1.   Le présent règlement s’applique aux entités de l’Union, au conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et au CERT-UE.

2.   Le présent règlement s’applique sans préjudice de l’autonomie institutionnelle prévue par les traités.

3.   À l’exception de l’article 13, paragraphe 8, le présent règlement ne s’applique pas aux réseaux et systèmes d’information traitant des informations classifiées de l’UE (ICUE).

1.   Le traitement, par le CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et les entités de l’Union, de données à caractère personnel au titre du présent règlement est effectué conformément au règlement (UE) 2018/1725.

2.   Lorsqu’ils exécutent des tâches ou remplissent des obligations en vertu du présent règlement, le CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et les entités de l’Union ne traitent et n’échangent des données à caractère personnel que dans la mesure nécessaire et dans le seul but d’exécuter ces tâches ou de remplir ces obligations.

3.   Le traitement de catégories particulières de données à caractère personnel visées à l’article 10, paragraphe 1, du règlement (UE) 2018/1725 est considéré comme nécessaire pour des raisons d’intérêt public important conformément à l’article 10, paragraphe 2, point g), dudit règlement. Ces données ne peuvent être traitées que dans la mesure nécessaire à la mise en œuvre des mesures de gestion des risques de cybersécurité visées aux articles 6 et 8, à la fourniture de services par le CERT-UE au titre de l’article 13, au partage d’informations propres à un incident au titre de l’article 17, paragraphe 3, et de l’article 18, paragraphe 3, au partage d’informations au titre de l’article 20, aux obligations en matière de communication d’informations prévues à l’article 21, à la coordination de la réaction aux incidents et à la coopération au titre de l’article 22 et à la gestion des incidents majeurs au titre de l’article 23 du présent règlement. Les entités de l’Union et le CERT-UE, lorsqu’ils agissent en qualité de responsables du traitement, appliquent des mesures techniques pour empêcher le traitement des catégories particulières de données à caractère personnel à d’autres fins et prévoient des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes concernées.

1.   Au plus tard le 8 septembre 2024, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 publie, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et après avoir reçu des orientations du CERT-UE, des lignes directrices à l’intention des entités de l’Union aux fins de procéder à un examen initial de la cybersécurité et d’établir un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité conformément à l’article 6, de procéder à des évaluations de la maturité en matière de cybersécurité conformément à l’article 7, de prendre des mesures de gestion des risques de cybersécurité conformément à l’article 8 et d’adopter le plan de cybersécurité conformément à l’article 9.

2.   Lorsqu’elles mettent en œuvre les articles 6 à 9, les entités de l’Union tiennent compte des lignes directrices visées au paragraphe 1 du présent article, ainsi que des lignes directrices et recommandations pertinentes adoptées en vertu des articles 11 et 14.

1.   Au plus tard le 8 avril 2025, chaque entité de l’Union établit, après avoir procédé à un examen initial de la cybersécurité, tel qu’un audit, un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau hiérarchique le plus élevé de l’entité de l’Union.

2.   Le cadre couvre l’ensemble de l’environnement TIC non classifié de l’entité de l’Union concernée, y compris l’environnement TIC sur sites, le réseau de technologie opérationnelle, les actifs et services externalisés dans des environnements d’informatique en nuage ou hébergés par des tiers, les appareils mobiles, les réseaux d’entreprise, les réseaux professionnels non connectés à l’internet et tout appareil connecté à ces environnements (ci-après dénommé «environnement TIC»). Le cadre est fondé sur une approche «tous risques».

3.   Le cadre garantit un niveau élevé de cybersécurité. Le cadre établit des politiques internes de cybersécurité, y compris des objectifs et des priorités, pour la sécurité des réseaux et des systèmes d’information, ainsi que les rôles et les responsabilités du personnel de l’entité de l’Union chargé d’assurer la mise en œuvre effective du présent règlement. Le cadre comprend également des mécanismes visant à mesurer l’efficacité de la mise en œuvre.

4.   Le cadre fait régulièrement l’objet d’une révision, compte tenu de l’évolution des risques de cybersécurité, et au moins tous les quatre ans. Le cas échéant et à la suite d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10, le cadre d’une entité de l’Union peut être mis à jour sur la base des orientations données par le CERT-UE sur les incidents identifiés ou les lacunes éventuelles observées dans la mise en œuvre du présent règlement.

5.   Le niveau hiérarchique le plus élevé de chaque entité de l’Union est responsable de la mise en œuvre du présent règlement et contrôle le respect, par son entité, des obligations liées au cadre.

6.   Le cas échéant et sans préjudice de sa responsabilité dans la mise en œuvre du présent règlement, le niveau hiérarchique le plus élevé de chaque entité de l’Union peut déléguer des obligations spécifiques au titre du présent règlement à des membres du personnel d’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou à d’autres fonctionnaires de niveau équivalent, au sein de l’entité de l’Union concernée. Indépendamment d’une telle délégation, le niveau hiérarchique le plus élevé peut être tenu pour responsable des infractions au présent règlement commises par l’entité de l’Union concernée.

7.   Chaque entité de l’Union dispose de mécanismes efficaces pour garantir qu’un pourcentage adéquat du budget TIC est consacré à la cybersécurité. Lors de la fixation de ce pourcentage, il est dûment tenu compte du cadre.

8.   Chaque entité de l’Union désigne un responsable local de la cybersécurité ou une fonction équivalente qui fait office de point de contact unique pour tous les aspects liés à la cybersécurité. Le responsable local de la cybersécurité facilite la mise en œuvre du présent règlement et rend directement et régulièrement compte au niveau hiérarchique le plus élevé de l’état d’avancement de la mise en œuvre. Sans préjudice du fait que le responsable local de la cybersécurité soit le point de contact unique dans chaque entité de l’Union, une entité de l’Union peut déléguer certaines tâches du responsable local de la cybersécurité en ce qui concerne la mise en œuvre du présent règlement au CERT-UE sur la base d’un accord de niveau de service conclu entre cette entité de l’Union et le CERT-UE, ou ces tâches peuvent être partagées entre plusieurs entités de l’Union. Lorsque ces tâches sont déléguées au CERT-UE, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 décide si la fourniture de ce service fait partie des services de base du CERT-UE, en tenant compte des ressources humaines et financières de l’entité de l’Union concernée. Chaque entité de l’Union informe le CERT-UE, dans les meilleurs délais, de la désignation du responsable local de cybersécurité, ainsi que de tout changement ultérieur.

Le CERT-UE établit et tient à jour une liste des responsables locaux de la cybersécurité désignés.

9.   Les membres de l’encadrement supérieur au sens de l’article 29, paragraphe 2, du statut ou d’autres fonctionnaires de niveau équivalent de chaque entité de l’Union ainsi que tous les membres du personnel pertinents chargés de la mise en œuvre des mesures et de l’exécution des obligations de gestion des risques de cybersécurité définies par le présent règlement suivent régulièrement une formation spécifique afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les pratiques en matière de gestion des risques et de gestion de la cybersécurité et leur incidence sur les activités de l’entité de l’Union.

1.   Au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC.

2.   Les évaluations de la maturité en matière de cybersécurité sont effectuées, le cas échéant, avec l’aide d’un tiers spécialisé.

3.   Les entités de l’Union ayant des structures similaires peuvent coopérer à la réalisation d’évaluations de la maturité en matière de cybersécurité pour leurs entités respectives.

4.   Sur la base d’une demande du conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 et avec le consentement explicite de l’entité de l’Union concernée, les résultats d’une évaluation de la maturité en matière de cybersécurité peuvent être discutés au sein dudit conseil ou du groupe informel de responsables locaux de la cybersécurité afin de tirer les leçons des expériences et de partager les bonnes pratiques.

1.   Dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau hiérarchique le plus élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents. Ces mesures garantissent, pour les réseaux et les systèmes d’information de la totalité de l’environnement TIC, un niveau de sécurité adapté aux risques de cybersécurité encourus, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables. Lors de l’évaluation de la proportionnalité de ces mesures, il est tenu dûment compte du degré d’exposition de l’entité de l’Union aux risques de cybersécurité, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales, économiques et interinstitutionnelles.

2.   Les entités de l’Union tiennent compte au moins des domaines suivants dans la mise en œuvre des mesures de gestion des risques de cybersécurité:

Aux fins du premier alinéa, point m), les entités de l’Union tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.

3.   Les entités de l’Union prennent au moins les mesures spécifiques suivantes en matière de gestion des risques de cybersécurité:

1.   Compte tenu de la conclusion de l’évaluation de la maturité en matière de cybersécurité effectuée conformément à l’article 7 et des actifs et des risques de cybersécurité identifiés dans le cadre, ainsi que des mesures de gestion des risques de cybersécurité prises conformément à l’article 8, le niveau hiérarchique le plus élevé de chaque entité de l’Union approuve un plan de cybersécurité dans les meilleurs délais et en tout état de cause au plus tard le 8 janvier 2026. Le plan de cybersécurité vise à accroître la cybersécurité globale de l’entité de l’Union et contribue ainsi à renforcer le niveau élevé commun de cybersécurité au sein des entités de l’Union. Le plan de cybersécurité comprend au moins les mesures de gestion des risques de cybersécurité prises conformément à l’article 8. Le plan de cybersécurité est révisé tous les deux ans ou plus fréquemment, le cas échéant, à la suite des évaluations de la maturité en matière de cybersécurité effectuées conformément à l’article 7 ou de toute révision substantielle du cadre.

2.   Le plan de cybersécurité comprend le plan de gestion des crises de cybersécurité de l’entité de l’Union en cas d’incidents majeurs.

3.   L’entité de l’Union soumet le plan de cybersécurité complet au conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10.

1.   Un conseil interinstitutionnel de cybersécurité (IICB) est institué.

2.   L’IICB est chargé:

3.   L’IICB est composé:

Les entités de l’Union représentées au sein de l’IICB s’efforcent de parvenir à un équilibre entre les femmes et les hommes parmi les représentants désignés.

4.   Chaque membre de l’IICB peut être assisté d’un suppléant. D’autres représentants des entités de l’Union visées au paragraphe 3 ou d’autres entités de l’Union peuvent être invités par le président à assister aux réunions de l’IICB sans droit de vote.

5.   Le chef du CERT-UE et les présidents du groupe de coopération, du réseau des CSIRT et de EU-CyCLONe établis, respectivement, en vertu des articles 14, 15 et 16 de la directive (UE) 2022/2555, ou leurs suppléants, peuvent participer aux réunions de l’IICB en tant qu’observateurs. Dans des circonstances exceptionnelles, l’IICB peut, conformément à son règlement intérieur, en décider autrement.

6.   L’IICB adopte son règlement intérieur.

7.   L’IICB désigne un président parmi ses membres, conformément à son règlement intérieur et pour une période de trois ans. Le suppléant du président devient membre à part entière de l’IICB pour la même durée.

8.   L’IICB se réunit au moins trois fois par an à l’initiative de son président, à la demande du CERT-UE ou à la demande de l’un de ses membres.

9.   Chaque membre de l’IICB dispose d’une voix. Les décisions de l’IICB sont prises à la majorité simple, sauf disposition contraire du présent règlement. Le président de l’IICB ne peut voter qu’en cas d’égalité, sa voix pouvant alors être décisive.

10.   L’IICB peut statuer par la voie d’une procédure écrite simplifiée lancée conformément à son règlement intérieur. Dans le cadre de cette procédure, la décision concernée est réputée approuvée dans le délai fixé par le président, sauf objection d’un membre.

11.   Le secrétariat de l’IICB est assuré par la Commission et rend compte au président de l’IICB.

12.   Les représentants nommés par l’EUAN transmettent les décisions de l’IICB aux membres de l’EUAN. Tout membre de l’EUAN a le droit de soulever auprès de ces représentants ou du président de l’IICB toute question qu’il estime devoir être portée à l’attention de l’IICB.

13.   L’IICB peut établir un comité exécutif pour l’assister dans ses travaux et lui déléguer certains de ses pouvoirs et tâches. L’IICB établit le règlement intérieur du comité exécutif, y compris ses tâches et pouvoirs, ainsi que le mandat de ses membres.

14.   Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB présente au Parlement européen et au Conseil un rapport détaillant les progrès réalisés dans la mise en œuvre du présent règlement et précisant notamment l’étendue de la coopération du CERT-UE avec ses homologues des États membres dans chacun d’entre eux. Le rapport constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

1.   L’IICB suit efficacement, conformément à l’article 10, paragraphe 2, et à l’article 11, la mise en œuvre du présent règlement et des orientations, recommandations et injonctions adoptées par les entités de l’Union. L’IICB peut demander aux entités de l’Union les informations ou les documents nécessaires à cette fin. Aux fins de l’adoption de mesures de conformité au titre du présent article, lorsque l’entité de l’Union concernée est directement représentée au sein de l’IICB, cette entité de l’Union ne dispose pas du droit de vote.

2.   Lorsque l’IICB constate qu’une entité de l’Union n’a pas effectivement mis en œuvre le présent règlement ou les orientations, recommandations ou injonctions élaborées au titre du présent règlement, il peut, sans préjudice des procédures internes de l’entité de l’Union concernée, et après avoir donné à l’entité concernée la possibilité de présenter ses observations:

Aux fins du premier alinéa, point c), les destinataires d’un avertissement sont limités de manière appropriée, lorsque cela s’avère nécessaire en raison du risque de cybersécurité.

Les avertissements et recommandations émis au titre du premier alinéa sont adressés au niveau hiérarchique le plus élevé de l’entité de l’Union concernée.

3.   Lorsque l’IICB a adopté des mesures en vertu du paragraphe 2, premier alinéa, points a) à g), l’entité de l’Union concernée fournit des informations détaillées sur les mesures prises et les actions menées pour remédier aux lacunes alléguées constatées par l’IICB. L’entité de l’Union communique ces informations détaillées dans un délai raisonnable à convenir avec l’IICB.

4.   Lorsque l’IICB estime qu’il y a une violation persistante du présent règlement par une entité de l’Union directement imputable aux actions ou omissions d’un fonctionnaire ou d’un autre agent de l’Union, y compris au niveau hiérarchique le plus élevé, l’IICB demande à l’entité de l’Union concernée de prendre les mesures appropriées, y compris en lui demandant d’envisager des mesures de nature disciplinaire, conformément aux règles et procédures énoncées dans le statut des fonctionnaires et à toutes autres règles et procédures applicables. À cette fin, l’IICB transfère les informations nécessaires à l’entité de l’Union concernée.

5.   Lorsque des entités de l’Union indiquent être incapables de respecter les délais visés à l’article 6, paragraphe 1, et à l’article 8, paragraphe 1, l’IICB peut, dans des cas dûment motivés, compte tenu de la taille de l’entité de l’Union, autoriser la prolongation de ces délais.

1.   La mission du CERT-UE est de contribuer à la sécurité de l’environnement TIC non classifié des entités de l’Union en leur fournissant des conseils concernant la cybersécurité, en les aidant à prévenir, à détecter et à traiter les incidents, ainsi qu’à en atténuer les effets, à y répondre et à s’en remettre, et en faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents.

2.   Le CERT-UE recueille, gère, analyse et partage avec les entités de l’Union des informations sur les cybermenaces, les vulnérabilités et les incidents relatifs aux infrastructures TIC non classifiées. Il coordonne les réponses aux incidents au niveau interinstitutionnel et au niveau des entités de l’Union, y compris en assurant ou en coordonnant la fourniture d’une assistance opérationnelle spécialisée.

3.   Le CERT-UE accomplit les tâches suivantes pour les entités de l’Union:

Les informations visées au premier alinéa, point e), sont partagées avec l’IICB, le réseau des CSIRT et le Centre de situation et du renseignement de l’Union européenne (INTCEN), le cas échéant et selon le cas, et sont soumises à des conditions de confidentialité appropriées.

4.   Le CERT-UE peut, conformément à l’article 17 ou à l’article 18 selon le cas, coopérer avec les communautés de cybersécurité pertinentes au sein de l’Union et de ses États membres, notamment dans les domaines suivants:

5.   Dans la limite de ses compétences, le CERT-UE mène une coopération structurée avec l’ENISA en ce qui concerne le renforcement des capacités, la coopération opérationnelle et les analyses stratégiques à long terme des cybermenaces conformément au règlement (UE) 2019/881. Le CERT-UE peut coopérer et échanger des informations avec le Centre européen de lutte contre la cybercriminalité d’Europol.

6.   Le CERT-UE peut fournir les services suivants non décrits dans son catalogue de services («services payants»):

En ce qui concerne le premier alinéa, point d), le CERT-UE peut, à titre exceptionnel, conclure des accords de niveau de service avec des entités autres que les entités de l’Union, avec l’approbation préalable de l’IICB.

7.   Le CERT-UE organise et peut participer à des exercices de cybersécurité ou recommander la participation à des exercices existants, le cas échéant en étroite coopération avec l’ENISA, afin de tester le niveau de cybersécurité des entités de l’Union.

8.   Le CERT-UE peut fournir une assistance aux entités de l’Union en ce qui concerne les incidents survenant dans des réseaux et systèmes d’information traitant des ICUE s’il y est explicitement invité par les entités de l’Union concernées, conformément à leurs procédures respectives. La fourniture d’une assistance par le CERT-UE en vertu du présent paragraphe est sans préjudice des règles applicables en ce qui concerne la protection des informations classifiées.

9.   Le CERT-UE informe les entités de l’Union de ses procédures et processus de gestion des incidents.

10.   Le CERT-UE fournit, avec un niveau de confidentialité et de fiabilité élevé, au moyen des mécanismes de coopération et des lignes hiérarchiques appropriées, des informations pertinentes et anonymisées sur les incidents majeurs et la façon dont ils ont été traités. Ces informations sont intégrées dans le rapport visé à l’article 10, paragraphe 14.

11.   Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, le CERT-UE, en coopération avec le CEPD, soutient les entités de l’Union concernées, sans préjudice de la compétence et des missions du CEPD en tant qu’autorité de contrôle au titre du règlement (UE) 2018/1725.

12.   Le CERT-UE peut, si les services politiques des entités de l’Union en font expressément la demande, fournir des conseils ou des contributions techniques sur des questions politiques pertinentes.

1.   Le CERT-UE soutient la mise en œuvre du présent règlement en élaborant:

En ce qui concerne le premier alinéa, point a), l’entité de l’Union concernée informe le CERT-UE, dans les meilleurs délais après avoir reçu l’injonction, de la manière dont les mesures de sécurité urgentes ont été appliquées.

2.   Les orientations et les recommandations peuvent inclure:

1.   La Commission, après avoir obtenu l’approbation d’une majorité des deux tiers des membres de l’IICB, désigne le chef du CERT-UE. L’IICB est consulté à tous les stades de la procédure de désignation, notamment en ce qui concerne l’établissement des avis de vacance, l’examen des candidatures et la désignation des comités de sélection relatifs au poste. La procédure de sélection, y compris la liste restreinte finale des candidats à partir de laquelle le chef du CERT-UE sera désigné, garantit une représentation juste de chaque sexe en tenant compte des candidatures présentées.

2.   Le chef du CERT-UE est responsable du bon fonctionnement de celui-ci et agit dans le cadre de ses attributions et sous la direction de l’IICB. Le chef du CERT-UE communique régulièrement des rapports au président de l’IICB et présente des rapports ponctuels à l’IICB à sa demande.

3.   Le chef du CERT-UE aide l’ordonnateur délégué compétent à élaborer le rapport annuel d’activités contenant des informations financières et de gestion, y compris les résultats des contrôles, établi conformément à l’article 74, paragraphe 9, du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (9), et rend régulièrement compte à l’ordonnateur délégué de la mise en œuvre des mesures pour lesquelles des pouvoirs ont été sous-délégués au chef du CERT-UE.

4.   Le chef du CERT-UE établit chaque année une planification financière des recettes et dépenses administratives pour ses activités, une proposition de programme de travail annuel, une proposition de catalogue de services du CERT-UE, des propositions de révision du catalogue de services, une proposition de modalités des accords de niveau de service et une proposition d’IPC relatifs au CERT-UE en vue de leur approbation par l’IICB conformément à l’article 11. Lors de la révision de la liste des services figurant dans le catalogue de services du CERT-UE, le chef du CERT-UE tient compte des ressources allouées au CERT-UE.

5.   Le chef du CERT-UE présente au moins une fois par an des rapports à l’IICB et au président de l’IICB sur les activités exercées et les résultats obtenus par le CERT-UE pendant la période de référence, notamment en ce qui concerne l’exécution du budget, les accords de niveau de service et les accords écrits conclus, la coopération avec les homologues et les partenaires, ainsi que les missions effectuées par le personnel, y compris les rapports visés à l’article 11. Ces rapports comprennent un programme de travail pour la période suivante, la planification financière des recettes et des dépenses, y compris en matière d’effectifs, les mises à jour prévues du catalogue des services du CERT-UE et une évaluation de l’incidence attendue de ces mises à jour pour les ressources financières et humaines.

1.   Le CERT-UE est intégré à la structure administrative d’une direction générale de la Commission afin de bénéficier des structures d’appui de la Commission en matière administrative, de gestion financière et de comptabilité tout en préservant son statut de fournisseur interinstitutionnel autonome de services destinés à l’ensemble des entités de l’Union. La Commission informe l’IICB du siège administratif du CERT-UE et de toute modification de celui-ci. La Commission procède régulièrement au réexamen des modalités administratives relatives au CERT-UE et, en tout état de cause, avant l’établissement de tout cadre financier pluriannuel conformément à l’article 312 du traité sur le fonctionnement de l’Union européenne, pour permettre l’adoption de mesures adéquates. Le réexamen prévoit la possibilité de faire du CERT-UE un organisme de l’Union.

2.   Pour l’application des procédures administratives et financières, le chef du CERT-UE agit sous l’autorité de la Commission et sous la surveillance de l’IICB.

3.   Les tâches et activités du CERT-UE, y compris les services qu’il fournit, conformément à l’article 13, paragraphes 3, 4, 5 et 7, et à l’article 14, paragraphe 1, aux entités de l’Union et qui sont financés au titre de la rubrique du cadre financier pluriannuel consacrée à l’administration publique européenne, sont financées par une ligne budgétaire distincte du budget de la Commission. Les postes réservés au CERT-UE sont détaillés dans une note de bas de page du tableau des effectifs de la Commission.

4.   Les entités de l’Union autres que celles visées au paragraphe 3 du présent article versent une contribution financière annuelle au CERT-UE pour couvrir les services fournis par le CERT-UE en vertu dudit paragraphe 3. Les contributions sont fondées sur les orientations données par l’IICB et convenues entre chaque entité de l’Union et le CERT-UE dans les accords de niveau de service. Les contributions représentent une part équitable et proportionnée de l’ensemble des coûts des services fournis. Elles sont affectées à la ligne budgétaire distincte visée au paragraphe 3 du présent article en tant que recettes affectées internes comme prévu à l’article 21, paragraphe 3, point c), du règlement (UE, Euratom) 2018/1046.

5.   Les coûts des services prévus à l’article 13, paragraphe 6, sont recouvrés auprès des entités de l’Union qui bénéficient des services du CERT-UE. Les recettes sont affectées aux lignes budgétaires dont relèvent les coûts.

1.   Le CERT-UE coopère et échange des informations dans les meilleurs délais avec les homologues des États membres, y compris les CSIRT désignés ou établis en vertu de l’article 10 de la directive (UE) 2022/2555 ou, le cas échéant, les autorités compétentes et les points de contact uniques désignés ou établis en vertu de l’article 8 de ladite directive, en ce qui concerne les incidents, les cybermenaces, les vulnérabilités, les incidents évités, les éventuelles contre-mesures et les bonnes pratiques et toutes les questions pertinentes pour améliorer la protection des environnements TIC des entités de l’Union, y compris par l’intermédiaire du réseau des CSIRT établi en vertu de l’article 15 de la directive (UE) 2022/2555. Le CERT-UE soutient la Commission au sein du réseau EU-CyCLONe établi en vertu de l’article 16 de la directive (UE) 2022/2555 pour ce qui est de la gestion coordonnée des incidents et crises de cybersécurité majeurs.

2.   Lorsque le CERT-UE prend connaissance d’un incident important survenant sur le territoire d’un État membre, il avertit sans tarder tout homologue concerné dans ledit État membre conformément au paragraphe 1.

3.   À condition que des données à caractère personnel soient protégées conformément au droit de l’Union applicable en matière de protection des données, le CERT-UE échange, sans retard inutile, des informations pertinentes propres à un incident avec les homologues des États membres afin de faciliter la détection de cybermenaces ou d’incidents similaires ou de contribuer à l’analyse d’un incident sans l’autorisation de l’entité de l’Union touchée. Le CERT-UE n’échange des informations propres à un incident qui révèlent l’identité de la cible de l’incident qu’en cas de survenance de l’un des événements suivants:

Les décisions d’échanger des informations propres à un incident qui révèlent l’identité de la cible de l’incident en vertu du premier alinéa, point b), sont approuvées par le chef du CERT-UE. Avant de prendre une telle décision, le CERT-UE contacte l’entité de l’Union touchée par écrit en expliquant précisément la façon dont la divulgation de son identité permettra d’éviter ou d’atténue d’autres incidents survenant par ailleurs. Le chef du CERT-UE fournit l’explication en demandant explicitement à l’entité de l’Union d’indiquer dans un délai déterminé si elle donne son consentement. Le chef du CERT-UE fait également savoir à l’entité de l’Union que, compte tenu de l’explication fournie, il se réserve le droit de divulguer l’information même sans son consentement. L’entité de l’Union touchée est informée avant la divulgation de l’information.

1.   Le CERT-UE peut coopérer avec des homologues dans l’Union, autres que ceux visés à l’article 17, qui sont soumis aux exigences de l’Union en matière de cybersécurité, y compris les homologues de secteurs spécifiques de l’industrie, en ce qui concerne les outils et méthodes, tels que les techniques, les tactiques, les procédures et les meilleures pratiques, et en ce qui concerne les cybermenaces et les vulnérabilités. Pour toute coopération avec lesdits homologues, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas. Lorsque le CERT-UE met en place une coopération avec de tels homologues, il informe tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel l’homologue est situé. Le cas échéant et selon le cas, cette coopération et les conditions de celle-ci, y compris en ce qui concerne la cybersécurité, la protection des données et le traitement des informations, sont établis dans des modalités spécifiques de confidentialité tels que des contrats ou des arrangements administratifs. Les modalités de confidentialité ne nécessitent pas l’approbation préalable de l’IICB, mais le président de celui-ci en est informé. En cas de besoin urgent et imminent d’échanger des informations en matière de cybersécurité dans l’intérêt d’entités de l’Union ou d’une autre partie, le CERT-UE peut y procéder avec une entité dont la compétence, la capacité et l’expertise spécifiques sont indispensables à juste titre pour aider à répondre à ce besoin urgent et imminent, même si le CERT-UE ne dispose pas de modalités de confidentialité avec cette entité. Dans ce cas, le CERT-UE en informe immédiatement le président de l’IICB et fait rapport à l’IICB par l’intermédiaire de rapports réguliers ou de réunions.

2.   Le CERT-UE peut coopérer avec d’autres partenaires, tels que des entités commerciales, y compris des entités de secteurs spécifiques de l’industrie, des organisations internationales, des entités nationales ou des experts individuels de pays tiers, afin de recueillir des informations sur des cybermenaces générales et spécifiques, des incidents évités, des vulnérabilités et d’éventuelles contre-mesures. Pour pouvoir élargir la coopération avec ces partenaires, le CERT-UE sollicite au préalable l’approbation de l’IICB au cas par cas.

3.   Le CERT-UE peut, avec le consentement de l’entité de l’Union touchée par un incident et à condition que des modalités ou un contrat de non-divulgation aient été conclus avec l’homologue ou le partenaire concerné, fournir des informations relatives à l’incident spécifique aux homologues ou partenaires visés aux paragraphes 1 et 2 à la seule fin de contribuer à son analyse.

1.   Les entités de l’Union et le CERT-UE respectent l’obligation de secret professionnel conformément à l’article 339 du traité sur le fonctionnement de l’Union européenne ou à des cadres applicables équivalents.

2.   Le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (10) s’applique aux demandes d’accès du public aux documents détenus par le CERT-UE, y compris l’obligation, prévue par ledit règlement, de consulter les autres entités de l’Union ou, le cas échéant, les États membres, dès lors qu’une demande concerne leurs documents.

3.   Le traitement des informations par les entités de l’Union et le CERT-UE est conforme aux règles applicables en matière de sécurité de l’information.

1.   Les entités de l’Union peuvent volontairement faire part au CERT-UE des incidents, cybermenaces, incidents évités et vulnérabilités qui les touchent et lui transmettre des informations à leur propos. Le CERT-UE veille à ce que des moyens de communication efficaces, avec un niveau de traçabilité, de confidentialité et de fiabilité élevé, soient disponibles pour faciliter le partage d’informations avec les entités de l’Union. Lors du traitement des notifications, le CERT-UE peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Sans préjudice de l’article 12, une notification volontaire n’a pas pour effet d’imposer à l’entité de l’Union qui en est à l’origine des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.

2.   Afin d’accomplir sa mission et les tâches qui lui sont confiées en vertu de l’article 13, le CERT-UE peut demander aux entités de l’Union de lui fournir des informations à partir de leurs inventaires respectifs des systèmes TIC, notamment des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux indicateurs de compromission et aux alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les incidents. L’entité de l’Union requise transmet les informations demandées, ainsi que toute mise à jour ultérieure de celles-ci, dans les meilleurs délais.

3.   Le CERT-UE peut échanger avec les entités de l’Union des informations propres à un incident qui révèlent l’identité de l’entité de l’Union touchée par cet incident sous réserve du consentement de l’entité de l’Union touchée. Lorsqu’une entité de l’Union n’accorde pas son consentement, elle fournit au CERT-UE les motifs de cette décision.

4.   Les entités de l’Union partagent avec le Parlement européen et le Conseil, à leur demande, des informations sur l’achèvement des plans de cybersécurité.

5.   L’IICB ou le CERT-UE, selon le cas, partage les orientations, les recommandations et les injonctions avec le Parlement européen et le Conseil, à leur demande.

6.   Les obligations en matière de partage énoncées au présent article ne s’étendent pas:

1.   Un incident est considéré comme important si:

2.   Les entités de l’Union transmettent au CERT-UE:

3.   Une entité de l’Union informe, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance d’un incident important, tous les homologues des États membres concernés visés à l’article 17, paragraphe 1, dans l’État membre dans lequel il est situé qu’un incident important est survenu.

4.   Les entités de l’Union notifient, entre autres, toute information qui permet au CERT-UE de déterminer tout impact inter-entités, tout impact pour l’État membre hôte ou tout impact transfrontière de l’incident important. Sans préjudice de l’article 12, le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité de l’Union.

5.   Le cas échéant, les entités de l’Union communiquent sans retard injustifié aux utilisateurs des réseaux et des systèmes d’information touchés, ou d’autres composants de l’environnement TIC, qui sont potentiellement touchés par un incident important ou une cybermenace importante et qui, le cas échéant, doivent prendre des mesures d’atténuation, toutes les mesures ou corrections qu’ils peuvent appliquer en réponse à cet incident ou à cette menace. Le cas échéant, les entités de l’Union informent ces utilisateurs de la cybermenace importante elle-même.

6.   Lorsqu’un incident important ou une cybermenace importante touche un réseau et un système d’information, ou un composant de l’environnement TIC d’une entité de l’Union qui est réputé être connecté à l’environnement TIC d’une autre entité de l’Union, le CERT-UE émet une alerte de cybersécurité.

7.   Les entités de l’Union fournissent au CERT-UE, à sa demande et dans les meilleurs délais, les informations numériques générées par l’utilisation de dispositifs électroniques impliqués dans les incidents qui les ont respectivement touchés. Le CERT-UE peut fournir davantage de détails sur les types d’informations dont il a besoin pour la conscience situationnelle et la réaction aux incidents.

8.   Le CERT-UE soumet tous les trois mois à l’IICB, à l’ENISA, à l’INTCEN et au réseau des CSIRT un rapport de synthèse contenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces, les incidents évités et les vulnérabilités conformément à l’article 20 et sur les incidents importants qui ont été notifiés conformément au paragraphe 2 du présent article. Le rapport de synthèse constitue une contribution au rapport bisannuel sur l’état de la cybersécurité dans l’Union adopté en vertu de l’article 18 de la directive (UE) 2022/2555.

9.   Au plus tard le 8 juillet 2024, l’IICB élabore des orientations ou des recommandations précisant davantage les modalités, le format et le contenu du rapport conformément au présent article. Lors de la préparation de ces orientations ou de ces recommandations, l’IICB tient compte de tout acte d’exécution adopté en vertu de l’article 23, paragraphe 11, de la directive (UE) 2022/2555 en vue de préciser le type d’informations, le format et la procédure des notifications. Le CERT-UE diffuse les renseignements techniques appropriés pour permettre aux entités de l’Union de prendre des mesures proactives de détection, de réaction aux incidents ou d’atténuation de ceux-ci.

10.   Les obligations d’information énoncées au présent article ne s’étendent pas:

1.   En faisant office de pôle d’échange d’informations sur la cybersécurité et de coordination des réponses aux incidents, le CERT-UE facilite l’échange d’informations en ce qui concerne les cybermenaces, les vulnérabilités et les incidents évités entre:

2.   Le CERT-UE, le cas échéant en étroite coopération avec l’ENISA, facilite la coordination entre les entités de l’Union en matière de réaction aux incidents, notamment par les moyens suivants:

3.   Le CERT-UE, en étroite coopération avec l’ENISA, soutient les entités de l’Union en ce qui concerne la conscience situationnelle des incidents, des cybermenaces, des vulnérabilités et des incidents évités ainsi qu’en ce qui concerne le partage des évolutions pertinentes dans le domaine de la cybersécurité.

4.   Au plus tard le 8 janvier 2025, sur la base d’une proposition du CERT-UE, l’IICB adopte des orientations ou des recommandations sur la coordination de la réaction aux incidents et la coopération en cas d’incident important. Lorsqu’il est suspecté qu’un incident est de nature criminelle, le CERT-UE conseille sur la manière de signaler l’incident aux autorités répressives sans retard injustifié.

5.   À la demande spécifique d’un État membre et moyennant l’approbation des entités de l’Union concernées, le CERT-UE peut inviter des experts figurant sur la liste visée à l’article 23, paragraphe 4, à contribuer à la réaction à un incident majeur qui a un impact dans cet État membre ou à un incident de cybersécurité majeur conformément à l’article 15, paragraphe 3, point g), de la directive (UE) 2022/2555. Des règles spécifiques relatives à l’accès et au recours à des experts techniques issus des entités de l’Union sont approuvées par l’IICB sur la base d’une proposition du CERT-UE.

1.   Afin de soutenir au niveau opérationnel la gestion coordonnée des incidents majeurs affectant des entités de l’Union et de contribuer à l’échange régulier d’informations pertinentes entre les entités de l’Union et avec les États membres, l’IICB définit, conformément à l’article 11, point q), un plan de gestion des crises de cybersécurité sur la base des activités visées à l’article 22, paragraphe 2, en étroite coopération avec le CERT-UE et l’ENISA. Le plan de gestion des crises de cybersécurité comprend au moins les éléments suivants:

2.   Sous réserve du plan de gestion des crises de cybersécurité défini en vertu du paragraphe 1 du présent article et sans préjudice de l’article 16, paragraphe 2, premier alinéa, de la directive (UE) 2022/2555, le représentant de la Commission à l’IICB fait office de point de contact pour le partage des informations pertinentes relatives aux incidents majeurs avec EU-CyCLONe.

3.   Le CERT-UE coordonne la gestion des incidents majeurs entre les entités de l’Union. Il tient à jour un inventaire de l’expertise technique disponible qui serait nécessaire pour réagir aux incidents en cas d’incidents majeurs et assiste l’IICB dans la coordination des plans de gestion des crises de cybersécurité des entités de l’Union en cas d’incidents majeurs visés à l’article 9, paragraphe 2.

4.   Les entités de l’Union contribuent à l’inventaire de l’expertise technique en fournissant une liste des experts disponibles au sein de leurs entités respectives, qui est mise à jour chaque année et détaille les compétences techniques spécifiques de ces experts.

1.   Au plus tard le 8 janvier 2025, puis sur une base annuelle, l’IICB, avec l’aide du CERT-UE, fait rapport à la Commission sur la mise en œuvre du présent règlement. L’IICB peut adresser des recommandations à la Commission en vue de réexaminer le présent règlement.

2.   Au plus tard le 8 janvier 2027, puis tous les deux ans, la Commission évalue et fait rapport au Parlement européen et au Conseil sur la mise en œuvre du présent règlement et sur l’expérience acquise au niveau stratégique et opérationnel.

Le rapport visé au premier alinéa du présent paragraphe comprend le réexamen visé à l’article 16, paragraphe 1, relatif à la possibilité de faire du CERT-UE un organisme de l’Union.

3.   Au plus tard le 8 janvier 2029, la Commission évalue le fonctionnement du présent règlement et fait rapport au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. La Commission évalue également l’opportunité d’inclure les réseaux et systèmes d’information traitant des ICUE dans le champ d’application du présent règlement, en tenant compte des autres actes législatifs de l’Union applicables à ces systèmes. Le rapport est accompagné au besoin d’une proposition législative.