liaison nationaux servent de point de contact au niveau national pour faciliter la coopération entre l’ENISA et les experts nationaux dans le cadre de la mise en œuvre du programme de travail annuel de l’ENISA.3.   National Liaison Officers shall act as a point of contact at national level to facilitate cooperation between ENISA and national experts in the context of the implementation of ENISA’s annual work programme.
4.   Si les agents de liaison nationaux coopèrent étroitement avec les représentants du conseil d’administration de leurs États membres respectifs, le réseau des agents de liaison nationaux en lui-même ne doit pas dupliquer le travail du conseil d’administration ou d’autres instances de l’Union.4.   While National Liaison Officers shall cooperate closely with the Management Board representatives of their respective Member States, the National Liaisons Officers Network itself shall not duplicate the work of the Management Board or of other Union forums.
5.   Les fonctions et les procédures du réseau des agents de liaison nationaux sont précisées dans les règles internes de fonctionnement de l’ENISA et sont rendues publiques.5.   The functions and procedures of the National Liaisons Officers Network shall be specified in ENISA’s internal rules of operation and shall be made public.
Section 5Section 5
FonctionnementOperation
Article 24Article 24
Document unique de programmationSingle programming document
1.   L’ENISA opère conformément à un document unique de programmation qui décrit sa programmation annuelle et pluriannuelle, et qui contient l’ensemble de ses activités planifiées.1.   ENISA shall operate in accordance with a single programming document containing its annual and multiannual programming, which shall include all of its planned activities.
2.   Le directeur exécutif établit chaque année un projet de document unique de programmation contenant sa programmation annuelle et pluriannuelle, ainsi que la planification des ressources financières et humaines correspondantes, conformément à l’article 32 du règlement délégué (UE) no 1271/2013 de la Commission (25), et tenant compte des lignes directrices fixées par la Commission.2.   Each year, the Executive Director shall draw up a draft single programming document containing its annual and multiannual programming with the corresponding financial and human resources planning in accordance with Article 32 of Commission Delegated Regulation (EU) No 1271/2013 (25) and taking into account the guidelines set by the Commission.
3.   Le conseil d’administration adopte, au plus tard le 30 novembre de chaque année, le document unique de programmation visé au paragraphe 1 et le transmet au Parlement européen, au Conseil et à la Commission au plus tard le 31 janvier de l’année suivante, ainsi que toute version de ce document actualisée ultérieurement.3.   By 30 November each year, the Management Board shall adopt the single programming document referred to in paragraph 1 and shall transmit it to the European Parliament, to the Council and to the Commission by 31 January of the following year, as well as any subsequently updated versions of that document.
4.   Le document unique de programmation devient définitif après l’adoption définitive du budget général de l’Union et il est adapté en tant que de besoin.4.   The single programming document shall become final after the definitive adoption of the general budget of the Union and shall be adjusted as necessary.
5.   Le programme de travail annuel expose des objectifs détaillés et les résultats escomptés, notamment des indicateurs de performance. Il contient en outre une description des actions à financer et une indication des ressources financières et humaines allouées à chaque action, conformément aux principes d’établissement du budget par activités et de la gestion fondée sur les activités. Le programme de travail annuel s’inscrit dans la logique du programme de travail pluriannuel visé au paragraphe 7. Il indique clairement les tâches qui ont été ajoutées, modifiées ou supprimées par rapport à l’exercice précédent.5.   The annual work programme shall comprise detailed objectives and expected results including performance indicators. It shall also contain a description of the actions to be financed and an indication of the financial and human resources allocated to each action, in accordance with the principles of activity-based budgeting and management. The annual work programme shall be coherent with the multiannual work programme referred to in paragraph 7. It shall clearly indicate tasks that have been added, changed or deleted in comparison with the previous financial year.
6.   Le conseil d’administration modifie le programme de travail annuel adopté lorsqu’une nouvelle tâche est assignée à l’ENISA. Toute modification substantielle du programme de travail annuel est soumise à une procédure d’adoption identique à celle applicable au programme de travail annuel initial. Le conseil d’administration peut déléguer au directeur exécutif le pouvoir d’apporter des modifications non substantielles au programme de travail annuel.6.   The Management Board shall amend the adopted annual work programme when a new task is assigned to ENISA. Any substantial amendments to the annual work programme shall be adopted by the same procedure as for the initial annual work programme. The Management Board may delegate the power to make non-substantial amendments to the annual work programme to the Executive Director.
7.   Le programme de travail pluriannuel expose la programmation stratégique globale comprenant les objectifs, les résultats escomptés et les indicateurs de performance. Il définit également la programmation des ressources, notamment le budget pluriannuel et les effectifs.7.   The multiannual work programme shall set out the overall strategic programming including objectives, expected results and performance indicators. It shall also set out the resource programming including multi-annual budget and staff.
8.   La programmation des ressources est actualisée chaque année. La programmation stratégique est actualisée en tant que de besoin, notamment pour tenir compte, si nécessaire, des résultats de l’évaluation visée à l’article 67.8.   The resource programming shall be updated annually. The strategic programming shall be updated where appropriate and in particular where necessary to address the outcome of the evaluation referred to in Article 67.
Article 25Article 25
Déclaration d’intérêtsDeclaration of interests
1.   Les membres du conseil d’administration, le directeur exécutif et les fonctionnaires détachés par les États membres à titre temporaire font chacun une déclaration d’engagements et une déclaration indiquant l’absence ou la présence de tout intérêt direct ou indirect qui pourrait être considéré comme préjudiciable à leur indépendance. Les déclarations sont exactes et complètes, faites par écrit sur une base annuelle et actualisées si nécessaire.1.   Members of the Management Board, the Executive Director, and officials seconded by Member States on a temporary basis, shall each make a declaration of commitments and a declaration indicating the absence or presence of any direct or indirect interest which might be considered to be prejudicial to their independence. The declarations shall be accurate and complete, shall be made annually in writing, and shall be updated whenever necessary.
2.   Les membres du conseil d’administration, le directeur exécutif et les experts externes participant aux groupes de travail ad hoc déclarent chacun de manière exacte et complète, au plus tard au début de chaque réunion, les intérêts qui pourraient être considérés comme préjudiciables à leur indépendance eu égard aux points inscrits à l’ordre du jour, et s’abstiennent de prendre part aux discussions et de voter sur ces points.2.   Members of the Management Board, the Executive Director, and external experts participating in ad hoc working groups, shall each accurately and completely declare, at the latest at the start of each meeting, any interest which might be considered to be prejudicial to their independence in relation to the items on the agenda, and shall abstain from participating in the discussion of and voting on such items.
3.   L’ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques concernant les règles relatives aux déclarations d’intérêt visées aux paragraphes 1 et 2.3.   ENISA shall lay down, in its internal rules of operation, the practical arrangements for the rules on declarations of interest referred to in paragraphs 1 and 2.
Article 26Article 26
TransparenceTransparency
1.   L’ENISA exerce ses activités avec un niveau élevé de transparence et conformément à l’article 28.1.   ENISA shall carry out its activities with a high level of transparency and in accordance with Article 28.
2.   L’ENISA veille à ce que le public et toute partie intéressée reçoivent une information appropriée, objective, fiable et facilement accessible, notamment en ce qui concerne le résultat de ses travaux. Elle rend également publiques les déclarations d’intérêt faites conformément à l’article 25.2.   ENISA shall ensure that the public and any interested parties are provided with appropriate, objective, reliable and easily accessible information, in particular with regard to the results of its work. It shall also make public the declarations of interest made in accordance with Article 25.
3.   Le conseil d’administration peut, sur proposition du directeur exécutif, autoriser des parties intéressées à participer en tant qu’observateurs à certaines activités de l’ENISA.3.   The Management Board, acting on a proposal from the Executive Director, may authorise interested parties to observe the proceedings of some of ENISA’s activities.
4.   L’ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques d’application des règles de transparence visées aux paragraphes 1 et 2.4.   ENISA shall lay down, in its internal rules of operation, the practical arrangements for implementing the transparency rules referred to in paragraphs 1 and 2.
Article 27Article 27
ConfidentialitéConfidentiality
1.   Sans préjudice de l’article 28, l’ENISA ne divulgue pas à des tiers les informations qu’elle traite ou qu’elle reçoit et pour lesquelles une demande motivée de traitement confidentiel a été faite.1.   Without prejudice to Article 28, ENISA shall not divulge to third parties information that it processes or receives in relation to which a reasoned request for confidential treatment has been made.
2.   Les membres du conseil d’administration, le directeur exécutif, les membres du groupe consultatif de l’ENISA, les experts externes participant aux groupes de travail ad hoc et les membres du personnel de l’ENISA, y compris les fonctionnaires détachés par les États membres à titre temporaire, respectent les obligations de confidentialité prévues à l’article 339 du traité sur le fonctionnement de l’Union européenne, même après la cessation de leurs fonctions.2.   Members of the Management Board, the Executive Director, the members of the ENISA Advisory Group, external experts participating in ad hoc working groups, and members of the staff of ENISA, including officials seconded by Member States on a temporary basis, shall comply with the confidentiality requirements of Article 339 TFEU, even after their duties have ceased.
3.   L’ENISA fixe, dans ses règles internes de fonctionnement, les modalités pratiques d’application des règles de confidentialité visées aux paragraphes 1 et 2.3.   ENISA shall lay down, in its internal rules of operation, the practical arrangements for implementing the confidentiality rules referred to in paragraphs 1 and 2.
4.   Si l’exécution des tâches de l’ENISA l’exige, le conseil d’administration décide d’autoriser l’ENISA à traiter des informations classifiées. Dans ce cas, l’ENISA, en accord avec les services de la Commission, adopte des règles de sécurité respectant les principes de sécurité énoncés dans les décisions (UE, Euratom) 2015/443 (26) et 2015/444 (27) de la Commission. Ces règles de sécurité comprennent des dispositions relatives à l’échange, au traitement et à l’archivage des informations classifiées.4.   If required for the performance of ENISA’s tasks, the Management Board shall decide to allow ENISA to handle classified information. In that case ENISA, in agreement with the Commission services, shall adopt security rules applying the security principles set out in Commission Decisions (EU, Euratom) 2015/443 (26) and 2015/444 (27). Those security rules shall include provisions for the exchange, processing and storage of classified information.
Article 28Article 28
Accès aux documentsAccess to documents
1.   Le règlement (CE) no 1049/2001 s’applique aux documents détenus par l’ENISA.1.   Regulation (EC) No 1049/2001 shall apply to documents held by ENISA.
2.   Le conseil d’administration adopte les modalités d’application du règlement (CE) no 1049/2001 au plus tard le 28 décembre 2019.2.   The Management Board shall adopt arrangements for implementing Regulation (EC) No 1049/2001 by 28 December 2019.
3.   Les décisions prises par l’ENISA en application de l’article 8 du règlement (CE) no 1049/2001 peuvent faire l’objet d’une plainte auprès du Médiateur européen au titre de l’article 228 du traité sur le fonctionnement de l’Union européenne, ou d’un recours devant la Cour de justice de l’Union européenne au titre de l’article 263 du traité sur le fonctionnement de l’Union européenne.3.   Decisions taken by ENISA pursuant to Article 8 of Regulation (EC) No 1049/2001 may be the subject of a complaint to the European Ombudsman under Article 228 TFEU or of an action before the Court of Justice of the European Union under Article 263 TFEU.
CHAPITRE IVCHAPTER IV
Établissement et structure du budget de l’ENISAEstablishment and structure of ENISA’s budget
Article 29Article 29
Établissement du budget de l’ENISAEstablishment of ENISA’s budget
1.   Chaque année, le directeur exécutif établit un projet d’état prévisionnel des recettes et des dépenses de l’ENISA pour l’exercice budgétaire suivant et le transmet au conseil d’administration avec un projet de tableau des effectifs. Les recettes et les dépenses sont équilibrées.1.   Each year, the Executive Director shall draw up a draft statement of estimates of ENISA’s revenue and expenditure for the following financial year, and shall transmit it to the Management Board, together with a draft establishment plan. Revenue and expenditure shall be in balance.
2.   Le conseil d’administration établit chaque année, sur la base du projet d’état prévisionnel, un état prévisionnel des recettes et des dépenses de l’ENISA pour l’exercice budgétaire suivant.2.   Each year the Management Board, on the basis of the draft statement of estimates, shall produce a statement of estimates of ENISA’s revenue and expenditure for the following financial year.
3.   Le conseil d’administration transmet, au plus tard le 31 janvier de chaque année, l’état prévisionnel, qui fait partie du projet de document unique de programmation, à la Commission et aux pays tiers avec lesquels l’Union a conclu des accords tels qu’ils sont visés à l’article 42, paragraphe 2.3.   The Management Board, by 31 January each year, shall send the statement of estimates, which shall be part of the draft single programming document, to the Commission and the third countries with which the Union has concluded agreements as referred to in Article 42(2).
4.   Sur la base de l’état prévisionnel, la Commission inscrit dans le projet de budget général de l’Union les prévisions qu’elle estime nécessaires en ce qui concerne le tableau des effectifs et le montant de la contribution à la charge du budget général de l’Union, qu’elle soumet au Parlement européen et au Conseil conformément à l’article 314 du traité sur le fonctionnement de l’Union européenne.4.   On the basis of the statement of estimates, the Commission shall enter in the draft general budget of the Union the estimates it deems to be necessary for the establishment plan and the amount of the contribution to be charged to the general budget of the Union, which it shall submit to the European Parliament and to the Council in accordance with Article 314 TFEU.
5.   Le Parlement européen et le Conseil autorisent les crédits au titre de la contribution de l’Union destinée à l’ENISA.5.   The European Parliament and the Council shall authorise the appropriations for the contribution from the Union to ENISA.
6.   Le Parlement européen et le Conseil adoptent le tableau des effectifs de l’ENISA.6.   The European Parliament and the Council shall adopt ENISA’s establishment plan.
7.   Le conseil d’administration adopte le budget de l’ENISA en même temps que le document unique de programmation. Le budget de l’ENISA devient définitif après l’adoption définitive du budget général de l’Union. En tant que de besoin, le conseil d’administration ajuste le budget de l’ENISA et le document unique de programmation conformément au budget général de l’Union.7.   The Management Board shall adopt ENISA’s budget together with the single programming document. ENISA’s budget shall become final following the definitive adoption of the general budget of the Union. Where necessary, the Management Board shall adjust ENISA’s budget and single programming document in accordance with the general budget of the Union.
Article 30Article 30
Structure du budget de l’ENISAStructure of ENISA’s budget
1.   Sans préjudice d’autres ressources, les recettes de l’ENISA sont constituées:1.   Without prejudice to other resources, ENISA’s revenue shall be composed of:
a) | d’une contribution provenant du budget général de l’Union;(a) | a contribution from the general budget of the Union;
b) | de recettes allouées à des postes de dépense spécifiques conformément à ses règles financières visées à l’article 32;(b) | revenue assigned to specific items of expenditure in accordance with its financial rules referred to in Article 32;
c) | d’un financement de l’Union sous la forme de conventions de délégation ou de subventions ad hoc, conformément à ses règles financières visées à l’article 32 et aux dispositions des instruments pertinents appuyant les politiques de l’Union;(c) | Union funding in the form of delegation agreements or ad hoc grants in accordance with its financial rules referred to in Article 32 and with the provisions of the relevant instruments supporting the policies of the Union;
d) | de contributions de pays tiers participant aux travaux de l’ENISA conformément à l’article 42;(d) | contributions from third countries participating in the work of ENISA as referred to in Article 42;
e) | de toute contribution volontaire des États membres en espèces ou en nature.(e) | any voluntary contributions from Member States in money or in kind.
Les États membres qui apportent des contributions volontaires en vertu du premier alinéa, point e), ne peuvent prétendre à aucun droit ou service spécifique du fait de celles-ci.Member States that provide voluntary contributions under point (e) of the first subparagraph shall not claim any specific right or service as a result thereof.
2.   Les dépenses de l’ENISA comprennent la rémunération du personnel, l’assistance administrative et technique, les dépenses d’infrastructure et de fonctionnement et les dépenses résultant de contrats avec des tiers.2.   The expenditure of ENISA shall include staff, administrative and technical support, infrastructure and operational expenses, and expenses resulting from contracts with third parties.
Article 31Article 31
Exécution du budget de l’ENISAImplementation of ENISA’s budget
1.   Le directeur exécutif est responsable de l’exécution du budget de l’ENISA.1.   The Executive Director shall be responsible for the implementation of ENISA’s budget.
2.   L’auditeur interne de la Commission exerce à l’égard de l’ENISA les mêmes pouvoirs que ceux qui lui sont attribués à l’égard des services de la Commission.2.   The Commission’s internal auditor shall exercise the same powers over ENISA as over Commission departments.
3.   Le comptable de l’ENISA transmet les comptes provisoires pour l’exercice (exercice N) au comptable de la Commission et à la Cour des comptes au plus tard le 1er mars de l’exercice suivant (exercice N + 1).3.   ENISA’s accounting officer shall send the provisional accounts for the financial year (year N) to the Commission’s accounting officer and to the Court of Auditors by 1 March of the following financial year (year N + 1).
4.   À la réception des observations formulées par la Cour des comptes sur les comptes provisoires de l’ENISA en vertu de l’article 246 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (28), le comptable de l’ENISA établit les comptes définitifs de l’ENISA sous sa propre responsabilité et les soumet au conseil d’administration pour avis.4.   Upon the receipt of the Court of Auditors’ observations on ENISA’s provisional accounts pursuant to Article 246 of Regulation (EU, Euratom) 2018/1046 of the European Parliament and of the Council (28), ENISA’s accounting officer shall draw up ENISA’s final accounts under his or her responsibility and shall submit them to the Management Board for an opinion.
5.   Le conseil d’administration rend un avis sur les comptes définitifs de l’ENISA.5.   The Management Board shall deliver an opinion on ENISA’s final accounts.
6.   Au plus tard le 31 mars de l’année N + 1, le directeur exécutif transmet le rapport sur la gestion budgétaire et financière au Parlement européen, au Conseil, à la Commission et à la Cour des comptes.6.   By 31 March of year N + 1, the Executive Director shall transmit the report on the budgetary and financial management to the European Parliament, to the Council, to the Commission and to the Court of Auditors.
7.   Au plus tard le 1er juillet de l’année N + 1, le comptable de l’ENISA transmet les comptes définitifs de l’ENISA, accompagnés de l’avis du conseil d’administration, au Parlement européen, au Conseil, au comptable de la Commission et à la Cour des comptes.7.   By 1 July of year N + 1, ENISA’s accounting officer shall transmit ENISA’s final accounts to the European Parliament, to the Council, to the Commission’s accounting officer and to the Court of Auditors, together with the Management Board’s opinion.
8.   À la même date que celle de la transmission des comptes définitifs de l’ENISA, le comptable de l’ENISA transmet également à la Cour des comptes une lettre de déclaration concernant ces comptes définitifs, avec copie au comptable de la Commission.8.   At the same date as the transmission of ENISA’s final accounts, ENISA’s accounting officer shall also send to the Court of Auditors a representation letter covering those final accounts, with a copy to the Commission’s accounting officer.
9.   Au plus tard le 15 novembre de l’année N + 1, le directeur exécutif publie les comptes définitifs de l’ENISA au Journal officiel de l’Union européenne.9.   By 15 November of year N + 1, the Executive Director shall publish ENISA’s final accounts in the Official Journal of the European Union.
10.   Au plus tard le 30 septembre de l’année N + 1, le directeur exécutif adresse à la Cour des comptes une réponse aux observations de celle-ci, et adresse également une copie de cette réponse au conseil d’administration et à la Commission.10.   By 30 September of year N + 1, the Executive Director shall send the Court of Auditors a reply to its observations and shall also send a copy of that reply to the Management Board and to the Commission.
11.   Le directeur exécutif soumet au Parlement européen, à la demande de celui-ci, toute information nécessaire au bon déroulement de la procédure de décharge pour l’exercice budgétaire en question, conformément à l’article 261, paragraphe 3, du règlement (UE, Euratom) 2018/1046.11.   The Executive Director shall submit to the European Parliament, at the latter’s request, any information required for the smooth application of the discharge procedure for the financial year concerned in accordance with Article 261(3) of Regulation (EU, Euratom) 2018/1046.
12.   Le Parlement européen, statuant sur recommandation du Conseil et avant le 15 mai de l’année N + 2, donne décharge au directeur exécutif sur l’exécution du budget de l’exercice N.12.   On a recommendation from the Council, the European Parliament shall, before 15 May of year N + 2, give a discharge to the Executive Director in respect of the implementation of the budget for the year N.
Article 32Article 32
Règles financièresFinancial rules
Les règles financières applicables à l’ENISA sont arrêtées par le conseil d’administration, après consultation de la Commission. Elles ne peuvent s’écarter du règlement délégué (UE) no 1271/2013 que si le fonctionnement de l’ENISA le nécessite spécifiquement et moyennant l’accord préalable de la Commission.The financial rules applicable to ENISA shall be adopted by the Management Board after consulting the Commission. They shall not depart from Delegated Regulation (EU) No 1271/2013 unless such a departure is specifically required for the operation of ENISA and the Commission has given its prior consent.
Article 33Article 33
Lutte contre la fraudeCombating fraud
1.   Afin de faciliter la lutte contre la fraude, la corruption et d’autres activités illégales au titre du règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil (29), l’ENISA adhère, au plus tard le 28 décembre 2019, à l’accord interinstitutionnel du 25 mai 1999 entre le Parlement européen, le Conseil de l’Union européenne et la Commission des Communautés européennes relatif aux enquêtes internes effectuées par l’Office européen de lutte antifraude (OLAF) (30). L’ENISA adopte les dispositions appropriées applicables à tout le personnel de l’ENISA, en utilisant le modèle figurant à l’annexe dudit accord.1.   In order to facilitate the combating of fraud, corruption and other unlawful activities under Regulation (EU, Euratom) No 883/2013 of the European Parliament and of the Council (29), ENISA shall by 28 December 2019, accede to the Interinstitutional Agreement of 25 May 1999 between the European Parliament, the Council of the European Union and the Commission of the European Communities concerning internal investigations by the European Anti-Fraud Office (OLAF) (30). ENISA shall adopt appropriate provisions applicable to all employees of ENISA, using the template set out in the Annex to that Agreement.
2.   La Cour des comptes dispose d’un pouvoir d’audit, sur pièces et sur place, à l’égard de tous les bénéficiaires de subventions, contractants et sous-traitants qui ont reçu des fonds de l’Union en provenance de l’ENISA.2.   The Court of Auditors shall have the power of audit, on the basis of documents and of on-the-spot inspections, over all grant beneficiaries, contractors and subcontractors who have received Union funds from ENISA.
3.   L’OLAF peut effectuer des enquêtes, y compris des contrôles et vérifications sur place, conformément aux dispositions et procédures prévues par le règlement (UE, Euratom) no 883/2013 et le règlement (Euratom, CE) no 2185/96 du Conseil (31), en vue d’établir l’existence éventuelle d’une fraude, d’un acte de corruption ou de toute autre activité illégale portant atteinte aux intérêts financiers de l’Union, en lien avec une subvention ou un contrat financés par l’ENISA.3.   OLAF may carry out investigations, including on-the-spot checks and inspections, in accordance with the provisions and procedures laid down in Regulation (EU, Euratom) No 883/2013 and Council Regulation (Euratom, EC) No 2185/96 (31), with a view to establishing whether there has been fraud, corruption or any other illegal activity affecting the financial interests of the Union in connection with a grant or a contract funded by ENISA.
4.   Sans préjudice des paragraphes 1, 2 et 3, les accords de coopération conclus avec des pays tiers ou des organisations internationales, les contrats, les conventions de subvention et les décisions de subvention de l’ENISA contiennent des dispositions habilitant expressément la Cour des comptes et l’OLAF à procéder à ces audits et à ces enquêtes, conformément à leurs compétences respectives.4.   Without prejudice to paragraphs 1, 2 and 3, cooperation agreements with third countries or international organisations, contracts, grant agreements and grant decisions of ENISA shall contain provisions expressly empowering the Court of Auditors and OLAF to conduct such audits and investigations, according to their respective competences.
CHAPITRE VCHAPTER V
PersonnelStaff
Article 34Article 34
Dispositions généralesGeneral provisions
Le statut des fonctionnaires et le régime applicable aux autres agents, ainsi que les règles arrêtées d’un commun accord entre les institutions de l’Union visant à exécuter le statut des fonctionnaires et le régime applicable aux autres agents, s’appliquent au personnel de l’ENISA.The Staff Regulations of Officials and the Conditions of Employment of Other Servants, as well as the rules adopted by agreement between the Union institutions for giving effect to the Staff Regulations of Officials and the Conditions of Employment of Other Servants shall apply to the staff of ENISA.
Article 35Article 35
Privilèges et immunitésPrivileges and immunity
Le protocole no 7 sur les privilèges et immunités de l’Union européenne, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, s’applique à l’ENISA ainsi qu’à son personnel.Protocol No 7 on the privileges and immunities of the European Union, annexed to the TEU and to the TFEU, shall apply to ENISA and its staff.
Article 36Article 36
Directeur exécutifExecutive Director
1.   Le directeur exécutif est engagé en tant qu’agent temporaire de l’ENISA conformément à l’article 2, point a), du régime applicable aux autres agents.1.   The Executive Director shall be engaged as a temporary agent of ENISA under point (a) of Article 2 of the Conditions of Employment of Other Servants.
2.   Le directeur exécutif est nommé par le conseil d’administration sur la base d’une liste de candidats proposés par la Commission, à la suite d’une procédure de sélection ouverte et transparente.2.   The Executive Director shall be appointed by the Management Board from a list of candidates proposed by the Commission, following an open and transparent selection procedure.
3.   Aux fins de la conclusion du contrat de travail du directeur exécutif, l’ENISA est représentée par le président du conseil d’administration.3.   For the purpose of concluding the employment contract with the Executive Director, ENISA shall be represented by the Chairperson of the Management Board.
4.   Avant d’être nommé, le candidat retenu par le conseil d’administration est invité à faire une déclaration devant la commission concernée du Parlement européen et à répondre aux questions des députés.4.   Before appointment, the candidate selected by the Management Board shall be invited to make a statement before the relevant committee of the European Parliament and to answer Members’ questions.
5.   Le mandat du directeur exécutif est de cinq ans. Au terme de cette période, la Commission procède à une évaluation du travail accompli par le directeur exécutif et des tâches et défis futurs de l’ENISA.5.   The term of office of the Executive Director shall be five years. By the end of that period, the Commission shall carry out an assessment of the performance of the Executive Director and ENISA’s future tasks and challenges.
6.   Le conseil d’administration statue sur la nomination, la prorogation du mandat et la révocation du directeur exécutif conformément à l’article 18, paragraphe 2.6.   The Management Board shall reach decisions on appointment, extension of the term of office or removal from office of the Executive Director in accordance with Article 18(2).
7.   Le conseil d’administration, sur proposition de la Commission tenant compte de l’évaluation visée au paragraphe 5, peut proroger une fois le mandat du directeur exécutif pour une durée de cinq ans.7.   The Management Board, acting on a proposal from the Commission which takes into account the assessment referred to in paragraph 5, may extend the term of office of the Executive Director once by five years.
8.   Le conseil d’administration informe le Parlement européen de son intention de proroger le mandat du directeur exécutif. Dans les trois mois précédant cette prorogation, le directeur exécutif fait, s’il y est invité, une déclaration devant la commission concernée du Parlement européen et répond aux questions des députés.8.   The Management Board shall inform the European Parliament about its intention to extend the Executive Director’s term of office. Within three months before any such extension, the Executive Director, if invited, shall make a statement before the relevant committee of the European Parliament and answer Members’ questions.
9.   Un directeur exécutif dont le mandat a été prorogé ne peut pas participer à une nouvelle procédure de sélection pour le même poste.9.   An Executive Director whose term of office has been extended shall not participate in another selection procedure for the same post.
10.   Le directeur exécutif ne peut être démis de ses fonctions que sur décision du conseil d’administration, statuant sur proposition de la Commission.10.   The Executive Director may be removed from office only by decision of the Management Board acting on a proposal from the Commission.
Article 37Article 37
Experts nationaux détachés et personnel autreSeconded national experts and other staff
1.   L’ENISA peut avoir recours à des experts nationaux détachés ou à d’autres personnes qu’elle n’emploie pas. Le statut des fonctionnaires et le régime applicable aux autres agents ne s’appliquent pas à ces personnes.1.   ENISA may make use of seconded national experts or other staff not employed by ENISA. The Staff Regulations of Officials and the Conditions of Employment of Other Servants shall not apply to such staff.
2.   Le conseil d’administration adopte une décision établissant le régime applicable aux experts nationaux détachés auprès de l’ENISA.2.   The Management Board shall adopt a decision laying down rules on the secondment of national experts to ENISA.
CHAPITRE VICHAPTER VI
Dispositions générales concernant l’ENISAGeneral provisions concerning ENISA
Article 38Article 38
Statut juridique de l’ENISALegal status of ENISA
1.   L’ENISA est un organisme de l’Union et elle est dotée de la personnalité juridique.1.   ENISA shall be a body of the Union and shall have legal personality.
2.   Dans chaque État membre, l’ENISA jouit de la capacité juridique la plus étendue accordée aux personnes morales en droit national. Elle peut notamment acquérir ou aliéner des biens mobiliers et immobiliers et ester en justice.2.   In each Member State ENISA shall enjoy the most extensive legal capacity accorded to legal persons under national law. It may, in particular, acquire or dispose of movable and immovable property and be a party to legal proceedings.
3.   L’ENISA est représentée par le directeur exécutif.3.   ENISA shall be represented by the Executive Director.
Article 39Article 39
Responsabilité de l’ENISALiability of ENISA
1.   La responsabilité contractuelle de l’ENISA est régie par le droit applicable au contrat en question.1.   The contractual liability of ENISA shall be governed by the law applicable to the contract in question.
2.   La Cour de justice de l’Union européenne est compétente pour statuer en vertu de toute clause compromissoire contenue dans un contrat conclu par l’ENISA.2.   The Court of Justice of the European Union shall have jurisdiction to give judgment pursuant to any arbitration clause contained in a contract concluded by ENISA.
3.   En cas de responsabilité non contractuelle, l’ENISA répare tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions, conformément aux principes généraux communs aux législations des États membres.3.   In the case of non-contractual liability, ENISA shall make good any damage caused by it or its staff in the performance of their duties, in accordance with the general principles common to the laws of the Member States.
4.   La Cour de justice de l’Union européenne est compétente pour traiter de tout litige relatif à la réparation d’un dommage visé au paragraphe 3.4.   The Court of Justice of the European Union shall have jurisdiction in any dispute over compensation for damage as referred to in paragraph 3.
5.   La responsabilité personnelle du personnel de l’ENISA envers l’ENISA est régie par les dispositions pertinentes applicables au personnel de l’ENISA.5.   The personal liability of ENISA’s staff towards ENISA shall be governed by the relevant conditions applying to ENISA’s staff.
Article 40Article 40
Régime linguistiqueLanguage arrangements
1.   Le règlement no 1 du Conseil (32) s’applique à l’ENISA. Les États membres et les autres organismes désignés par les États membres peuvent s’adresser à l’ENISA et recevoir une réponse dans la langue officielle des institutions de l’Union qu’ils choisissent.1.   Council Regulation No 1 (32) shall apply to ENISA. The Member States and the other bodies appointed by the Member States may address ENISA and receive a reply in the official language of the institutions of the Union that they choose.
2.   Les services de traduction nécessaires au fonctionnement de l’ENISA sont assurés par le Centre de traduction des organes de l’Union européenne.2.   The translation services required for the functioning of ENISA shall be provided by the Translation Centre for the Bodies of the European Union.
Article 41Article 41
Protection des données à caractère personnelProtection of personal data
1.   Les opérations de traitement de données à caractère personnel effectuées par l’ENISA sont soumises au règlement (UE) 2018/1725.1.   The processing of personal data by ENISA shall be subject to Regulation (EU) 2018/1725.
2.   Le conseil d’administration adopte les dispositions d’application visées à l’article 45, paragraphe 3, du règlement (UE) 2018/1725. Le conseil d’administration peut adopter des mesures supplémentaires nécessaires pour l’application du règlement (UE) 2018/1725 par l’ENISA.2.   The Management Board shall adopt implementing rules as referred to in Article 45(3) of Regulation (EU) 2018/1725. The Management Board may adopt additional measures necessary for the application of Regulation (EU) 2018/1725 by ENISA.
Article 42Article 42
Coopération avec des pays tiers et des organisations internationalesCooperation with third countries and international organisations
1.   Dans la mesure nécessaire pour atteindre les objectifs énoncés dans le présent règlement, l’ENISA peut coopérer avec les autorités compétentes de pays tiers ou avec des organisations internationales. À cet effet, l’ENISA peut établir des arrangements de travail avec les autorités de pays tiers et des organisations internationales, sous réserve de l’accord préalable de la Commission. Ces arrangements de travail ne créent pas d’obligations juridiques à l’égard de l’Union ou de ses États membres.1.   To the extent necessary in order to achieve the objectives set out in this Regulation, ENISA may cooperate with the competent authorities of third countries or with international organisations or both. To that end, ENISA may establish working arrangements with the authorities of third countries and international organisations, subject to the prior approval of the Commission. Those working arrangements shall not create legal obligations incumbent on the Union and its Member States.
2.   L’ENISA est ouverte à la participation des pays tiers qui ont conclu des accords en ce sens avec l’Union. Conformément aux dispositions pertinentes de tels accords, des arrangements de travail sont élaborés pour préciser notamment la nature, l’étendue et les modalités de la participation de ces pays tiers aux travaux de l’ENISA, et contiennent des dispositions relatives à la participation aux initiatives prises par l’ENISA, aux contributions financières et au personnel. En ce qui concerne les questions relatives au personnel, lesdits arrangements de travail respectent le statut des fonctionnaires et le régime applicable aux autres agents.2.   ENISA shall be open to the participation of third countries that have concluded agreements with the Union to that effect. Under the relevant provisions of such agreements, working arrangements shall be established specifying in particular the nature, extent and manner in which those third countries are to participate in ENISA’s work, and shall include provisions relating to participation in the initiatives undertaken by ENISA, to financial contributions and to staff. As regards staff matters, those working arrangements shall comply with the Staff Regulations of Officials and Conditions of Employment of Other Servants in any event.
3.   Le conseil d’administration adopte une stratégie en ce qui concerne les relations avec les pays tiers et les organisations internationales sur les questions relevant de la compétence de l’ENISA. La Commission veille à ce que l’ENISA fonctionne dans les limites de son mandat et du cadre institutionnel existant en concluant des arrangements de travail appropriés avec le directeur exécutif.3.   The Management Board shall adopt a strategy for relations with third countries and international organisations concerning matters for which ENISA is competent. The Commission shall ensure that ENISA operates within its mandate and the existing institutional framework by concluding appropriate working arrangements with the Executive Director.
Article 43Article 43
Règles de sécurité en matière de protection des informations sensibles non classifiées et des informations classifiéesSecurity rules on the protection of sensitive non-classified information and classified information
Après consultation de la Commission, l’ENISA adopte des règles de sécurité en appliquant les principes de sécurité énoncés dans les règles de sécurité de la Commission visant à protéger les informations sensibles non classifiées et les ICUE, énoncées dans les décisions (UE, Euratom) 2015/443 et (UE, Euratom) 2015/444. Les règles de sécurité de l’ENISA couvrent les dispositions relatives à l’échange, au traitement et au stockage de ces informations.After consulting the Commission, ENISA shall adopt security rules applying the security principles contained in the Commission’s security rules for protecting sensitive non-classified information and EUCI, as set out in Decisions (EU, Euratom) 2015/443 and 2015/444. ENISA’s security rules shall include provisions for the exchange, processing and storage of such information.
Article 44Article 44
Accord de siège et conditions de fonctionnementHeadquarters Agreement and operating conditions
1.   Les dispositions requises pour l’implantation de l’ENISA dans l’État membre du siège et les prestations à fournir par cet État membre, ainsi que les règles particulières qui sont applicables dans ledit État membre au directeur exécutif, aux membres du conseil d’administration, au personnel de l’ENISA et aux membres de leurs familles sont arrêtées dans un accord de siège conclu entre l’ENISA et l’État membre du siège, après approbation par le conseil d’administration.1.   The necessary arrangements concerning the accommodation to be provided for ENISA in the host Member State and the facilities to be made available by that Member State together with the specific rules applicable in the host Member State to the Executive Director, members of the Management Board, ENISA’s staff and members of their families shall be laid down in a headquarters agreement between ENISA and the host Member State, concluded after obtaining the approval of the Management Board.
2.   L’État membre du siège de l’ENISA offre les meilleures conditions possibles pour assurer le bon fonctionnement de l’ENISA, en tenant compte de l’accessibilité de l’emplacement, de l’existence de services d’éducation appropriés pour les enfants des membres du personnel et d’un accès adéquat au marché du travail, à la sécurité sociale et aux soins médicaux pour les enfants et les conjoints des membres du personnel.2.   ENISA’s host Member State shall provide the best possible conditions for ensuring the proper functioning of ENISA, taking into account the accessibility of the location, the existence of adequate education facilities for the children of staff members, appropriate access to the labour market, social security and medical care for both children and spouses of staff members.
Article 45Article 45
Contrôle administratifAdministrative control
Les activités de l’ENISA sont soumises au contrôle du Médiateur européen, conformément à l’article 228 du traité sur le fonctionnement de l’Union européenne.The operations of ENISA shall be supervised by the European Ombudsman in accordance with Article 228 TFEU.
TITRE IIITITLE III
CADRE DE CERTIFICATION DE CYBERSÉCURITÉCYBERSECURITY CERTIFICATION FRAMEWORK
Article 46Article 46
Cadre européen de certification de cybersécuritéEuropean cybersecurity certification framework
1.   Le cadre européen de certification de cybersécurité est établi afin d’améliorer les conditions de fonctionnement du marché intérieur en renforçant le niveau de cybersécurité au sein de l’Union et en permettant de disposer, au niveau de l’Union, d’une approche harmonisée en ce qui concerne les schémas européens de certification de cybersécurité, en vue de créer un marché unique numérique pour les produits TIC, services TIC et processus TIC.1.   The European cybersecurity certification framework shall be established in order to improve the conditions for the functioning of the internal market by increasing the level of cybersecurity within the Union and enabling a harmonised approach at Union level to European cybersecurity certification schemes, with a view to creating a digital single market for ICT products, ICT services and ICT processes.
2.   Le cadre européen de certification de cybersécurité prévoit un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie.2.   The European cybersecurity certification framework shall provide for a mechanism to establish European cybersecurity certification schemes and to attest that the ICT products, ICT services and ICT processes that have been evaluated in accordance with such schemes comply with specified security requirements for the purpose of protecting the availability, authenticity, integrity or confidentiality of stored or transmitted or processed data or the functions or services offered by, or accessible via, those products, services and processes throughout their life cycle.
Article 47Article 47
Le programme de travail glissant de l’Union pour la certification européenne de cybersécuritéThe Union rolling work programme for European cybersecurity certification
1.   La Commission publie un programme de travail glissant de l’Union pour la certification européenne de cybersécurité (ci-après dénommé «programme de travail glissant de l’Union») qui recense les priorités stratégiques pour les futurs schémas européens de certification de cybersécurité.1.   The Commission shall publish a Union rolling work programme for European cybersecurity certification (the ‘Union rolling work programme’) that shall identify strategic priorities for future European cybersecurity certification schemes.
2.   Le programme de travail glissant de l’Union inclut notamment une liste de produits TIC, services TIC et processus TIC ou de catégories de ceux-ci qui sont susceptibles de bénéficier d’une inclusion dans le champ d’application d’un schéma européen de certification de cybersécurité.2.   The Union rolling work programme shall in particular include a list of ICT products, ICT services and ICT processes or categories thereof that are capable of benefiting from being included in the scope of a European cybersecurity certification scheme.
3.   L’inclusion de produits TIC, services TIC et processus TIC spécifiques ou de catégories spécifiques de ceux-ci dans le programme de travail glissant de l’Union doit se justifier sur la base de l’un ou de plusieurs des motifs suivants:3.   Inclusion of specific ICT products, ICT services and ICT processes or categories thereof in the Union rolling work programme shall be justified on the basis of one or more of the following grounds:
a) | la disponibilité et le développement de schémas nationaux de certification de cybersécurité couvrant toute catégorie spécifique de produits TIC, services TIC ou processus TIC et, en particulier, en ce qui concerne le risque de fragmentation;(a) | the availability and the development of national cybersecurity certification schemes covering a specific category of ICT products, ICT services or ICT processes and, in particular, as regards the risk of fragmentation;
b) | le droit ou la politique applicable de l’Union ou d’un État membre;(b) | relevant Union or Member State law or policy;
c) | la demande du marché;(c) | market demand;
d) | l’évolution de la situation en ce qui concerne les cybermenaces;(d) | developments in the cyber threat landscape;
e) | une demande de préparation d’un schéma candidat spécifique par le GECC.(e) | request for the preparation of a specific candidate scheme by the ECCG.
4.   La Commission tient dûment compte des avis du GECC et du groupe des parties prenantes pour la certification de cybersécurité sur le projet de programme de travail glissant de l’Union.4.   The Commission shall take due account of the opinions issued by the ECCG and the Stakeholder Certification Group on the draft Union rolling work programme.
5.   Le premier programme de travail glissant de l’Union est publié au plus tard le 28 juin 2020. Le programme de travail glissant de l’Union est mis à jour au moins tous les trois ans, et plus souvent si nécessaire.5.   The first Union rolling work programme shall be published by 28 June 2020. The Union rolling work programme shall be updated at least once every three years and more often if necessary.
Article 48Article 48
Demande de schéma européen de certification de cybersécuritéRequest for a European cybersecurity certification scheme
1.   La Commission peut demander à l’ENISA de préparer un schéma candidat ou de réexaminer un schéma européen de certification de cybersécurité existant sur la base du programme de travail glissant de l’Union.1.   The Commission may request ENISA to prepare a candidate scheme or to review an existing European cybersecurity certification scheme on the basis of the Union rolling work programme.
2.   Dans des cas dûment justifiés, la Commission ou le GECC peut demander à l’ENISA de préparer un schéma candidat ou de réexaminer un schéma européen de certification de cybersécurité existant qui n’est pas inclus dans le programme de travail glissant de l’Union. Le programme de travail glissant de l’Union est mis à jour en conséquence.2.   In duly justified cases, the Commission or the ECCG may request ENISA to prepare a candidate scheme or to review an existing European cybersecurity certification scheme which is not included in the Union rolling work programme. The Union rolling work programme shall be updated accordingly.
Article 49Article 49
Préparation, adoption et réexamen d’un schéma européen de certification de cybersécuritéPreparation, adoption and review of a European cybersecurity certification scheme
1.   À la suite d’une demande formulée par la Commission en vertu de l’article 48, l’ENISA prépare un schéma candidat qui satisfait aux exigences énoncées aux articles 51, 52 et 54.1.   Following a request from the Commission pursuant to Article 48, ENISA shall prepare a candidate scheme which meets the requirements set out in Articles 51, 52 and 54.
2.   À la suite d’une demande formulée par le GECC en vertu de l’article 48, paragraphe 2, l’ENISA peut préparer un schéma candidat qui satisfait aux exigences énoncées aux articles 51, 52 et 54. Si l’ENISA rejette une telle demande, elle doit motiver son refus. Toute décision de rejeter une telle demande est prise par le conseil d’administration.2.   Following a request from the ECCG pursuant to Article 48(2), ENISA may prepare a candidate scheme which meets the requirements set out in Articles 51, 52 and 54. If ENISA refuses such a request, it shall give reasons for its refusal. Any decision to refuse such a request shall be taken by the Management Board.
3.   Lors de la préparation d’un schéma candidat, l’ENISA consulte toutes les parties prenantes concernées au moyen d’un processus de consultation formel, ouvert, transparent et inclusif.3.   When preparing a candidate scheme, ENISA shall consult all relevant stakeholders by means of a formal, open, transparent and inclusive consultation process.
4.   Pour chaque schéma candidat, l’ENISA crée un groupe de travail ad hoc, conformément à l’article 20, paragraphe 4, afin qu’il lui fournisse des conseils et des compétences spécifiques.4.   For each candidate scheme, ENISA shall establish an ad hoc working group in accordance with Article 20(4) for the purpose of providing ENISA with specific advice and expertise.
5.   L’ENISA coopère étroitement avec le GECC. Celui-ci fournit aide et expertise à l’ENISA dans le cadre de la préparation du schéma candidat et adopte un avis sur le schéma candidat.5.   ENISA shall closely cooperate with the ECCG. The ECCG shall provide ENISA with assistance and expert advice in relation to the preparation of the candidate scheme and shall adopt an opinion on the candidate scheme.
6.   L’ENISA tient le plus grand compte de l’avis du GECC avant de transmettre à la Commission le schéma candidat préparé conformément aux paragraphes 3, 4 et 5. L’avis du GECC n’est pas contraignant pour l’ENISA, et l’absence d’un tel avis n’empêche pas l’ENISA de transmettre le schéma candidat à la Commission.6.   ENISA shall take utmost account of the opinion of the ECCG before transmitting the candidate scheme prepared in accordance with paragraphs 3, 4 and 5 to the Commission. The opinion of the ECCG shall not bind ENISA, nor shall the absence of such an opinion prevent ENISA from transmitting the candidate scheme to the Commission.
7.   La Commission, se fondant sur le schéma candidat préparé par l’ENISA, peut adopter des actes d’exécution prévoyant un schéma européen de certification de cybersécurité pour les produits TIC, services TIC et processus TIC qui satisfont aux exigences des articles 51, 52 et 54. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 66, paragraphe 2.7.   The Commission, based on the candidate scheme prepared by ENISA, may adopt implementing acts providing for a European cybersecurity certification scheme for ICT products, ICT services and ICT processes which meets the requirements set out in Articles 51, 52 and 54. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 66(2).
8.   L’ENISA procède au moins tous les cinq ans à une évaluation de chacun des schémas européens de certification de cybersécurité adoptés, en tenant compte des informations reçues en retour des parties intéressées. Si nécessaire, la Commission ou le GECC peut demander à l’ENISA de lancer le processus d’élaboration d’un schéma candidat révisé, conformément à l’article 48 et au présent article.8.   At least every five years, ENISA shall evaluate each adopted European cybersecurity certification scheme, taking into account the feedback received from interested parties. If necessary, the Commission or the ECCG may request ENISA to start the process of developing a revised candidate scheme in accordance with Article 48 and this Article.
Article 50Article 50
Site internet sur les schémas européens de certification de cybersécuritéWebsite on European cybersecurity certification schemes
1.   L’ENISA tient à jour un site internet dédié qui fournit des informations sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne, et leur assure une publicité, y compris des informations relatives aux schémas européens de certification de cybersécurité qui ne sont plus valables, aux certificats de cybersécurité européens qui ont été retirés ou ont expiré et aux déclarations de conformité de l’Union européenne, ainsi qu’au répertoire de liens vers des informations relatives à la cybersécurité fournies conformément à l’article 55.1.   ENISA shall maintain a dedicated website providing information on, and publicising, European cybersecurity certification schemes, European cybersecurity certificates and EU statements of conformity, including information with regard to European cybersecurity certification schemes which are no longer valid, to withdrawn and expired European cybersecurity certificates and EU statements of conformity, and to the repository of links to cybersecurity information provided in accordance with Article 55.
2.   Le cas échéant, le site internet visé au paragraphe 1 indique également les schémas nationaux de certification de cybersécurité qui ont été remplacés par un schéma européen de certification de cybersécurité.2.   Where applicable, the website referred to in paragraph 1 shall also indicate the national cybersecurity certification schemes that have been replaced by a European cybersecurity certification scheme.
Article 51Article 51
Objectifs de sécurité des schémas européens de certification de cybersécuritéSecurity objectives of European cybersecurity certification schemes
Un schéma européen de certification de cybersécurité est conçu de façon à réaliser, selon le cas, au moins les objectifs de sécurité suivants:A European cybersecurity certification scheme shall be designed to achieve, as applicable, at least the following security objectives:
a) | protéger les données stockées, transmises ou traitées de toute autre façon contre le stockage, le traitement, l’accès ou la diffusion accidentels ou non autorisés au cours de l’ensemble du cycle de vie du produit TIC, service TIC ou processus TIC;(a) | to protect stored, transmitted or otherwise processed data against accidental or unauthorised storage, processing, access or disclosure during the entire life cycle of the ICT product, ICT service or ICT process;
b) | protéger les données stockées, transmises ou traitées de toute autre façon contre la destruction accidentelle ou non autorisée, la perte ou l’altération, ou l’absence de disponibilité, au cours de l’ensemble du cycle de vie du produit TIC, service TIC ou processus TIC;(b) | to protect stored, transmitted or otherwise processed data against accidental or unauthorised destruction, loss or alteration or lack of availability during the entire life cycle of the ICT product, ICT service or ICT process;
c) | faire en sorte que les personnes autorisées, les programmes ou les machines ne puissent accéder qu’aux données, services ou fonctions concernés par leurs droits d’accès;(c) | that authorised persons, programs or machines are able only to access the data, services or functions to which their access rights refer;
d) | identifier et documenter les dépendances et vulnérabilités connues;(d) | to identify and document known dependencies and vulnerabilities;
e) | garder une trace des données, fonctions ou services qui ont été consultés, utilisés ou traités de toute autre façon, du moment où ils l’ont été et par qui;(e) | to record which data, services or functions have been accessed, used or otherwise processed, at what times and by whom;
f) | faire en sorte qu’il soit possible de vérifier quels données, services ou fonctions ont été consultés, utilisés ou traités de toute autre façon, à quel moment et par qui;(f) | to make it possible to check which data, services or functions have been accessed, used or otherwise processed, at what times and by whom;
g) | vérifier que les produits TIC, services TIC et processus TIC ne contiennent pas de vulnérabilités connues;(g) | to verify that ICT products, ICT services and ICT processes do not contain known vulnerabilities;
h) | rétablir la disponibilité des données, services et fonctions ainsi que l’accès à ceux-ci dans les plus brefs délais en cas d’incident physique ou technique;(h) | to restore the availability and access to data, services and functions in a timely manner in the event of a physical or technical incident;
i) | faire en sorte que les produits TIC, services TIC et processus TIC soient sécurisés par défaut et dès la conception;(i) | that ICT products, ICT services and ICT processes are secure by default and by design;
j) | faire en sorte que les produits TIC, services TIC et processus TIC soient dotés de logiciels et de matériel à jour et sans vulnérabilités connues du public, et de mécanismes permettant d’assurer les mises à jour en toute sécurité.(j) | that ICT products, ICT services and ICT processes are provided with up-to-date software and hardware that do not contain publicly known vulnerabilities, and are provided with mechanisms for secure updates.
Article 52Article 52
Niveaux d’assurance des schémas européens de certification de cybersécuritéAssurance levels of European cybersecurity certification schemes
1.   Un schéma européen de certification de cybersécurité peut préciser un ou plusieurs des niveaux d’assurance suivants pour les produits TIC, services TIC et processus TIC: «élémentaire», «substantiel» ou «élevé». Le niveau d’assurance correspond au niveau de risque associé à l’utilisation prévue du produit TIC, service TIC ou processus TIC, en termes de probabilité et de répercussions d’un incident.1.   A European cybersecurity certification scheme may specify one or more of the following assurance levels for ICT products, ICT services and ICT processes: ‘basic’, ‘substantial’ or ‘high’. The assurance level shall be commensurate with the level of the risk associated with the intended use of the ICT product, ICT service or ICT process, in terms of the probability and impact of an incident.
2.   Les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne mentionnent tout niveau d’assurance précisé dans le schéma européen de certification de cybersécurité dans le cadre duquel le certificat de cybersécurité européen ou la déclaration de conformité de l’Union européenne a été délivré(e).2.   European cybersecurity certificates and EU statements of conformity shall refer to any assurance level specified in the European cybersecurity certification scheme under which the European cybersecurity certificate or EU statement of conformity is issued.
3.   Les exigences de sécurité correspondant à chaque niveau d’assurance sont fournies dans le schéma européen de certification de cybersécurité concerné, y compris les fonctionnalités de sécurité correspondantes ainsi que la rigueur et l’ampleur correspondantes de l’évaluation à laquelle le produit TIC, service TIC ou processus TIC doit être soumis.3.   The security requirements corresponding to each assurance level shall be provided in the relevant European cybersecurity certification scheme, including the corresponding security functionalities and the corresponding rigour and depth of the evaluation that the ICT product, ICT service or ICT process is to undergo.
4.   Le certificat ou la déclaration de conformité de l’Union européenne fait référence aux spécifications techniques, aux normes et aux procédures connexes, y compris les contrôles techniques, l’objectif étant de réduire le risque d’incidents de cybersécurité ou de les prévenir.4.   The certificate or the EU statement of conformity shall refer to technical specifications, standards and procedures related thereto, including technical controls, the purpose of which is to decrease the risk of, or to prevent cybersecurity incidents.
5.   Un certificat de cybersécurité européen ou une déclaration de conformité de l’Union européenne qui se réfère au niveau d’assurance dit «élémentaire» offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificatif ou cette déclaration de conformité de l’Union européenne est délivré(e) satisfont aux exigences de sécurité correspondantes, y compris les fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser les risques élémentaires connus d’incidents et de cyberattaques. Les activités d’évaluation à entreprendre comprennent au moins un examen de la documentation technique. Lorsqu’un tel examen n’est pas approprié, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.5.   A European cybersecurity certificate or EU statement of conformity that refers to assurance level ‘basic’ shall provide assurance that the ICT products, ICT services and ICT processes for which that certificate or that EU statement of conformity is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known basic risks of incidents and cyberattacks. The evaluation activities to be undertaken shall include at least a review of technical documentation. Where such a review is not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.
6.   Un certificat de cybersécurité européen qui se réfère au niveau d’assurance dit «substantiel» offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser les risques liés à la cybersécurité connus, et le risque d’incidents et de cyberattaques émanant d’acteurs aux aptitudes et aux ressources limitées. Les activités d’évaluation à entreprendre comprennent au moins: un examen visant à démontrer l’absence de vulnérabilités connues du public et des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires. Lorsque de telles activités d’évaluation ne sont pas appropriées, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.6.   A European cybersecurity certificate that refers to assurance level ‘substantial’ shall provide assurance that the ICT products, ICT services and ICT processes for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the known cybersecurity risks, and the risk of incidents and cyberattacks carried out by actors with limited skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities and testing to demonstrate that the ICT products, ICT services or ICT processes correctly implement the necessary security functionalities. Where any such evaluation activities are not appropriate, substitute evaluation activities with equivalent effect shall be undertaken.
7.   Un certificat de cybersécurité européen qui se réfère au niveau d’assurance dit «élevé» offre l’assurance que les produits TIC, services TIC et processus TIC pour lesquels ce certificat est délivré satisfont aux exigences de sécurité correspondantes, y compris des fonctionnalités de sécurité, et qu’ils ont été évalués à un niveau qui vise à minimiser le risque que des cyberattaques de pointe soient menées par des acteurs aux aptitudes solides et aux ressources importantes. Les activités d’évaluation à entreprendre comprennent au moins: un examen démontrant l’absence de vulnérabilités connues du public, des vérifications tendant à démontrer que les produits TIC, services TIC ou processus TIC mettent correctement en œuvre les fonctionnalités de sécurité nécessaires, au niveau de l’état de l’art; et une évaluation de leur résistance à des attaques menées par des acteurs compétents, au moyen de tests de pénétration. Lorsque de telles activités d’évaluation ne sont pas appropriées, des activités d’évaluation de substitution ayant un effet équivalent sont entreprises.7.   A European cybersecurity certificate that refers to assurance level ‘high’ shall provide assurance that the ICT products, ICT services and ICT processes for which that certificate is issued meet the corresponding security requirements, including security functionalities, and that they have been evaluated at a level intended to minimise the risk of state-of-the-art cyberattacks carried out by actors with significant skills and resources. The evaluation activities to be undertaken shall include at least the following: a review to demonstrate the absence of publicly known vulnerabilities; testing to demonstrate that the ICT products, ICT services or ICT processes correctly implement the necessary security functionalities at the state of the art; and an assessment of their resistance to skilled attackers, using penetration testing. Where any such evaluation activities are not appropriate, substitute activities with equivalent effect shall be undertaken.
8.   Un schéma européen de certification de cybersécurité peut préciser plusieurs niveaux d’évaluation en fonction de la rigueur et de l’ampleur de la méthode d’évaluation utilisée. Chaque niveau d’évaluation correspond à l’un des niveaux d’assurance et il est défini par une combinaison appropriée de composantes d’assurance.8.   A European cybersecurity certification scheme may specify several evaluation levels depending on the rigour and depth of the evaluation methodology used. Each of the evaluation levels shall correspond to one of the assurance levels and shall be defined by an appropriate combination of assurance components.
Article 53Article 53
Autoévaluation de la conformitéConformity self-assessment
1.   Un schéma européen de certification de cybersécurité peut permettre la réalisation d’une autoévaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur de produits TIC, services TIC ou processus TIC. L’autoévaluation de la conformité n’est autorisée que pour les produits TIC, services TIC et processus TIC qui présentent un risque faible schéma correspondant au niveau d’assurance dit «élémentaire».1.   A European cybersecurity certification scheme may allow for the conformity self-assessment under the sole responsibility of the manufacturer or provider of ICT products, ICT services or ICT processes. Conformity self-assessment shall be permitted only in relation to ICT products, ICT services and ICT processes that present a low risk corresponding to assurance level ‘basic’.
2.   Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC peut délivrer une déclaration de conformité de l’Union européenne indiquant que le respect des exigences énoncées dans le schéma a été démontré. En délivrant une telle déclaration, le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC assume la responsabilité du respect par le produit TIC, service TIC ou processus TIC des exigences fixées dans ce schéma.2.   The manufacturer or provider of ICT products, ICT services or ICT processes may issue an EU statement of conformity stating that the fulfilment of the requirements set out in the scheme has been demonstrated. By issuing such a statement, the manufacturer or provider of ICT products, ICT services or ICT processes shall assume responsibility for the compliance of the ICT product, ICT service or ICT process with the requirements set out in that scheme.
3.   Le fabricant ou fournisseur de produits TIC, services TIC ou processus TIC garde à la disposition de l’autorité nationale de certification de cybersécurité visée à l’article 58 la déclaration de conformité de l’Union européenne, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC ou services TIC avec le schéma pendant la durée prévue dans le schéma européen de certification de cybersécurité correspondant. Une copie de la déclaration de conformité de l’Union européenne est transmise à l’autorité nationale de certification de cybersécurité et à l’ENISA.3.   The manufacturer or provider of ICT products, ICT services or ICT processes shall make the EU statement of conformity, technical documentation, and all other relevant information relating to the conformity of the ICT products or ICT services with the scheme available to the national cybersecurity certification authority referred to in Article 58 for the period provided for in the corresponding European cybersecurity certification scheme. A copy of the EU statement of conformity shall be submitted to the national cybersecurity certification authority and to ENISA.
4.   La délivrance d’une déclaration de conformité de l’Union européenne est volontaire, sauf disposition contraire du droit de l’Union ou du droit d’un État membre.4.   The issuing of an EU statement of conformity is voluntary, unless otherwise specified in Union law or Member State law.
5.   Les déclarations de conformité de l’Union européenne sont reconnues dans tous les États membres.5.   EU statements of conformity shall be recognised in all Member States.
Article 54Article 54
Éléments des schémas européens de certification de cybersécuritéElements of European cybersecurity certification schemes
1.   Un schéma européen de certification de cybersécurité comprend au moins les éléments suivants:1.   A European cybersecurity certification scheme shall include at least the following elements:
a) | l’objet et le champ d’application du schéma de certification, notamment le type ou les catégories de produits TIC, services TIC et processus TIC couverts;(a) | the subject matter and scope of the certification scheme, including the type or categories of ICT products, ICT services and ICT processes covered;
b) | une description claire de la finalité du schéma et de la façon dont les normes, les méthodes d’évaluation et les niveaux d’assurance sélectionnés correspondent aux besoins des utilisateurs auxquels le schéma est destiné;(b) | a clear description of the purpose of the scheme and of how the selected standards, evaluation methods and assurance levels correspond to the needs of the intended users of the scheme;
c) | des références aux normes internationales, européennes ou nationales appliquées dans le cadre de l’évaluation ou, lorsque de telles normes n’existent pas ou ne sont pas appropriées, à des spécifications techniques qui satisfont aux exigences énoncées à l’annexe II du règlement (UE) no 1025/2012 ou, lorsque de telles spécifications ne sont pas disponibles, à des spécifications techniques ou d’autres exigences de cybersécurité définies dans le schéma européen de certification de cybersécurité;(c) | references to the international, European or national standards applied in the evaluation or, where such standards are not available or appropriate, to technical specifications that meet the requirements set out in Annex II to Regulation (EU) No 1025/2012 or, if such specifications are not available, to technical specifications or other cybersecurity requirements defined in the European cybersecurity certification scheme;
d) | le cas échéant, un ou plusieurs niveaux d’assurance;(d) | where applicable, one or more assurance levels;
e) | une mention indiquant si l’autoévaluation de la conformité est autorisée dans le cadre du schéma;(e) | an indication of whether conformity self-assessment is permitted under the scheme;
f) | le cas échéant, des exigences spécifiques ou supplémentaires auxquelles sont soumis les organismes d’évaluation de la conformité aux fins de garantir qu’ils disposent des compétences techniques nécessaires pour évaluer les exigences de cybersécurité;(f) | where applicable, specific or additional requirements to which conformity assessment bodies are subject in order to guarantee their technical competence to evaluate the cybersecurity requirements;
g) | les critères et méthodes d’évaluation spécifiques qui doivent être utilisés, notamment les types d’évaluation, afin de démontrer que les objectifs de sécurité visés à l’article 51 sont atteints;(g) | the specific evaluation criteria and methods to be used, including types of evaluation, in order to demonstrate that the security objectives referred to in Article 51 are achieved;
h) | le cas échéant, les informations nécessaires à la certification qu’un demandeur doit fournir aux organismes d’évaluation de la conformité ou mettre à leur disposition d’une autre façon;(h) | where applicable, the information which is necessary for certification and which is to be supplied or otherwise be made available to the conformity assessment bodies by an applicant;
i) | lorsque le schéma prévoit des marques ou des labels, les conditions dans lesquelles ces marques ou labels peuvent être utilisés;(i) | where the scheme provides for marks or labels, the conditions under which such marks or labels may be used;
j) | les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des exigences liées aux certificats de cybersécurité européens ou aux déclarations de conformité de l’Union européenne, notamment les mécanismes permettant de démontrer le respect constant des exigences de cybersécurité qui ont été définies;(j) | rules for monitoring compliance of ICT products, ICT services and ICT processes with the requirements of the European cybersecurity certificates or the EU statements of conformity, including mechanisms to demonstrate continued compliance with the specified cybersecurity requirements;
k) | le cas échéant, les conditions permettant de délivrer, de maintenir, de prolonger et de renouveler les certificats européen de cybersécurité, ainsi que les conditions auxquelles il est possible d’étendre ou de réduire leur champ d’application;(k) | where applicable, the conditions for issuing, maintaining, continuing and renewing the European cybersecurity certificates, as well as the conditions for extending or reducing the scope of certification;
l) | les règles relatives aux conséquences pour les produits TIC, services TIC et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l’Union européenne a été délivrée, mais qui ne respectent pas les exigences du schéma;(l) | rules concerning the consequences for ICT products, ICT services and ICT processes that have been certified or for which an EU statement of conformity has been issued, but which do not comply with the requirements of the scheme;
m) | les règles relatives aux modalités de signalement et de traitement des vulnérabilités de cybersécurité non détectées précédemment dans des produits TIC, services TIC et processus TIC;(m) | rules concerning how previously undetected cybersecurity vulnerabilities in ICT products, ICT services and ICT processes are to be reported and dealt with;
n) | le cas échéant, les règles relatives à la conservation des archives par les organismes d’évaluation de la conformité;(n) | where applicable, rules concerning the retention of records by conformity assessment bodies;
o) | l’identification des schémas nationaux ou internationaux de certification de cybersécurité couvrant le même type ou les mêmes catégories de produits TIC, services TIC et processus TIC, d’exigences de sécurité, de critères et méthodes d’évaluation et de niveaux d’assurance;(o) | the identification of national or international cybersecurity certification schemes covering the same type or categories of ICT products, ICT services and ICT processes, security requirements, evaluation criteria and methods, and assurance levels;
p) | le contenu et le format des certificats de cybersécurité européens et des déclarations de conformité de l’Union européenne à délivrer;(p) | the content and the format of the European cybersecurity certificates and the EU statements of conformity to be issued;
q) | la période de disponibilité de la déclaration de conformité de l’Union européenne, de la documentation technique et de toutes les autres informations pertinentes qui doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC;(q) | the period of the availability of the EU statement of conformity, technical documentation, and all other relevant information to be made available by the manufacturer or provider of ICT products, ICT services or ICT processes;
r) | la durée maximale de validité des certificats de cybersécurité européens délivrés dans le cadre du schéma;(r) | maximum period of validity of European cybersecurity certificates issued under the scheme;
s) | la politique de divulgation concernant les certificats de cybersécurité européens délivrés, modifiés ou retirés dans le cadre du schéma;(s) | disclosure policy for European cybersecurity certificates issued, amended or withdrawn under the scheme;
t) | les conditions de reconnaissance mutuelle des schémas de certification avec les pays tiers;(t) | conditions for the mutual recognition of certification schemes with third countries;
u) | le cas échéant, les règles relatives à tout mécanisme d’évaluation par les pairs établi par le schéma pour les autorités ou organismes qui délivrent des certificats de cybersécurité européens pour le niveau d’assurance dit «élevé» en vertu de l’article 56, paragraphe 6. Un tel mécanisme est sans préjudice de l’examen par les pairs prévu à l’article 59;(u) | where applicable, rules concerning any peer assessment mechanism established by the scheme for the authorities or bodies issuing European cybersecurity certificates for assurance level ‘high’ pursuant to Article 56(6). Such mechanism shall be without prejudice to the peer review provided for in Article 59;
v) | le format et les procédures que les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC doivent appliquer pour fournir et mettre à jour les informations supplémentaires en matière de cybersécurité conformément à l’article 55.(v) | format and procedures to be followed by manufacturers or providers of ICT products, ICT services or ICT processes in supplying and updating the supplementary cybersecurity information in accordance with Article 55.
2.   Les exigences du schéma européen de certification de cybersécurité qui ont été définies sont cohérentes avec toute exigence légale applicable, notamment les exigences découlant de dispositions harmonisées du droit de l’Union.2.   The specified requirements of the European cybersecurity certification scheme shall be consistent with any applicable legal requirements, in particular requirements emanating from harmonised Union law.
3.   Lorsqu’un acte juridique spécifique de l’Union le prévoit, un certificat ou une déclaration de conformité de l’Union européenne délivré(e) dans le cadre d’un schéma européen de certification de cybersécurité peut être utilisé(e) pour démontrer la présomption de conformité aux exigences de cet acte juridique.3.   Where a specific Union legal act so provides, a certificate or an EU statement of conformity issued under a European cybersecurity certification scheme may be used to demonstrate the presumption of conformity with requirements of that legal act.
4.   En l’absence de dispositions harmonisées du droit de l’Union, le droit d’un État membre peut aussi prévoir qu’un schéma européen de certification de cybersécurité peut être utilisé pour établir la présomption de conformité aux exigences légales.4.   In the absence of harmonised Union law, Member State law may also provide that a European cybersecurity certification scheme may be used for establishing the presumption of conformity with legal requirements.
Article 55Article 55
Informations supplémentaires en matière de cybersécurité pour les produits TIC, services TIC et processus TIC certifiésSupplementary cybersecurity information for certified ICT products, ICT services and ICT processes
1.   Le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC certifiés ou de produits TIC, services TIC et processus TIC pour lesquels une déclaration de conformité de l’Union européenne a été délivrée met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public:1.   The manufacturer or provider of certified ICT products, ICT services or ICT processes or of ICT products, ICT services and ICT processes for which an EU statement of conformity has been issued shall make publicly available the following supplementary cybersecurity information:
a) | des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l’installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC;(a) | guidance and recommendations to assist end users with the secure configuration, installation, deployment, operation and maintenance of the ICT products or ICT services;
b) | la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité;(b) | the period during which security support will be offered to end users, in particular as regards the availability of cybersecurity related updates;
c) | les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d’utilisateurs finaux et de chercheurs dans le domaine de la sécurité;(c) | contact information of the manufacturer or provider and accepted methods for receiving vulnerability information from end users and security researchers;
d) | une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité.(d) | a reference to online repositories listing publicly disclosed vulnerabilities related to the ICT product, ICT service or ICT process and to any relevant cybersecurity advisories.
2.   Les informations visées au paragraphe 1 sont disponibles sous forme électronique et restent disponibles et actualisées en tant que de besoin au moins jusqu’à l’expiration du certificat de cybersécurité européen ou de la déclaration de conformité de l’Union européenne correspondant(e).2.   The information referred to in paragraph 1 shall be available in electronic form and shall remain available and be updated as necessary at least until the expiry of the corresponding European cybersecurity certificate or EU statement of conformity.
Article 56Article 56
Certification de cybersécuritéCybersecurity certification
1.   Les produits TIC, services TIC et processus TIC qui ont été certifiés dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu de l’article 49 sont présumés respecter les exigences de ce schéma.1.   ICT products, ICT services and ICT processes that have been certified under a European cybersecurity certification scheme adopted pursuant to Article 49 shall be presumed to comply with the requirements of such scheme.
2.   La certification de cybersécurité est volontaire, sauf disposition contraire du droit de l’Union ou du droit d’un État membre.2.   The cybersecurity certification shall be voluntary, unless otherwise specified by Union law or Member State law.
3.   La Commission évalue régulièrement l’efficacité et l’utilisation des schémas européens de certification de cybersécurité adoptés ainsi que la question de savoir si un schéma européen de certification de cybersécurité spécifique doit être rendu obligatoire, au moyen de dispositions pertinentes du droit de l’Union, pour garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l’Union et améliorer le fonctionnement du marché intérieur. La première de ces évaluations est effectuée le 31 décembre 2023 au plus tard, et les évaluations suivantes sont effectuées au moins tous les deux ans par la suite. Sur la base des résultats de ces évaluations, la Commission recense les produits TIC, services TIC et processus TIC couverts par un schéma de certification existant qui doivent relever d’un schéma de certification obligatoire.3.   The Commission shall regularly assess the efficiency and use of the adopted European cybersecurity certification schemes and whether a specific European cybersecurity certification scheme is to be made mandatory through relevant Union law to ensure an adequate level of cybersecurity of ICT products, ICT services and ICT processes in the Union and improve the functioning of the internal market. The first such assessment shall be carried out by 31 December 2023, and subsequent assessments shall be carried out at least every two years thereafter. Based on the outcome of those assessments, the Commission shall identify the ICT products, ICT services and ICT processes covered by an existing certification scheme which are to be covered by a mandatory certification scheme.
La Commission met l’accent en priorité sur les secteurs dont la liste figure à l’annexe II de la directive (UE) 2016/1148 qui sont évalués au plus tard deux ans après l’adoption du premier schéma européen de certification de cybersécurité.As a priority, the Commission shall focus on the sectors listed in Annex II to Directive (EU) 2016/1148, which shall be assessed at the latest two years after the adoption of the first European cybersecurity certification scheme.
Lorsqu’elle prépare l’évaluation, la Commission:When preparing the assessment the Commission shall:
a) | tient compte de l’incidence des mesures, du point de vue des coûts, sur les fabricants ou fournisseurs de ces produits TIC, services TIC ou processus TIC et sur les utilisateurs, ainsi que des avantages sociétaux ou économiques résultant du renforcement escompté du niveau de sécurité des produits TIC, services TIC ou processus TIC ciblés;(a) | take into account the impact of the measures on the manufacturers or providers of such ICT products, ICT services or ICT processes and on the users in terms of the cost of those measures and the societal or economic benefits stemming from the anticipated enhanced level of security for the targeted ICT products, ICT services or ICT processes;
b) | tient compte de l’existence et de la mise en œuvre du droit des États membres et des pays tiers concernés;(b) | take into account the existence and implementation of relevant Member State and third country law;
c) | engage un processus de consultation ouvert, transparent et inclusif avec toutes les parties prenantes concernées et les États membres;(c) | carry out an open, transparent and inclusive consultation process with all relevant stakeholders and Member States;
d) | prend en considération les délais de mise en œuvre ainsi que les mesures et périodes transitoires, en ce qui concerne, en particulier, l’incidence éventuelle de la mesure sur les fabricants ou les fournisseurs de produits TIC, services TIC ou processus TIC, y compris les PME;(d) | take into account any implementation deadlines, transitional measures and periods, in particular with regard to the possible impact of the measure on the manufacturers or providers of ICT products, ICT services or ICT processes, including SMEs;
e) | propose la façon la plus rapide et la plus efficace de mettre en œuvre la transition des schémas de certification volontaires vers les schémas de certification obligatoires.(e) | propose the most speedy and efficient way in which the transition from a voluntary to mandatory certification schemes is to be implemented.
4.   Les organismes d’évaluation de la conformité visés à l’article 60 délivrent des certificats de cybersécurité européens au titre du présent article attestant du niveau d’assurance dit «élémentaire» ou «substantiel» sur la base des critères figurant dans le schéma européen de certification de cybersécurité adopté par la Commission conformément à l’article 49.4.   The conformity assessment bodies referred to in Article 60 shall issue European cybersecurity certificates pursuant to this Article referring to assurance level ‘basic’ or ‘substantial’ on the basis of criteria included in the European cybersecurity certification scheme adopted by the Commission pursuant to Article 49.
5.   Par dérogation au paragraphe 4, dans des cas dûment justifiés, un schéma européen de certification de cybersécurité peut prévoir que seul un organisme public peut délivrer des certificats de cybersécurité européens dans le cadre dudit schéma. Cet organisme est l’une des entités suivantes:5.   By way of derogation from paragraph 4, in duly justified cases a European cybersecurity certification scheme may provide that European cybersecurity certificates resulting from that scheme are to be issued only by a public body. Such body shall be one of the following:
a) | une autorité nationale de certification de cybersécurité visée à l’article 58, paragraphe 1; ou(a) | a national cybersecurity certification authority as referred to in Article 58(1); or
b) | un organisme public accrédité en tant qu’organisme d’évaluation de la conformité conformément à l’article 60, paragraphe 1.(b) | a public body that is accredited as a conformity assessment body pursuant to Article 60(1).
6.   Lorsqu’un schéma européen de certification de cybersécurité adopté au titre de l’article 49 exige un niveau d’assurance dit «élevé», le certificat de cybersécurité européen dans le cadre de ce schéma ne doit être délivré que par une autorité nationale de certification de cybersécurité ou, dans les cas suivants, par un organisme d’évaluation de la conformité:6.   Where a European cybersecurity certification scheme adopted pursuant to Article 49 requires an assurance level ‘high’, the European cybersecurity certificate under that scheme is to be issued only by a national cybersecurity certification authority or, in the following cases, by a conformity assessment body:
a) | moyennant l’approbation préalable de l’autorité nationale de certification de cybersécurité pour chaque certificat de cybersécurité européen délivré par un organisme d’évaluation de la conformité; ou(a) | upon prior approval by the national cybersecurity certification authority for each individual European cybersecurity certificate issued by a conformity assessment body; or
b) | sur la base d’une délégation préalable de la tâche consistant à délivrer de tels certificats de cybersécurité européens à un organisme d’évaluation de la conformité par l’autorité nationale de certification de cybersécurité.(b) | on the basis of a general delegation of the task of issuing such European cybersecurity certificates to a conformity assessment body by the national cybersecurity certification authority.
7.   La personne physique ou morale qui soumet des produits TIC, services TIC ou processus TIC à la certification met à la disposition de l’autorité nationale de certification de cybersécurité visée à l’article 58, lorsque cette autorité est l’organisme délivrant le certificat de cybersécurité européen, ou de l’organisme d’évaluation de la conformité visé à l’article 60 toutes les informations nécessaires pour procéder à la certification.7.   The natural or legal person who submits ICT products, ICT services or ICT processes for certification shall make available to the national cybersecurity certification authority referred to in Article 58, where that authority is the body issuing the European cybersecurity certificate, or to the conformity assessment body referred to in Article 60 all information necessary to conduct the certification.
8.   Le titulaire d’un certificat de cybersécurité européen informe l’autorité ou l’organisme visé au paragraphe 7 de toute vulnérabilité ou irrégularité détectée ultérieurement concernant la sécurité du produit TIC, service TIC ou processus TIC certifié susceptible d’avoir une incidence sur son respect des exigences liées à la certification. Cette autorité ou cet organisme transmet ces informations sans retard injustifié à l’autorité nationale de certification de cybersécurité concernée.8.   The holder of a European cybersecurity certificate shall inform the authority or body referred to in paragraph 7 of any subsequently detected vulnerabilities or irregularities concerning the security of the certified ICT product, ICT service or ICT process that may have an impact on its compliance with the requirements related to the certification. That authority or body shall forward that information without undue delay to the national cybersecurity certification authority concerned.
9.   Un certificat de cybersécurité européen est délivré pour la durée prévue par le schéma européen de certification de cybersécurité concerné et peut être renouvelé, pourvu que les exigences applicables continuent d’être satisfaites.9.   A European cybersecurity certificate shall be issued for the period provided for in the European cybersecurity certification scheme and may be renewed, provided that the relevant requirements continue to be met.
10.   Un certificat de cybersécurité européen délivré au titre du présent article est reconnu dans tous les États membres.10.   A European cybersecurity certificate issued pursuant to this Article shall be recognised in all Member States.
Article 57Article 57
Schémas nationaux de certification de cybersécurité et certificatsNational cybersecurity certification schemes and certificates
1.   Sans préjudice du paragraphe 3 du présent article, les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC et processus TIC couverts par un schéma européen de certification de cybersécurité cessent de produire leurs effets à partir de la date fixée dans l’acte d’exécution adopté en application de l’article 49, paragraphe 7. Les schémas nationaux de certification de cybersécurité et les procédures connexes pour les produits TIC, services TIC et processus TIC qui ne sont pas couverts par un schéma européen de certification de cybersécurité continuent à exister.1.   Without prejudice to paragraph 3 of this Article, national cybersecurity certification schemes, and the related procedures for the ICT products, ICT services and ICT processes that are covered by a European cybersecurity certification scheme shall cease to produce effects from the date established in the implementing act adopted pursuant to Article 49(7). National cybersecurity certification schemes and the related procedures for the ICT products, ICT services and ICT processes that are not covered by a European cybersecurity certification scheme shall continue to exist.
2.   Les États membres s’abstiennent d’instaurer de nouveaux schémas nationaux de certification de cybersécurité pour les produits TIC, services TIC et processus TIC qui sont déjà couverts par un schéma européen de certification de cybersécurité en vigueur.2.   Member States shall not introduce new national cybersecurity certification schemes for ICT products, ICT services and ICT processes already covered by a European cybersecurity certification scheme that is in force.
3.   Les certificats existants, qui ont été délivrés dans le cadre de schémas nationaux de certification de cybersécurité et qui sont couverts par un schéma européen de certification de cybersécurité, restent valables jusqu’à leur date d’expiration.3.   Existing certificates that were issued under national cybersecurity certification schemes and are covered by a European cybersecurity certification scheme shall remain valid until their expiry date.
4.   En vue d’éviter la fragmentation du marché intérieur, les États membres informent la Commission et le GECC de leur intention éventuelle d’élaborer de nouveaux schémas nationaux de certification de cybersécurité.4.   With a view to avoiding the fragmentation of the internal market, Member States shall inform the Commission and the ECCG of any intention to draw up new national cybersecurity certification schemes.
Article 58Article 58
Autorités nationales de certification de cybersécuritéNational cybersecurity certification authorities
1.   Chaque État membre désigne une ou plusieurs autorités nationales de certification de cybersécurité sur son territoire ou, moyennant l’accord d’un autre État membre, désigne une ou plusieurs autorités nationales de certification de cybersécurité établies dans cet autre État membre comme responsables des tâches de supervision dans l’État membre qui procède à la désignation.1.   Each Member State shall designate one or more national cybersecurity certification authorities in its territory or, with the agreement of another Member State, shall designate one or more national cybersecurity certification authorities established in that other Member State to be responsible for the supervisory tasks in the designating Member State.
2.   Chaque État membre informe la Commission de l’identité des autorités nationales de certification de cybersécurité désignées. Lorsqu’un État membre désigne plus d’une autorité, il communique en outre à la Commission des informations sur les tâches confiées à chacune de ces autorités.2.   Each Member State shall inform the Commission of the identity of the designated national cybersecurity certification authorities. Where a Member State designates more than one authority, it shall also inform the Commission about the tasks assigned to each of those authorities.
3.   Sans préjudice de l’article 56, paragraphe 5, point a), et de l’article 56, paragraphe 6, chaque autorité nationale de certification de cybersécurité est indépendante des entités qu’elle surveille en ce qui concerne son organisation, ses décisions de financement, sa structure juridique et son processus décisionnel.3.   Without prejudice to point (a) of Article 56(5) and Article 56(6), each national cybersecurity certification authority shall be independent of the entities it supervises in its organisation, funding decisions, legal structure and decision-making.
4.   Les États membres veillent à ce que les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens visées à l’article 56, paragraphe 5, point a), et à l’article 56, paragraphe 6, soient strictement distinctes de leurs activités de supervision visées au présent article, et à ce que ces activités soient exécutées indépendamment l’une de l’autre.4.   Member States shall ensure that the activities of the national cybersecurity certification authorities that relate to the issuance of European cybersecurity certificates referred to in point (a) of Article 56(5) and in Article 56(6) are strictly separated from their supervisory activities set out in this Article and that those activities are carried out independently from each other.
5.   Les États membres veillent à ce que les autorités nationales de certification de cybersécurité disposent de ressources adéquates pour exercer leurs pouvoirs et exécuter leurs tâches de manière efficace et efficiente.5.   Member States shall ensure that national cybersecurity certification authorities have adequate resources to exercise their powers and to carry out their tasks in an effective and efficient manner.
6.   Afin d’assurer la mise en œuvre efficace du présent règlement, il convient que les autorités nationales de certification de cybersécurité participent de manière active, efficace, efficiente et sécurisée au GECC.6.   For the effective implementation of this Regulation, it is appropriate that national cybersecurity certification authorities participate in the ECCG in an active, effective, efficient and secure manner.
7.   Les autorités nationales de certification de cybersécurité:7.   National cybersecurity certification authorities shall:
a) | supervisent et font respecter les règles prévues dans les schémas européens de certification de cybersécurité, en application de l’article 54, paragraphe 1, point j), aux fins du contrôle du respect par les produits TIC, services TIC et processus TIC des exigences des certificats de cybersécurité européens délivrés sur leurs territoires respectifs, en coopération avec les autres autorités compétentes de surveillance du marché;(a) | supervise and enforce rules included in European cybersecurity certification schemes pursuant to point (j) of Article 54(1) for the monitoring of the compliance of ICT products, ICT services and ICT processes with the requirements of the European cybersecurity certificates that have been issued in their respective territories, in cooperation with other relevant market surveillance authorities;
b) | contrôlent le respect des obligations qui incombent aux fabricants ou fournisseurs de produits TIC, services TIC ou processus TIC qui sont établis sur leurs territoires respectifs et qui procèdent à une autoévaluation de conformité et font respecter ces obligations, et contrôlent, en particulier, le respect des obligations de ces fabricants ou fournisseurs visées à l’article 53, paragraphes 2 et 3, et dans le schéma européen de certification de cybersécurité correspondant, et font respecter ces obligations;(b) | monitor compliance with and enforce the obligations of the manufacturers or providers of ICT products, ICT services or ICT processes that are established in their respective territories and that carry out conformity self-assessment, and shall, in particular, monitor compliance with and enforce the obligations of such manufacturers or providers set out in Article 53(2) and (3) and in the corresponding European cybersecurity certification scheme;
c) | sans préjudice de l’article 60, paragraphe 3, assistent et soutiennent activement les organismes nationaux d’accréditation dans le contrôle et la supervision des activités des organismes d’évaluation de la conformité aux fins du présent règlement;(c) | without prejudice to Article 60(3), actively assist and support the national accreditation bodies in the monitoring and supervision of the activities of conformity assessment bodies, for the purposes of this Regulation;
d) | contrôlent et supervisent les activités des organismes publics visées à l’article 56, paragraphe 5;(d) | monitor and supervise the activities of the public bodies referred to in Article 56(5);
e) | lorsqu’il y a lieu, autorisent les organismes d’évaluation de la conformité à effectuer leurs tâches conformément à l’article 60, paragraphe 3, et limitent, suspendent ou retirent les autorisations existantes lorsque les organismes d’évaluation de la conformité violent les exigences du présent règlement;(e) | where applicable, authorise conformity assessment bodies in accordance with Article 60(3) and restrict, suspend or withdraw existing authorisation where conformity assessment bodies infringe the requirements of this Regulation;
f) | traitent les réclamations introduites par des personnes physiques ou morales en rapport avec les certificats de cybersécurité européens délivrés par des autorités nationales de certification de cybersécurité ou en rapport avec les certificats de cybersécurité européens délivrés par des organismes d’évaluation de la conformité conformément à l’article 56, paragraphe 6, ou en rapport avec les déclarations de conformité de l’Union européenne délivrées au titre de l’article 53, examinent l’objet de ces réclamations dans la mesure nécessaire et informent l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable;(f) | handle complaints by natural or legal persons in relation to European cybersecurity certificates issued by national cybersecurity certification authorities or to European cybersecurity certificates issued by conformity assessment bodies in accordance with Article 56(6) or in relation to EU statements of conformity issued under Article 53, and shall investigate the subject matter of such complaints to the extent appropriate, and shall inform the complainant of the progress and the outcome of the investigation within a reasonable period;
g) | communiquent à l’ENISA et au GECC un résumé annuel des activités entreprises en application des points b), c) et d) du présent paragraphe ou du paragraphe 8;(g) | provide an annual summary report on the activities conducted under points (b), (c) and (d) of this paragraph or under paragraph 8 to ENISA and the ECCG;
h) | coopèrent avec les autres autorités nationales de certification de cybersécurité ou d’autres autorités publiques, notamment en partageant des informations sur l’éventuel non-respect par des produits TIC, services TIC et processus TIC des exigences du présent règlement ou des exigences de schémas de certification de cybersécurité spécifiques; et(h) | cooperate with other national cybersecurity certification authorities or other public authorities, including by sharing information on the possible non-compliance of ICT products, ICT services and ICT processes with the requirements of this Regulation or with the requirements of specific European cybersecurity certification schemes; and
i) | suivent les évolutions pertinentes dans le domaine de la certification de cybersécurité.(i) | monitor relevant developments in the field of cybersecurity certification.
8.   Chaque autorité nationale de certification de cybersécurité dispose au moins des pouvoirs suivants:8.   Each national cybersecurity certification authority shall have at least the following powers:
a) | de demander aux organismes d’évaluation de la conformité, aux titulaires de certificats de cybersécurité européens et aux émetteurs de déclarations de conformité de l’Union européenne de lui communiquer toute information dont elle a besoin pour l’exécution de ses tâches;(a) | to request conformity assessment bodies, European cybersecurity certificates’ holders and issuers of EU statements of conformity to provide any information it requires for the performance of its tasks;
b) | d’effectuer des enquêtes, sous la forme d’audits, auprès des organismes d’évaluation de la conformité, des titulaires de certificats de cybersécurité européens et des émetteurs de déclarations de conformité de l’Union européenne afin de vérifier qu’ils respectent le présent titre;(b) | to carry out investigations, in the form of audits, of conformity assessment bodies, European cybersecurity certificates’ holders and issuers of EU statements of conformity, for the purpose of verifying their compliance with this Title;
c) | de prendre les mesures appropriées, conformément au droit national, pour veiller à ce que les organismes d’évaluation de la conformité, les titulaires de certificats de cybersécurité européens et les émetteurs de déclarations de conformité de l’Union européenne respectent le présent règlement ou un schéma européen de certification de cybersécurité;(c) | to take appropriate measures, in accordance with national law, to ensure that conformity assessment bodies, European cybersecurity certificates’ holders and issuers of EU statements of conformity comply with this Regulation or with a European cybersecurity certification scheme;
d) | d’obtenir l’accès aux locaux des organismes d’évaluation de la conformité ou des titulaires de certificats de cybersécurité européens afin d’effectuer des enquêtes conformément au droit procédural de l’Union ou au droit procédural d’un État membre;(d) | to obtain access to the premises of any conformity assessment bodies or holders of European cybersecurity certificates, for the purpose of carrying out investigations in accordance with Union or Member State procedural law;
e) | de retirer, conformément au droit national, les certificats de cybersécurité européens délivrés par les autorités nationales de certification de cybersécurité ou les certificats de cybersécurité européens délivrés par les organismes d’évaluation de la conformité conformément à l’article 56, paragraphe 6, lorsque de tels certificats ne respectent pas le présent règlement ou un schéma européen de certification de cybersécurité;(e) | to withdraw, in accordance with national law, European cybersecurity certificates issued by the national cybersecurity certification authorities or European cybersecurity certificates issued by conformity assessment bodies in accordance with Article 56(6), where such certificates do not comply with this Regulation or with a European cybersecurity certification scheme;
f) | d’imposer des sanctions conformément au droit national, comme le prévoit l’article 65, et d’exiger la cessation immédiate des violations des obligations énoncées dans le présent règlement.(f) | to impose penalties in accordance with national law, as provided for in Article 65, and to require the immediate cessation of infringements of the obligations set out in this Regulation.
9.   Les autorités nationales de certification de cybersécurité coopèrent entre elles et avec la Commission et échangent notamment des informations, expériences et bonnes pratiques en ce qui concerne la certification de cybersécurité et les questions techniques relatives à la cybersécurité des produits TIC, services TIC et processus TIC.9.   National cybersecurity certification authorities shall cooperate with each other and with the Commission, in particular, by exchanging information, experience and good practices as regards cybersecurity certification and technical issues concerning the cybersecurity of ICT products, ICT services and ICT processes.
Article 59Article 59
Examen par les pairsPeer review
1.   Dans un souci d’équivalence des normes, dans l’ensemble de l’Union, en ce qui concerne les certificats de cybersécurité européens et les déclarations de conformité de l’Union européenne, les autorités nationales de certification de cybersécurité font l’objet d’un examen par les pairs.1.   With a view to achieving equivalent standards throughout the Union in respect of European cybersecurity certificates and EU statements of conformity, national cybersecurity certification authorities shall be subject to peer review.
2.   L’examen par les pairs est effectué selon des critères et des procédures d’évaluation cohérents et transparents, en particulier en ce qui concerne les exigences structurelles et celles relatives aux ressources humaines et aux processus, ainsi que la confidentialité et les plaintes.2.   Peer review shall be carried out on the basis of sound and transparent evaluation criteria and procedures, in particular concerning structural, human resource and process requirements, confidentiality and complaints.
3.   L’examen par les pairs évalue:3.   Peer review shall assess:
a) | lorsqu’il y a lieu, la question de savoir si les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens visées à l’article 56, paragraphe 5, point a), et à l’article 56, paragraphe 6, sont strictement distinctes des activités de supervision visées à l’article 58, et celle de savoir si ces activités sont exercées indépendamment l’une de l’autre;(a) | where applicable, whether the activities of the national cybersecurity certification authorities that relate to the issuance of European cybersecurity certificates referred to in point (a) of Article 56(5) and in Article 56(6) are strictly separated from their supervisory activities set out in Article 58 and whether those activities are carried out independently from each other;
b) | les procédures permettant de superviser et de faire respecter les règles relatives au contrôle du respect par les produits TIC, services TIC et processus TIC des certificats de cybersécurité européens, conformément à l’article 58, paragraphe 7, point a);(b) | the procedures for supervising and enforcing the rules for monitoring the compliance of ICT products, ICT services and ICT processes with European cybersecurity certificates pursuant to point (a) of Article 58(7);
c) | les procédures permettant de contrôler et de faire respecter les obligations des fabricants et des fournisseurs de produits TIC, services TIC ou processus TIC, conformément à l’article 58, paragraphe 7, point b);(c) | the procedures for monitoring and enforcing the obligations of manufacturers or providers of ICT products, ICT services or ICT processes pursuant to point (b) of Article 58(7);
d) | les procédures permettant de contrôler, d’autoriser et de superviser les activités des organismes d’évaluation de la conformité;(d) | the procedures for monitoring, authorising and supervising the activities of the conformity assessment bodies;
e) | lorsqu’il y a lieu, la question de savoir si le personnel des autorités ou organismes qui délivrent des certificats pour un niveau d’assurance dit «élevé», conformément à l’article 56, paragraphe 6, dispose des compétences nécessaires.(e) | where applicable, whether the staff of authorities or bodies that issue certificates for assurance level ‘high’ pursuant to Article 56(6) have the appropriate expertise.
4.   L’examen par les pairs est réalisé au moins une fois tous les cinq ans par au moins deux autorités nationales de certification de cybersécurité d’autres États membres et par la Commission. L’ENISA peut participer à l’examen par les pairs.4.   Peer review shall be carried out by at least two national cybersecurity certification authorities of other Member States and the Commission and shall be carried out at least once every five years. ENISA may participate in the peer review.
5.   La Commission peut adopter des actes d’exécution établissant un plan pour l’examen par les pairs couvrant une période d’au moins cinq ans et définissant les critères concernant la composition de l’équipe chargée de l’examen par les pairs, la méthode utilisée pour mener cet examen, ainsi que le programme, la fréquence et les autres tâches y afférentes. Lors de l’adoption de ces actes d’exécution, la Commission tient dûment compte des observations formulées par le GECC. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 66, paragraphe 2.5.   The Commission may adopt implementing acts establishing a plan for peer review which covers a period of at least five years, laying down the criteria concerning the composition of the peer review team, the methodology to be used in peer review, and the schedule, the frequency and other tasks related to it. In adopting those implementing acts, the Commission shall take due account of the views of the ECCG. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 66(2).
6.   Les résultats des examens par les pairs sont examinés par le GECC, qui établit des résumés pouvant être rendu publics et qui émet, au besoin, des lignes directrices ou des recommandations sur les actions à entreprendre ou les mesures à prendre par les entités concernées.6.   The outcomes of peer reviews shall be examined by the ECCG, which shall draw up summaries that may be made publicly available and which shall, where necessary, issue guidelines or recommendations on actions or measures to be taken by the entities concerned.
Article 60Article 60
Organismes d’évaluation de la conformitéConformity assessment bodies
1.   Les organismes d’évaluation de la conformité sont accrédités par les organismes nationaux d’accréditation désignés conformément au règlement (CE) no 765/2008. Cette accréditation n’est délivrée que lorsque l’organisme d’évaluation de la conformité satisfait aux exigences énoncées à l’annexe du présent règlement.1.   The conformity assessment bodies shall be accredited by national accreditation bodies appointed pursuant to Regulation (EC) No 765/2008. Such accreditation shall be issued only where the conformity assessment body meets the requirements set out in the Annex to this Regulation.
2.   Lorsqu’un certificat de cybersécurité européen est délivré par une autorité nationale de certification de cybersécurité en vertu de l’article 56, paragraphe 5, point a), et de l’article 56, paragraphe 6, l’organisme de certification de l’autorité nationale de certification de cybersécurité est accrédité en tant qu’organisme d’évaluation de la conformité conformément au paragraphe 1 du présent article.2.   Where a European cybersecurity certificate is issued by a national cybersecurity certification authority pursuant to point (a) of Article 56(5) and Article 56(6), the certification body of the national cybersecurity certification authority shall be accredited as a conformity assessment body pursuant to paragraph 1 of this Article.
3.   Lorsque les schémas européens de certification de cybersécurité fixent des exigences spécifiques ou supplémentaires en application de l’article 54, paragraphe 1, point f), seuls les organismes d’évaluation de la conformité qui satisfont à ces exigences sont autorisés par l’autorité nationale de certification de cybersécurité à effectuer les tâches prévues dans le cadre de ces schémas.3.   Where European cybersecurity certification schemes set out specific or additional requirements pursuant to point (f) of Article 54(1), only conformity assessment bodies that meet those requirements shall be authorised by the national cybersecurity certification authority to carry out tasks under such schemes.
4.   L’accréditation visée au paragraphe 1 est délivrée par l’organisme d’évaluation de la conformité pour une durée maximale de cinq ans et peut être renouvelée dans les mêmes conditions, pourvu que l’organisme d’évaluation de la conformité satisfasse aux exigences énoncées au présent article. Les organismes nationaux d’accréditation prennent, dans un délai raisonnable, toutes les mesures appropriées pour limiter, suspendre ou révoquer l’accréditation d’un organisme d’évaluation de la conformité délivrée en vertu du paragraphe 1 lorsque les conditions de l’accréditation ne sont pas ou plus remplies ou lorsque l’organisme d’évaluation de la conformité viole le présent règlement.4.   The accreditation referred to in paragraph 1 shall be issued to the conformity assessment bodies for a maximum of five years and may be renewed on the same conditions, provided that the conformity assessment body still meets the requirements set out in this Article. National accreditation bodies shall take all appropriate measures within a reasonable timeframe to restrict, suspend or revoke the accreditation of a conformity assessment body issued pursuant to paragraph 1 where the conditions for the accreditation have not been met or are no longer met, or where the conformity assessment body infringes this Regulation.
Article 61Article 61
NotificationNotification
1.   Pour chaque schéma européen de certification de cybersécurité, les autorités nationales de certification de cybersécurité notifient à la Commission le nom des organismes d’évaluation de la conformité accrédités et, le cas échéant, autorisés en vertu de l’article 60, paragraphe 3, à délivrer des certificats de cybersécurité européens aux niveaux d’assurance déterminés tels qu’ils sont visés à l’article 52. Les autorités nationales de certification de cybersécurité informent la Commission, sans retard indu, de toute modification ultérieure qui y est apportée.1.   For each European cybersecurity certification scheme, the national cybersecurity certification authorities shall notify the Commission of the conformity assessment bodies that have been accredited and, where applicable, authorised pursuant to Article 60(3) to issue European cybersecurity certificates at specified assurance levels as referred to in Article 52. The national cybersecurity certification authorities shall notify the Commission of any subsequent changes thereto without undue delay.
2.   Un an après la date d’entrée en vigueur d’un schéma européen de certification de cybersécurité, la Commission publie au Journal officiel de l’Union européenne une liste des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification dans le cadre de ce schéma.2.   One year after the entry into force of a European cybersecurity certification scheme, the Commission shall publish a list of the conformity assessment bodies notified under that scheme in the Official Journal of the European Union.
3.   Si la Commission reçoit une notification après l’expiration du délai visé au paragraphe 2, elle publie les modifications apportées à la liste des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification au Journal officiel de l’Union européenne dans un délai de deux mois à compter de la date de réception de cette notification.3.   If the Commission receives a notification after the expiry of the period referred to in paragraph 2, it shall publish the amendments to the list of notified conformity assessment bodies in the Official Journal of the European Union within two months of the date of receipt of that notification.
4.   Une autorité nationale de certification de cybersécurité peut présenter à la Commission une demande visant à retirer de la liste visée au paragraphe 2 un organisme d’évaluation de la conformité qui a fait l’objet d’une notification par cette autorité. La Commission publie au Journal officiel de l’Union européenne les modifications correspondantes apportées à la liste dans un délai d’un mois à compter de la date de réception de la demande présentée par l’autorité nationale de certification de cybersécurité.4.   A national cybersecurity certification authority may submit to the Commission a request to remove a conformity assessment body notified by that authority from the list referred to in paragraph 2. The Commission shall publish the corresponding amendments to that list in the Official Journal of the European Union within one month of the date of receipt of the national cybersecurity certification authority’s request.
5.   La Commission peut adopter des actes d’exécution visant à établir les circonstances, formats et procédures pour les notifications visées au paragraphe 1 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 66, paragraphe 2.5.   The Commission may adopt implementing acts to establish the circumstances, formats and procedures for notifications referred to in paragraph 1 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 66(2).
Article 62Article 62
Groupe européen de certification de cybersécuritéEuropean Cybersecurity Certification Group
1.   Le groupe européen de certification de cybersécurité (GECC) est institué.1.   The European Cybersecurity Certification Group (the ‘ECCG’) shall be established.
2.   Le GECC est composé de représentants d’autorités nationales de certification de cybersécurité ou de représentants d’autres autorités nationales compétentes. Un membre du GECC ne peut représenter plus de deux États membres.2.   The ECCG shall be composed of representatives of national cybersecurity certification authorities or representatives of other relevant national authorities. A member of the ECCG shall not represent more than two Member States.
3.   Les parties prenantes et les tiers concernés peuvent être invités à assister aux réunions du GECC et à participer à ses travaux.3.   Stakeholders and relevant third parties may be invited to attend meetings of the ECCG and to participate in its work.
4.   Le GECC a pour mission:4.   The ECCG shall have the following tasks:
a) | de conseiller et d’assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du présent titre, notamment en ce qui concerne le programme de travail glissant de l’Union, les questions de politique de certification de cybersécurité, la coordination des approches politiques et la préparation de schémas européens de certification de cybersécurité;(a) | to advise and assist the Commission in its work to ensure the consistent implementation and application of this Title, in particular regarding the Union rolling work programme, cybersecurity certification policy issues, the coordination of policy approaches, and the preparation of European cybersecurity certification schemes;
b) | d’assister et de conseiller l’ENISA et de coopérer avec elle en ce qui concerne la préparation d’un schéma candidat en vertu de l’article 49;(b) | to assist, advise and cooperate with ENISA in relation to the preparation of a candidate scheme pursuant to Article 49;
c) | d’adopter un avis sur les schémas candidats préparés par l’ENISA en vertu de l’article 49;(c) | to adopt an opinion on candidate schemes prepared by ENISA pursuant to Article 49;
d) | de demander à l’ENISA de préparer un schéma candidat en vertu de l’article 48, paragraphe 2;(d) | to request ENISA to prepare candidate schemes pursuant to Article 48(2);
e) | d’adopter des avis adressés à la Commission concernant la maintenance et le réexamen de schémas européens de certification de cybersécurité existants;(e) | to adopt opinions addressed to the Commission relating to the maintenance and review of existing European cybersecurity certifications schemes;
f) | d’examiner les évolutions pertinentes dans le domaine de la certification de cybersécurité et d’échanger des informations et de bonnes pratiques sur les schémas de certification de cybersécurité;(f) | to examine relevant developments in the field of cybersecurity certification and to exchange information and good practices on cybersecurity certification schemes;
g) | de faciliter la coopération entre les autorités nationales de certification de cybersécurité en vertu du présent titre par le renforcement des capacités et l’échange d’informations, notamment en établissant des méthodes permettant un échange d’informations efficace sur toutes les questions relatives à la certification de cybersécurité;(g) | to facilitate the cooperation between national cybersecurity certification authorities under this Title through capacity-building and the exchange of information, in particular by establishing methods for the efficient exchange of information relating to issues concerning cybersecurity certification;
h) | de fournir un soutien à la mise en œuvre des mécanismes d’évaluation par les pairs conformément aux règles fixées dans un schéma européen de certification de cybersécurité en vertu de l’article 54, paragraphe 1, point u);(h) | to support the implementation of peer assessment mechanisms in accordance with the rules established in a European cybersecurity certification scheme pursuant to point (u) of Article 54(1);
i) | de faciliter l’alignement des schémas européens de certification de cybersécurité sur les normes internationalement reconnues, y compris en examinant les schémas européens de certification de cybersécurité existants et, s’il y a lieu, en recommandant à l’ENISA de nouer le dialogue avec les organisations internationales de normalisation compétentes dans le but de remédier à des insuffisances ou à des lacunes affectant les normes internationalement reconnues en vigueur.(i) | to facilitate the alignment of European cybersecurity certification schemes with internationally recognised standards, including by reviewing existing European cybersecurity certification schemes and, where appropriate, making recommendations to ENISA to engage with relevant international standardisation organisations to address insufficiencies or gaps in available internationally recognised standards.
5.   Avec l’aide de l’ENISA, la Commission préside le GECC et en assure le secrétariat, conformément à l’article 8, paragraphe 1, point e).5.   With the assistance of ENISA, the Commission shall chair the ECCG, and the Commission shall provide the ECCG with a secretariat in accordance with point (e) of Article 8(1).
Article 63Article 63
Droit d’introduire une réclamationRight to lodge a complaint
1.   Les personnes physiques et morales ont le droit d’introduire une réclamation auprès de l’émetteur d’un certificat de cybersécurité européen ou, lorsque la réclamation est en rapport avec un certificat de cybersécurité européen délivré par un organisme d’évaluation de la conformité agissant conformément à l’article 56, paragraphe 6, auprès de l’autorité nationale de certification de cybersécurité concernée.1.   Natural and legal persons shall have the right to lodge a complaint with the issuer of a European cybersecurity certificate or, where the complaint relates to a European cybersecurity certificate issued by a conformity assessment body when acting in accordance with Article 56(6), with the relevant national cybersecurity certification authority.
2.   L’autorité ou l’organisme auprès duquel la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement de la procédure et de la décision prise, et l’informe de son droit à un recours juridictionnel effectif visé à l’article 64.2.   The authority or body with which the complaint has been lodged shall inform the complainant of the progress of the proceedings and of the decision taken, and shall inform the complainant of the right to an effective judicial remedy referred to in Article 64.
Article 64Article 64
Droit à un recours juridictionnel effectifRight to an effective judicial remedy
1.   Nonobstant tout recours administratif ou tout autre recours non juridictionnel, les personnes physiques ou morales disposent d’un droit de recours juridictionnel effectif en ce qui concerne:1.   Notwithstanding any administrative or other non-judicial remedies, natural and legal persons shall have the right to an effective judicial remedy with regard to:
a) | les décisions prises par l’autorité ou l’organisme visé à l’article 63, paragraphe 1, y compris, le cas échéant, en ce qui concerne la délivrance non justifiée, la non-délivrance ou la reconnaissance d’un certificat de cybersécurité européen détenu par ces personnes physiques ou morales;(a) | decisions taken by the authority or body referred to in Article 63(1) including, where applicable, in relation to the improper issuing, failure to issue or recognition of a European cybersecurity certificate held by those natural and legal persons;
b) | l’absence de réaction à une réclamation introduite auprès de l’autorité ou de l’organisme visé à l’article 63, paragraphe 1.(b) | a failure to act on a complaint lodged with the authority or body referred to in Article 63(1).
2.   Les recours formés en vertu du présent article sont portés devant les juridictions de l’État membre dans lequel se trouve l’autorité ou l’organisme à l’encontre duquel le recours juridictionnel a été formé.2.   Proceedings pursuant to this Article shall be brought before the courts of the Member State in which the authority or body against which the judicial remedy is sought is located.
Article 65Article 65
SanctionsPenalties
Les États membres déterminent le régime des sanctions applicables aux violations des dispositions du présent titre et aux violations des schémas européens de certification de cybersécurité et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission sans retard du régime ainsi déterminé et des mesures ainsi prises, de même que de toute modification apportée ultérieurement à ce régime ou à ces mesures.Member States shall lay down the rules on penalties applicable to infringements of this Title and to infringements of European cybersecurity certification schemes, and shall take all measures necessary to ensure that they are implemented. The penalties provided for shall be effective, proportionate and dissuasive. Member States shall without delay notify the Commission of those rules and of those measures and shall notify it of any subsequent amendment affecting them.
TITRE IVTITLE IV
DISPOSITIONS FINALESFINAL PROVISIONS
Article 66Article 66
ComitéCommittee procedure
1.   La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.1.   The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.
2.   Lorsqu’il est fait référence au présent paragraphe, l’article 5, paragraphe 4, point b), du règlement (UE) no 182/2011 s’applique.2.   Where reference is made to this paragraph, point (b) of Article 5(4) of Regulation (EU) No 182/2011 shall apply.
Article 67Article 67
Évaluation et révisionEvaluation and review
1.   Au plus tard le 28 juin 2024, et tous les cinq ans par la suite, la Commission évalue l’incidence, l’efficacité et l’efficience de l’ENISA et de ses méthodes de travail, ainsi que la nécessité éventuelle de modifier le mandat de l’ENISA et les conséquences financières d’une telle modification. L’évaluation tient compte de toute information communiquée en retour à l’ENISA en réaction à ses activités. Lorsque la Commission estime que le maintien du fonctionnement de l’ENISA n’est plus justifié au regard des objectifs, du mandat et des tâches qui lui ont été assignées, elle peut proposer que les dispositions du présent règlement relatives à l’ENISA soient modifiées.1.   By 28 June 2024, and every five years thereafter, the Commission shall evaluate the impact, effectiveness and efficiency of ENISA and of its working practices, the possible need to modify ENISA’s mandate and the financial implications of any such modification. The evaluation shall take into account any feedback provided to ENISA in response to its activities. Where the Commission considers that the continued operation of ENISA is no longer justified in light of the objectives, mandate and tasks assigned to it, the Commission may propose that this Regulation be amended with regard to the provisions related to ENISA.
2.   L’évaluation porte également sur les effets, l’efficacité et l’efficience des dispositions du titre III du présent règlement au regard des objectifs consistant à garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l’Union et à améliorer le fonctionnement du marché intérieur.2.   The evaluation shall also assess the impact, effectiveness and efficiency of the provisions of Title III of this Regulation with regard to the objectives of ensuring an adequate level of cybersecurity of ICT products, ICT services and ICT processes in the Union and improving the functioning of the internal market.
3.   L’évaluation examine s’il est nécessaire de fixer des exigences essentielles en matière de cybersécurité comme condition d’accès au marché intérieur pour empêcher que des produits TIC, services TIC et processus TIC qui ne satisfont pas aux exigences de base en matière de cybersécurité entrent sur le marché de l’Union.3.   The evaluation shall assess whether essential cybersecurity requirements for access to the internal market are necessary in order to prevent ICT products, ICT services and ICT processes which do not meet basic cybersecurity requirements from entering the Union market.
4.   Au plus tard le 28 juin 2024, et tous les cinq ans par la suite, la Commission transmet le rapport d’évaluation, accompagné de ses conclusions, au Parlement européen, au Conseil et au conseil d’administration. Les conclusions de ce rapport sont rendues publiques.4.   By 28 June 2024, and every five years thereafter, the Commission shall transmit a report on the evaluation together with its conclusions to the European Parliament, to the Council and to the Management Board. The findings of that report shall be made public.
Article 68Article 68
Abrogation et successionRepeal and succession
1.   Le règlement (UE) no 526/2013 est abrogé avec effet au 27 juin 2019.1.   Regulation (EU) No 526/2013 is repealed with effect from 27 June 2019.
2.   Les références au règlement (UE) no 526/2013 et à l’ENISA telle qu’instituée par le présent règlement s’entendent comme faites au présent règlement et à l’ENISA telle qu’instituée par le présent règlement.2.   References to Regulation (EU) No 526/2013 and to the ENISA as established by that Regulation shall be construed as references to this Regulation and to ENISA as established by this Regulation.
3.   L’ENISA instituée par le présent règlement succède à l’ENISA instituée par le règlement (UE) no 526/2013 en ce qui concerne tous les droits de propriété, accords, obligations légales, contrats de travail, engagements financiers et responsabilités. Toutes les décisions du conseil d’administration et du conseil exécutif adoptées conformément au règlement (UE) no 526/2013 restent valables, pour autant qu’elles respectent le présent règlement.3.   ENISA as established by this Regulation shall succeed ENISA as established by Regulation (EU) No 526/2013 as regards all ownership, agreements, legal obligations, employment contracts, financial commitments and liabilities. All decisions of the Management Board and the Executive Board adopted in accordance with Regulation (EU) No 526/2013 shall remain valid, provided that they comply with this Regulation.
4.   L’ENISA est instituée pour une durée indéterminée à compter du 27 juin 2019.4.   ENISA shall be established for an indefinite period as of 27 June 2019.
5.   Le directeur exécutif nommé en vertu de l’article 24, paragraphe 4, du règlement (UE) no 526/2013 reste en fonction et exerce les fonctions du directeur exécutif visées à l’article 20 du présent règlement pour la durée restante de son mandat. Les autres conditions de son contrat demeurent inchangées.5.   The Executive Director appointed pursuant to Article 24(4) of Regulation (EU) No 526/2013 shall remain in office and exercise the duties of the Executive Director as referred to in Article 20 of this Regulation for the remaining part of the Executive Director’s term of office. The other conditions of his or her contract shall remain unchanged.
6.   Les membres du conseil d’administration et leurs suppléants nommés en application de l’article 6 du règlement (UE) no 526/2013 restent en fonction et exercent les fonctions du conseil d’administration visées à l’article 15 du présent règlement pour la durée restante de leur mandat.6.   The members of the Management Board and their alternates appointed pursuant to Article 6 of Regulation (EU) No 526/2013 shall remain in office and exercise the functions of the Management Board as referred to in Article 15 of this Regulation for the remaining part of their term of office.
Article 69Article 69
Entrée en vigueurEntry into force
1.   Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.1.   This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
2.   Les articles 58, 60, 61, 63, 64 et 65 s’appliquent à partir du 28 juin 2021.2.   Articles 58, 60, 61, 63, 64 and 65 shall apply from 28 June 2021.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.This Regulation shall be binding in its entirety and directly applicable in all Member States.
Fait à Strasbourg, le 17 avril 2019.Done at Strasbourg, 17 April 2019.
Par le Parlement européenFor the European Parliament
Le présidentThe President
A. TAJANIA. TAJANI
Par le ConseilFor the Council
Le présidentThe President
G. CIAMBAG. CIAMBA
(1)  JO C 227 du 28.6.2018, p. 86.(1)  OJ C 227, 28.6.2018, p. 86.
(2)  JO C 176 du 23.5.2018, p. 29.(2)  OJ C 176, 23.5.2018, p. 29.
(3)  Position du Parlement européen du 12 mars 2019 (non encore parue au Journal officiel) et décision du Conseil du 9 avril 2019.(3)  Position of the European Parliament of 12 March 2019 (not yet published in the Official Journal) and decision of the Council of 9 April 2019.
(4)  Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).(4)  Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (OJ L 124, 20.5.2003, p. 36).
(5)  Règlement (UE) no 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) no 460/2004 (JO L 165 du 18.6.2013, p. 41).(5)  Regulation (EU) No 526/2013 of the European Parliament and of the Council of 21 May 2013 concerning the European Union Agency for Network and Information Security (ENISA) and repealing Regulation (EC) No 460/2004 (OJ L 165, 18.6.2013, p. 41).
(6)  Règlement (CE) no 460/2004 du Parlement européen et du Conseil du 10 mars 2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information (JO L 77 du 13.3.2004, p. 1).(6)  Regulation (EC) No 460/2004 of the European Parliament and of the Council of 10 March 2004 establishing the European Network and Information Security Agency (OJ L 77, 13.3.2004, p. 1).
(7)  Règlement (CE) no 1007/2008 du Parlement européen et du Conseil du 24 septembre 2008 modifiant le règlement (CE) no 460/2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information en ce qui concerne sa durée (JO L 293 du 31.10.2008, p. 1).(7)  Regulation (EC) No 1007/2008 of the European Parliament and of the Council of 24 September 2008 amending Regulation (EC) No 460/2004 establishing the European Network and Information Security Agency as regards its duration (OJ L 293, 31.10.2008, p. 1).
(8)  Règlement (UE) no 580/2011 du Parlement européen et du Conseil du 8 juin 2011 modifiant le règlement (CE) no 460/2004 instituant l’Agence européenne chargée de la sécurité des réseaux et de l’information en ce qui concerne sa durée (JO L 165 du 24.6.2011, p. 3).(8)  Regulation (EU) No 580/2011 of the European Parliament and of the Council of 8 June 2011 amending Regulation (EC) No 460/2004 establishing the European Network and Information Security Agency as regards its duration (OJ L 165, 24.6.2011, p. 3).
(9)  Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).(9)  Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (OJ L 194, 19.7.2016, p. 1).
(10)  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).(10)  Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119, 4.5.2016, p. 1).
(11)  Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).(11)  Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37).
(12)  Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).(12)  Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (OJ L 321, 17.12.2018, p. 36).
(13)  Décision 2004/97/CE, Euratom prise du commun accord des représentants des États membres réunis au niveau des chefs d’État ou de gouvernement du 13 décembre 2003 relative à la fixation des sièges de certains organismes de l’Union européenne (JO L 29 du 3.2.2004, p. 15).(13)  Decision 2004/97/EC, Euratom taken by common agreement between the Representatives of the Member States, meeting at Head of State or Government level, of 13 December 2003 on the location of the seats of certain offices and agencies of the European Union (OJ L 29, 3.2.2004, p. 15).
(14)  JO C 12 du 13.1.2018, p. 1.(14)  OJ C 12, 13.1.2018, p. 1.
(15)  Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).(15)  Commission Recommendation (EU) 2017/1584 of 13 September 2017 on coordinated response to large-scale cybersecurity incidents and crises (OJ L 239, 19.9.2017, p. 36).
(16)  Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du 13.8.2008, p. 30).(16)  Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30).
(17)  Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).(17)  Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43).
(18)  Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).(18)  Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).
(19)  Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).(19)  Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council Decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).
(20)  Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).(20)  Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1).
(21)  Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65).(21)  Directive 2014/24/EU of the European Parliament and of the Council of 26 February 2014 on public procurement and repealing Directive 2004/18/EC (OJ L 94, 28.3.2014, p. 65).
(22)  Règlement (UE) no 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).(22)  Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers (OJ L 55, 28.2.2011, p. 13).
(23)  Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73).(23)  Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC (OJ L 257, 28.8.2014, p. 73).
(24)  JO L 56 du 4.3.1968, p. 1.(24)  OJ L 56, 4.3.1968, p. 1.
(25)  Règlement délégué (UE) no 1271/2013 de la Commission du 30 septembre 2013 portant règlement financier-cadre des organismes visés à l’article 208 du règlement (UE, Euratom) no 966/2012 du Parlement européen et du Conseil (JO L 328 du 7.12.2013, p. 42).(25)  Commission Delegated Regulation (EU) No 1271/2013 of 30 September 2013 on the framework financial regulation for the bodies referred to in Article 208 of Regulation (EU, Euratom) No 966/2012 of the European Parliament and of the Council (OJ L 328, 7.12.2013, p. 42).
(26)  Décision (UE, Euratom) 2015/443 de la Commission du 13 mars 2015 relative à la sécurité au sein de la Commission (JO L 72 du 17.3.2015, p. 41).(26)  Commission Decision (EU, Euratom) 2015/443 of 13 March 2015 on Security in the Commission (OJ L 72, 17.3.2015, p. 41).
(27)  Décision (UE, Euratom) 2015/444 de la Commission du 13 mars 2015 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (JO L 72 du 17.3.2015, p. 53).(27)  Commission Decision (EU, Euratom) 2015/444 of 13 March 2015 on the security rules for protecting EU classified information (OJ L 72, 17.3.2015, p. 53).
(28)  Règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil du 18 juillet 2018 relatif aux règles financières applicables au budget général de l’Union, modifiant les règlements (UE) no 1296/2013, (UE) no 1301/2013, (UE) no 1303/2013, (UE) no 1304/2013, (UE) no 1309/2013, (UE) no 1316/2013, (UE) no 223/2014, (UE) no 283/2014 et la décision no 541/2014/UE, et abrogeant le règlement (UE, Euratom) no 966/2012 (JO L 193 du 30.7.2018, p. 1).(28)  Regulation (EU, Euratom) 2018/1046 of the European Parliament and of the Council of 18 July 2018 on the financial rules applicable to the general budget of the Union, amending Regulations (EU) No 1296/2013, (EU) No 1301/2013, (EU) No 1303/2013, (EU) No 1304/2013, (EU) No 1309/2013, (EU) No 1316/2013, (EU) No 223/2014, (EU) No 283/2014, and Decision No 541/2014/EU and repealing Regulation (EU, Euratom) No 966/2012 (OJ L 193, 30.7.2018, p. 1).
(29)  Règlement (UE, Euratom) no 883/2013 du Parlement européen et du Conseil du 11 septembre 2013 relatif aux enquêtes effectuées par l’Office européen de lutte antifraude (OLAF) et abrogeant le règlement (CE) no 1073/1999 du Parlement européen et du Conseil et le règlement (Euratom) no 1074/1999 du Conseil (JO L 248 du 18.9.2013, p. 1).(29)  Regulation (EU, Euratom) No 883/2013 of the European Parliament and of the Council of 11 September 2013 concerning investigations conducted by the European Anti-Fraud Office (OLAF) and repealing Regulation (EC) No 1073/1999 of the European Parliament and of the Council and Council Regulation (Euratom) No 1074/1999 (OJ L 248, 18.9.2013, p. 1).
(30)  JO L 136 du 31.5.1999, p. 15.(30)  OJ L 136, 31.5.1999, p. 15.
(31)  Règlement (Euratom, CE) no 2185/96 du Conseil du 11 novembre 1996 relatif aux contrôles et vérifications sur place effectués par la Commission pour la protection des intérêts financiers des Communautés européennes contre les fraudes et autres irrégularités (JO L 292 du 15.11.1996, p. 2).(31)  Council Regulation (Euratom, EC) No 2185/96 of 11 November 1996 concerning on-the-spot checks and inspections carried out by the Commission in order to protect the European Communities’ financial interests against fraud and other irregularities (OJ L 292, 15.11.1996, p. 2).
(32)  Règlement no 1 du Conseil portant fixation du régime linguistique de la Communauté économique européenne (JO 17 du 6.10.1958, p. 385/58).(32)  Council Regulation No 1 determining the languages to be used by the European Economic Community (OJ 17, 6.10.1958, p. 385/58).
ANNEXEANNEX
EXIGENCES AUXQUELLES DOIVENT SATISFAIRE LES ORGANISMES D’ÉVALUATION DE LA CONFORMITÉREQUIREMENTS TO BE MET BY CONFORMITY ASSESSMENT BODIES
Les organismes d’évaluation de la conformité qui souhaitent être accrédités satisfont aux exigences ci-dessous.Conformity assessment bodies that wish to be accredited shall meet the following requirements:
1. | Un organisme d’évaluation de la conformité est constitué en vertu du droit national et possède la personnalité juridique.1. | A conformity assessment body shall be established under national law and shall have legal personality.
2. | Un organisme d’évaluation de la conformité est un organisme tiers qui est indépendant de l’organisation ou des produits TIC, services TIC ou processus TIC qu’il évalue.2. | A conformity assessment body shall be a third-party body that is independent of the organisation or the ICT products, ICT services or ICT processes that it assesses.
3. | Un organisme appartenant à une association d’entreprises ou à une fédération professionnelle qui représente des entreprises participant à la conception, à la fabrication, à la fourniture, à l’assemblage, à l’utilisation ou à l’entretien des produits TIC, services TIC ou processus TIC qu’il évalue peut être considéré comme un organisme d’évaluation de la conformité à condition que son indépendance et que l’absence de tout conflit d’intérêts soient démontrées.3. | A body that belongs to a business association or professional federation representing undertakings involved in the design, manufacturing, provision, assembly, use or maintenance of ICT products, ICT services or ICT processes which it assesses may be considered to be a conformity assessment body, provided that its independence and the absence of any conflict of interest are demonstrated.
4. | Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent être ni le concepteur, le fabricant, le fournisseur, l’installateur, l’acheteur, le propriétaire, l’utilisateur ou le responsable de l’entretien du produit TIC, service TIC ou processus TIC qui est évalué, ni le mandataire d’aucune de ces parties. Cette interdiction n’exclut pas l’utilisation des produits TIC évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité ou l’utilisation de ces produits TIC à des fins personnelles.4. | The conformity assessment bodies, their top-level management and the persons responsible for carrying out the conformity assessment tasks shall not be the designer, manufacturer, supplier, installer, purchaser, owner, user or maintainer of the ICT product, ICT service or ICT process which is assessed, or the authorised representative of any of those parties. That prohibition shall not preclude the use of the ICT products assessed that are necessary for the operations of the conformity assessment body or the use of such ICT products for personal purposes.
5. | Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent intervenir, ni directement ni comme mandataires, dans la conception, la fabrication ou la construction, la commercialisation, l’installation, l’utilisation ou l’entretien des produits TIC, services TIC ou processus TIC. Les organismes d’évaluation de la conformité, leurs cadres supérieurs et les personnes chargées d’exécuter les tâches d’évaluation de la conformité ne peuvent participer à aucune activité qui peut entrer en conflit avec l’indépendance de leur jugement ou leur intégrité en ce qui concerne leurs activités d’évaluation de la conformité. Cette interdiction s’applique, en particulier pour les services de conseil.5. | The conformity assessment bodies, their top-level management and the persons responsible for carrying out the conformity assessment tasks shall not be directly involved in the design, manufacture or construction, the marketing, installation, use or maintenance of the ICT products, ICT services or ICT processes which are assessed, or represent parties engaged in those activities. The conformity assessment bodies, their top-level management and the persons responsible for carrying out the conformity assessment tasks shall not engage in any activity that may conflict with their independence of judgement or integrity in relation to their conformity assessment activities. That prohibition shall apply, in particular, to consultancy services.
6. | Si un organisme d’évaluation de la conformité appartient à une entité ou à une institution publique, ou est géré par une telle entité ou institution, l’indépendance de l’autorité nationale de certification de cybersécurité et de l’organisme d’évaluation de la conformité et l’absence de conflit d’intérêts entre ces deux instances sont garanties et documentées.6. | If a conformity assessment body is owned or operated by a public entity or institution, the independence and absence of any conflict of interest shall be ensured between the national cybersecurity certification authority and the conformity assessment body, and shall be documented.
7. | Les organismes d’évaluation de la conformité veillent à ce que les activités de leurs filiales et sous-traitants n’aient pas d’incidence sur la confidentialité, l’objectivité ou l’impartialité de leurs activités d’évaluation de la conformité.7. | Conformity assessment bodies shall ensure that the activities of their subsidiaries and subcontractors do not affect the confidentiality, objectivity or impartiality of their conformity assessment activities.
8. | Les organismes d’évaluation de la conformité et leur personnel accomplissent les activités d’évaluation de la conformité avec la plus haute intégrité professionnelle et la compétence technique requise dans le domaine spécifique et sont à l’abri de toute pression ou incitation susceptible d’influencer leur jugement ou les résultats de leurs travaux d’évaluation de la conformité, notamment des pression ou incitations d’ordre financier, en particulier de la part de personnes ou de groupes de personnes intéressés par ces résultats.8. | Conformity assessment bodies and their staff shall carry out conformity assessment activities with the highest degree of professional integrity and the requisite technical competence in the specific field, and shall be free from all pressures and inducements which might influence their judgement or the results of their conformity assessment activities, including pressures and inducements of a financial nature, especially as regards persons or groups of persons with an interest in the results of those activities.
9. | Un organisme d’évaluation de la conformité est capable d’exécuter toutes les tâches d’évaluation de la conformité qui lui ont été assignées au titre du présent règlement, que ces tâches soient exécutées par l’organisme d’évaluation de la conformité lui-même ou en son nom et sous sa responsabilité. Toute sous-traitance ou consultation de personnel externe est documentée de manière appropriée, ne fait intervenir aucun intermédiaire et fait l’objet d’un accord écrit couvrant, entre autres, la confidentialité et les conflits d’intérêts. L’organisme d’évaluation de la conformité en question assume la responsabilité des tâches accomplies.9. | A conformity assessment body shall be capable of carrying out all the conformity assessment tasks assigned to it under this Regulation, regardless of whether those tasks are carried out by the conformity assessment body itself or on its behalf and under its responsibility. Any subcontracting to, or consultation of, external staff shall be properly documented, shall not involve any intermediaries and shall be subject to a written agreement covering, among other things, confidentiality and conflicts of interest. The conformity assessment body in question shall take full responsibility for the tasks performed.
10. | En toutes circonstances et pour chaque procédure d’évaluation de la conformité, ainsi que pour chaque type ou catégorie ou sous-catégorie de produits TIC, services TIC ou processus TIC, un organisme d’évaluation de la conformité dispose à suffisance: | a) | du personnel requis ayant les connaissances techniques et l’expérience suffisante et appropriée pour exécuter les tâches d’évaluation de la conformité; | b) | de descriptions des procédures à suivre pour effectuer l’évaluation de la conformité, afin de garantir la transparence et la reproductibilité de ces procédures. Il se dote de politiques et de procédures appropriées faisant la distinction entre les tâches qu’il exécute en tant qu’organisme notifié en vertu de l’article 61 et ses autres activités; | c) | de procédures pour accomplir ses activités qui tiennent dûment compte de la taille des entreprises, du secteur dans lequel elles exercent leurs activités, de leur structure, du degré de complexité de la technologie du produit TIC, service TIC ou processus TIC en question et de la nature, en masse ou en série, du processus de production.10. | At all times and for each conformity assessment procedure and each type, category or sub-category of ICT products, ICT services or ICT processes, a conformity assessment body shall have at its disposal the necessary: | (a) | staff with technical knowledge and sufficient and appropriate experience to perform the conformity assessment tasks; | (b) | descriptions of procedures in accordance with which conformity assessment is to be carried out, to ensure the transparency of those procedures and the possibility of reproducing them. It shall have in place appropriate policies and procedures that distinguish between tasks that it carries out as a body notified pursuant to Article 61 and its other activities; | (c) | procedures for the performance of activities which take due account of the size of an undertaking, the sector in which it operates, its structure, the degree of complexity of the technology of the ICT product, ICT service or ICT process in question and the mass or serial nature of the production process.
11. | Un organisme d’évaluation de la conformité se dote des moyens nécessaires à la bonne exécution des tâches techniques et administratives liées aux activités d’évaluation de la conformité et a accès à tous les équipements et installations nécessaires.11. | A conformity assessment body shall have the means necessary to perform the technical and administrative tasks connected with the conformity assessment activities in an appropriate manner, and shall have access to all necessary equipment and facilities.
12. | Les personnes chargées d’effectuer des activités d’évaluation de la conformité possèdent: | a) | une solide formation technique et professionnelle couvrant toutes les activités d’évaluation de la conformité; | b) | une connaissance satisfaisante des exigences applicables aux évaluations de conformité auxquelles elles procèdent et l’autorité nécessaire pour effectuer ces évaluations; | c) | une connaissance et une compréhension adéquates des exigences et des normes d’essai applicables; | d) | l’aptitude à rédiger les attestations, procès-verbaux et rapports qui prouvent que des évaluations de conformité ont été effectuées.12. | The persons responsible for carrying out conformity assessment activities shall have the following: | (a) | sound technical and vocational training covering all conformity assessment activities; | (b) | satisfactory knowledge of the requirements of the conformity assessments they carry out and adequate authority to carry out those assessments; | (c) | appropriate knowledge and understanding of the applicable requirements and testing standards; | (d) | the ability to draw up certificates, records and reports demonstrating that conformity assessments have been carried out.
13. | L’impartialité des organismes d’évaluation de la conformité, de leurs cadres supérieurs, des personnes chargées de l’exécution des activités d’évaluation de la conformité et de tout sous-traitant est garantie.13. | The impartiality of the conformity assessment bodies, of their top-level management, of the persons responsible for carrying out conformity assessment activities, and of any subcontractors shall be guaranteed.
14. | La rémunération des cadres supérieurs et des personnes chargées de l’exécution des activités d’évaluation de la conformité ne dépend pas du nombre d’évaluations de la conformité effectuées ni de leurs résultats.14. | The remuneration of the top-level management and of the persons responsible for carrying out conformity assessment activities shall not depend on the number of conformity assessments carried out or on the results of those assessments.
15. | Les organismes d’évaluation de la conformité souscrivent une assurance couvrant leur responsabilité civile, à moins que cette responsabilité ne soit assumée par l’État membre conformément à son droit national ou que l’évaluation de la conformité ne soit effectuée sous la responsabilité directe de l’État membre.15. | Conformity assessment bodies shall take out liability insurance unless liability is assumed by the Member State in accordance with its national law, or the Member State itself is directly responsible for the conformity assessment.
16. | L’organisme d’évaluation de la conformité et son personnel, ses comités, ses filiales, ses sous-traitants et tout organisme associé ainsi que le personnel des organes externes d’un organisme d’évaluation de la conformité assurent le respect de la confidentialité et sont liés par le secret professionnel pour toutes les informations obtenues dans l’exercice de leurs tâches d’évaluation de la conformité au titre du présent règlement ou de toute disposition de droit national donnant effet au présent règlement, sauf dans les cas où la communication d’informations est requise par le droit de l’Union ou de l’État membre auquel ces personnes sont soumises, et sauf à l’égard des autorités compétentes de l’État membre où il exerce ses activités. Les droits de propriété intellectuelle sont protégés. L’organisme d’évaluation de la conformité possède des procédures documentées concernant les exigences du présent point.16. | The conformity assessment body and its staff, its committees, its subsidiaries, its subcontractors, and any associated body or the staff of external bodies of a conformity assessment body shall maintain confidentiality and observe professional secrecy with regard to all information obtained in carrying out their conformity assessment tasks under this Regulation or pursuant to any provision of national law giving effect to this Regulation, except where disclosure is required by Union or Member State law to which such persons are subject, and except in relation to the competent authorities of the Member States in which its activities are carried out. Intellectual property rights shall be protected. The conformity assessment body shall have documented procedures in place in respect of the requirements of this point.
17. | À l’exception du point 16, les exigences de la présente annexe n’empêchent en rien les échanges d’informations techniques et d’orientations réglementaires entre un organisme d’évaluation de la conformité et une personne qui introduit une demande de certification ou envisage de le faire.17. | With the exception of point 16, the requirements of this Annex shall not preclude exchanges of technical information and regulatory guidance between a conformity assessment body and a person who applies for certification or who is considering whether to apply for certification.
18. | Les organismes d’évaluation de la conformité agissent conformément à un ensemble conditions cohérentes, justes et raisonnables, en tenant compte des intérêts des PME pour ce qui est des redevances.18. | Conformity assessment bodies shall operate in accordance with a set of consistent, fair and reasonable terms and conditions, taking into account the interests of SMEs in relation to fees.
19. | Les organismes d’évaluation de la conformité respectent les exigences de la norme pertinente qui est harmonisée au titre du règlement (CE) no 765/2008 en ce qui concerne l’accréditation des organismes d’évaluation de la conformité qui effectuent la certification de produits TIC, services TIC ou processus TIC.19. | Conformity assessment bodies shall meet the requirements of the relevant standard that is harmonised under Regulation (EC) No 765/2008 for the accreditation of conformity assessment bodies performing certification of ICT products, ICT services or ICT processes.
20. | Les organismes d’évaluation de la conformité veillent à ce que les laboratoires d’essai auxquels il est fait appel à des fins d’évaluation de la conformité respectent les exigences de la norme pertinente qui est harmonisée au titre du règlement (CE) no 765/2008 en ce qui concerne l’accréditation de laboratoires qui réalisent des essais.20. | Conformity assessment bodies shall ensure that testing laboratories used for conformity assessment purposes meet the requirements of the relevant standard that is harmonised under Regulation (EC) No 765/2008 for the accreditation of laboratories performing testing.