EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52023XC0918(01)

Communication de la Commission Lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de la directive (UE) 2022/2555 (directive SRI 2) 2023/C 328/02

C/2023/6068

JO C 328 du 18.9.2023, p. 2–10 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

18.9.2023   

FR

Journal officiel de l’Union européenne

C 328/2


COMMUNICATION DE LA COMMISSION

Lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de la directive (UE) 2022/2555 (directive SRI 2)

(2023/C 328/02)

I.   INTRODUCTION

1.

Conformément à l’article 4, paragraphe 3, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2) (1), la Commission fournit, au plus tard le 17 juillet 2023, des lignes directrices clarifiant l’application de l’article 4, paragraphes 1 et 2, de ladite directive.

2.

Les présentes lignes directrices clarifient l’application desdites dispositions, qui concernent la relation entre la directive (UE) 2022/2555 et les actes juridiques sectoriels actuels et futurs de l’Union prévoyant des mesures de gestion des risques en matière de cybersécurité ou des exigences relatives à la notification des incidents. L’appendice des présentes lignes directrices énumère les actes juridiques sectoriels de l’Union que la Commission considère comme relevant du champ d’application de l’article 4 de la directive (UE) 2022/2555. Le fait qu’un acte ne figure pas dans ledit appendice ne signifie pas nécessairement qu’il ne relève pas du champ d’application de cette disposition.

3.

En application de l’article 4, paragraphe 3, troisième phrase, de la directive (UE) 2022/2555, la Commission a tenu compte des observations du groupe de coopération SRI et de l’Agence de l’Union européenne pour la cybersécurité (ENISA) avant l’adoption des présentes lignes directrices.

4.

Les présentes lignes directrices sont sans préjudice de l’interprétation du droit de l’Union par la Cour de justice de l’Union européenne.

II.   ÉQUIVALENCE DES EXIGENCES RELATIVES À LA CYBERSÉCURITÉ DES ACTES JURIDIQUES SECTORIELS DE L’UNION

5.

L’article 4, paragraphe 1, de la directive (UE) 2022/2555 dispose que, lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par ladite directive, les dispositions pertinentes de la directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII de la directive, ne sont pas applicables auxdites entités. Ladite disposition prévoit en outre que, lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la directive (UE) 2022/2555, les dispositions pertinentes de la directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union.

II.1.   Exigences relatives à la gestion des risques en matière de cybersécurité

6.

L’article 4, paragraphe 2, point a), de la directive (UE) 2022/2555 dispose que les mesures de gestion des risques en matière de cybersécurité que les entités essentielles ou importantes sont tenues d’adopter en vertu d’actes juridiques sectoriels de l’Union sont considérées comme ayant un effet équivalent aux obligations prévues par la directive (UE) 2022/2555 lorsque lesdites mesures ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2, de ladite directive. Lors de l’évaluation du point de savoir si les exigences figurant dans un acte juridique sectoriel de l’Union concernant des mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des obligations prévues à l’article 21, paragraphes 1 et 2, de la directive (UE) 2022/2555, les exigences prévues par cet acte juridique sectoriel de l’Union devraient, au minimum, correspondre aux exigences énoncées auxdites dispositions de la directive ou aller au-delà de celles-ci, ce qui signifie que les dispositions sectorielles peuvent être plus détaillées sur le fond que les dispositions correspondantes de la directive (UE) 2022/2555.

7.

Conformément à l’article 21, paragraphe 1, premier alinéa, de la directive (UE) 2022/2555, les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services Ces mesures devraient être basées sur les risques et être à même d’éliminer ou de réduire les conséquences de ces incidents. L’article 21, paragraphe 1, deuxième alinéa, de la directive (UE) 2022/2555 précise comment il convient d’apprécier la proportionnalité de ces mesures (2). L’obligation énoncée à l’article 21, paragraphe 1, de la directive (UE) 2022/2555, qui impose aux entités essentielles et importantes de prendre des mesures appropriées et proportionnées de gestion des risques en matière de cybersécurité, concerne toutes les opérations et tous les services de l’entité concernée, et pas uniquement certains services critiques ou biens informatiques fournis par l’entité.

8.

Lors de l’évaluation de l’équivalence d’un acte juridique sectoriel de l’Union par rapport aux dispositions pertinentes de la directive (UE) 2022/2555 relatives à la gestion des risques en matière de cybersécurité, il convient d’accorder une importance particulière à la question de savoir si les obligations en matière de sécurité prévues dans cet acte juridique comprennent des mesures visant à garantir la sécurité des réseaux et des systèmes d’information. La définition du terme «sécurité des réseaux et des systèmes d’information» figurant à l’article 6, point 2), de la directive (UE) 2022/2555 renvoie à la capacité des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles. L’utilisation des termes «disponibilité», «authenticité», «intégrité» et «confidentialité» dans cette définition renvoie aux quatre objectifs de protection liés à la sécurité des réseaux et des systèmes d’information. Le terme «réseau et système d’information», tel que défini à l’article 6, point 1), de la directive (UE) 2022/2555, comprend les réseaux de communications électroniques (3); tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; et les données numériques stockées, traitées, récupérées ou transmises par de tels réseaux de communication électroniques ou de tels dispositifs en vue de leur fonctionnement, utilisation, protection ou maintenance. Par conséquent, les mesures de sécurité requises par un acte juridique sectoriel de l’Union devraient également couvrir le matériel, les micrologiciels et les logiciels utilisés dans le cadre des activités d’une entité.

9.

Une autre considération importante lors de l’évaluation de l’équivalence d’un acte juridique sectoriel de l’Union par rapport aux exigences de l’article 21, paragraphes 1 et 2, de la directive (UE) 2022/2555 concerne le fait que les mesures de gestion des risques en matière de cybersécurité requises par cet acte devraient être fondées sur une approche «tous risques». Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, tout type d’événement peut avoir une incidence négative sur les réseaux et systèmes d’information de l’entité et potentiellement entraîner un incident. Dès lors, les mesures de gestion des risques en matière de cybersécurité prises par l’entité devraient protéger non seulement les réseaux et les systèmes d’information de l’entité, mais aussi l’environnement physique de ces systèmes contre des événements tels que le sabotage, le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Par conséquent, les mesures de gestion des risques en matière de cybersécurité requises par un acte juridique sectoriel de l’Union devraient porter spécifiquement sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information afin de les protéger contre les défaillances des systèmes, les erreurs humaines, les actes de malveillance ou les phénomènes naturels (4).

10.

L’article 21, paragraphe 2, de la directive (UE) 2022/2555 exige en outre que les mesures de gestion des risques en matière de cybersécurité comprennent notamment les exigences de sécurité spécifiques énumérées aux points a) à j) de ladite disposition. Ces exigences couvrent des mesures telles que les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information, la gestion des incidents, la continuité des activités, la gestion des crises, la sécurité de la chaîne d’approvisionnement, les politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement. Au titre de l’article 21, paragraphe 5, deuxième alinéa, de la directive (UE) 2022/2555, la Commission est habilitée à adopter des actes d’exécution établissant les exigences techniques et méthodologiques ainsi que les exigences sectorielles, si nécessaire, liées aux mesures de sécurité visées à l’article 21, paragraphe 2, de ladite directive. En ce qui concerne les fournisseurs de services de système de noms de domaine (DNS), les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance, la Commission adopte, au plus tard le 17 octobre 2024, des actes d’exécution établissant les exigences techniques et méthodologiques liées aux mesures de sécurité prévues à l’article 21, paragraphe 2, de la directive (UE) 2022/2555. Les actes d’exécution précisent de manière plus détaillée les principales conditions et les principaux critères de mise en œuvre énoncés dans l’acte de base, sans toucher à la substance de cet acte (5).

II.2.   Exigences en matière de notification

11.

L’article 4, paragraphe 2, point b), de la directive (UE) 2022/2555 dispose que les exigences relatives à la notification des incidents importants sont considérées comme ayant un effet équivalent aux obligations prévues par ladite directive lorsque l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les centres de réponse aux incidents de sécurité informatique (les «CSIRT»), les autorités compétentes ou les points de contact uniques (les «PCU»), et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la directive.

12.

Étant donné que les exigences, prévues par un acte juridique sectoriel de l’Union, relatives à la notification des incidents importants doivent avoir un effet au moins équivalent à celui des obligations énoncées à l’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555 pour que cet acte s’applique en lieu et place des exigences relatives à la notification prévues par ladite directive, les exigences énoncées à l’article 23, paragraphes 1 à 6, de la directive revêtent une importance particulière pour apprécier l’équivalence. L’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555 définit de manière plus détaillée le type d’incidents qui doit être signalé, à qui ils doivent l’être et dans quel délai, ainsi que les informations à communiquer. Ces éléments sont expliqués plus en détail dans les sections suivantes.

II.2.1.   Notification d’incidents importants aux CSIRT, aux autorités compétentes et aux destinataires

13.

Au titre de l’article 23, paragraphe 1, premier alinéa, première phrase, de la directive (UE) 2022/2555, les entités essentielles et importantes sont tenues de notifier, sans retard injustifié, à leur CSIRT ou, selon le cas, à leur autorité compétente tout incident important. L’article 23, paragraphe 1, premier alinéa, deuxième phrase, de la directive (UE) 2022/2555 impose aux entités essentielles et importantes de notifier le cas échéant, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services.

14.

Alors que l’article 6, point 6), de la directive (UE) 2022/2555 définit le terme «incident» de manière très large, comme un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, l’article 23, paragraphe 1, de ladite directive ne soumet que les incidents importants à une obligation de notification. Un incident est important s’il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée [article 23, paragraphe 3, point a)] ou s’il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables [article 23, paragraphe 3, point b)].

15.

Le considérant 101 du préambule de la directive (UE) 2022/2555 précise que la notification des incidents doit être fondée sur une évaluation initiale effectuée par l’entité concernée. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité, de la gravité et des caractéristiques techniques de la cybermenace et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité en matière d’incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés peuvent jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

16.

En vertu de l’article 23, paragraphe 11, deuxième alinéa, de la directive (UE) 2022/2555, la Commission est habilitée à adopter des actes d’exécution précisant les cas dans lesquels un incident est considéré comme important. En ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, la Commission adopte, au plus tard le 17 octobre 2024, de tels actes d’exécution. Les actes d’exécution précisent de manière plus détaillée les principales conditions et les principaux critères de mise en œuvre énoncés dans l’acte de base, sans toucher à la substance de cet acte (6).

II.2.2.   Approche en plusieurs étapes et calendrier de notification des incidents importants

17.

La directive (UE) 2022/2555 établit une approche en plusieurs étapes pour la notification des incidents importants, qui comprend une alerte précoce, la notification de l’incident et un rapport final. Ces trois éléments peuvent éventuellement être complétés par des rapports intermédiaires et un rapport d’avancement.

18.

L’approche en plusieurs étapes vise à trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers (7).

19.

Selon l’approche en plusieurs étapes, lorsque les entités essentielles et importantes prennent connaissance de l’incident important, elles sont d’abord tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures au CSIRT compétent ou à l’autorité compétente. Ensuite, ces entités doivent soumettre une notification d’incident sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important. Par la suite, un rapport intermédiaire peut être demandé par le CSIRT compétent ou l’autorité compétente. Enfin, un rapport final doit être fourni au CSIRT compétent ou à l’autorité compétente au plus tard un mois après la présentation de la notification d’incident, sauf si l’incident est toujours en cours à ce moment-là, auquel cas un rapport d’avancement puis un rapport final doivent être fournis dans un délai d’un mois à compter du traitement de l’incident.

20.

Un calendrier différent s’applique pour la notification d’incident prévue à l’article 23, paragraphe 4, deuxième alinéa, de la directive (UE) 2022/2555 en ce qui concerne les prestataires de services de confiance. Ces fournisseurs doivent notifier les incidents importants qui ont un impact sur la fourniture de leurs services de confiance sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important.

II.2.3.   Contenu de l’obligation de notification des incidents importants aux CSIRT ou aux autorités compétentes

21.

L’article 23, paragraphe 1, premier alinéa, troisième phrase, de la directive (UE) 2022/2555 impose, à titre de règle générale, aux États membres de veiller à ce que les entités essentielles et importantes signalent, entre autres, toute information permettant au CSIRT compétent ou, le cas échéant, à l’autorité compétente de déterminer si l’incident a un impact transfrontière. Cette exigence concernant le contenu de l’obligation de notification est précisée à l’article 23, paragraphe 4, de la directive (UE) 2022/2555, qui définit l’approche en plusieurs étapes.

22.

Conformément à l’article 23, paragraphe 4, point a), l’alerte précoce doit, le cas échéant, indiquer si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir (c’est-à-dire s’il est susceptible d’avoir) un impact transfrontière. Aux termes du considérant 102 du préambule de la directive (UE) 2022/2555, l’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident important à la connaissance du CSIRT compétent, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité concernée de demander une assistance, si nécessaire.

23.

La notification d’incident doit contenir, le cas échéant, des mises à jour des informations fournies dans le cadre de l’alerte précoce. En outre, elle doit comprendre une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles.

24.

Si un rapport intermédiaire est demandé, il doit inclure les mises à jour pertinentes de la situation. Le rapport final doit comprendre une description détaillée de l’incident, y compris de sa gravité et de son impact, le type de menace ou la cause profonde qui a probablement déclenché l’incident, les mesures d’atténuation appliquées et en cours et, le cas échéant, l’impact transfrontière de l’incident.

II.2.4.   Accès immédiat aux notifications d’incidents

25.

L’article 4, paragraphe 2, point b), de la directive (UE) 2022/2555 prévoit que l’acte juridique sectoriel de l’Union, devant être appliqué en ce qui concerne les exigences relatives à la notification au lieu de ladite directive, doit fournir aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la directive (UE) 2022/2555 un accès immédiat aux notifications d’incidents soumises conformément audit acte juridique sectoriel de l’Union. Conformément au considérant 24 du préambule de la directive (UE) 2022/2555, cet accès immédiat peut en particulier être garanti si les notifications d’incidents sont transmises sans retard injustifié au CSIRT, à l’autorité compétente ou au point de contact unique.

26.

L’accès immédiat peut être assuré par des moyens automatiques et directs que les États membres devraient mettre en place, s’il y a lieu. Les mécanismes d’information automatique et directe garantissent un partage systématique et immédiat des informations avec les CSIRT, les autorités compétentes ou les points de contact uniques concernant le traitement des notifications d’incidents. Les États membres peuvent également utiliser un point d’entrée unique qui doit être conforme à l’acte juridique sectoriel de l’Union, afin de simplifier les signalements et de mettre en œuvre le mécanisme d’information automatique et directe.

27.

Lors de l’évaluation du point de savoir si les exigences figurant dans un acte juridique sectoriel de l’Union relatives à la notification des incidents importants ont un effet au moins équivalent à celui des obligations prévues à l’article 23, paragraphes 1 à 6, de la directive (UE) 2022/2555, les exigences prévues par cet acte juridique sectoriel de l’Union devraient, au minimum, correspondre aux exigences énoncées à l’article 23, paragraphes 1 à 6, ou être plus détaillées que ces dispositions. Ces exigences devraient porter sur le type d’incidents devant être signalés conformément à la directive (UE) 2022/2555, compte tenu notamment des destinataires, du contenu et des calendriers applicables.

III.   CONSÉQUENCES DE L’ÉQUIVALENCE

III.1.   Supervision et exécution

28.

Lorsque des actes juridiques sectoriels de l’Union ont un effet au moins équivalent aux obligations énoncées dans la directive (UE) 2022/2555, ce ne sont pas seulement les dispositions pertinentes de ladite directive concernant l’obligation d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier les incidents importants qui ne s’appliquent pas, mais également les dispositions relatives à la supervision et à l’exécution, figurant au chapitre VII de la directive (UE) 2022/2555.

29.

Le considérant 25 du préambule de la directive (UE) 2022/2555 explique que les actes juridiques sectoriels de l’Union qui ont un effet au moins équivalent pourraient prévoir que les autorités compétentes en vertu desdits actes exercent leurs pouvoirs de supervision et d’exécution en ce qui concerne les obligations de gestion des risques en matière de cybersécurité ou les obligations d’information avec l’assistance des autorités compétentes en vertu de la directive (UE) 2022/2555. Les autorités compétentes concernées pourraient établir des accords de coopération à cet effet, précisant, entre autres, des procédures relatives à la coordination des activités de supervision, y compris les procédures d’enquête et d’inspection sur place conformément au droit national, ainsi qu’un mécanisme d’échange des informations pertinentes sur la supervision et l’exécution entre les autorités compétentes. Un tel mécanisme d’échange d’informations pertinentes pourrait comprendre l’accès aux informations relatives au cyberespace demandées par les autorités compétentes en vertu de la directive (UE) 2022/2555.

III.2.   Stratégie nationale en matière de cybersécurité

30.

Chaque État membre est tenu d’adopter une stratégie nationale de cybersécurité conformément à l’article 7, paragraphe 1, de la directive (UE) 2022/2555. Une stratégie nationale de cybersécurité est un cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre [voir article 6, point 4), de la directive (UE) 2022/2555]. La stratégie de cybersécurité doit comprendre, entre autres, des objectifs et des priorités couvrant en particulier les secteurs visés aux annexes I et II de la directive (UE) 2022/2555. En outre, cette stratégie doit comporter un cadre de gouvernance permettant d’atteindre ces objectifs et priorités, y compris les politiques visées à l’article 7, paragraphe 2, de la directive (UE) 2022/2555.

31.

De plus, l’article 7, paragraphe 1, point c), de la directive (UE) 2022/2555 prévoit que la stratégie nationale de cybersécurité doit comprendre un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées au niveau national, et sur lequel reposent la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT au titre de ladite directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union.

32.

Par conséquent, l’obligation d’adopter une stratégie de cybersécurité en vertu de l’article 7 de la directive (UE) 2022/2555 ne concerne ni les exigences en matière de cybersécurité imposées aux entités essentielles et importantes en vertu des articles 21 et 23 de ladite directive, ni les dispositions relatives à leur supervision et à leur exécution énoncées au chapitre VII, comme l’exige l’article 4, paragraphes 1 et 2, de la directive. La disposition pertinente de l’article 7 devrait continuer de s’appliquer aux secteurs, sous-secteurs et types d’entités pour lesquels il existe des actes juridiques sectoriels de l’Union au sens de l’article 4 de la directive (UE) 2022/2555.

III.3.   Désignation des CSIRT

33.

Conformément à l’article 10, paragraphe 1, de la directive (UE) 2022/2555, les États membres doivent désigner ou mettre en place un ou plusieurs CSIRT couvrant au moins les secteurs, sous-secteurs et types d’entités visés aux annexes I et II de la directive, y compris les secteurs, sous-secteurs et types d’entités pour lesquels il existe des actes juridiques sectoriels de l’Union. Normalement, les CSIRT accomplissent également leurs tâches conformément à l’article 11, paragraphe 3, de la directive (UE) 2022/2555, à moins que des tâches particulières ne soient spécifiées dans les actes juridiques sectoriels de l’Union.

III.4.   Cadres nationaux de gestion des crises de cybersécurité et EU-CyCLONe

34.

Conformément à l’article 9, paragraphe 1, de la directive (UE) 2022/2555, les États membres doivent désigner ou établir une ou plusieurs autorités de gestion des crises cyber, qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises. Conformément à l’article 6, point 7), de ladite directive, un «incident de cybersécurité majeur» est un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres. L’article 9, paragraphe 4, de la directive (UE) 2022/2555 impose à chaque État membre d’adopter un plan national de réaction aux crises et incidents de cybersécurité majeurs dans lequel sont définis les objectifs et les modalités de gestion des incidents de cybersécurité majeurs et des crises. Ce plan devrait définir, entre autres, les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations, ainsi que les parties prenantes et les infrastructures des secteurs public et privé concernées. Ces procédures de gestion des crises cyber et les parties prenantes et infrastructures des secteurs public et privé concernées pourraient impliquer des parties prenantes et des procédures sectorielles.

35.

L’article 16 de la directive (UE) 2022/2555 établit le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe), dont l’objectif est de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents de cybersécurité majeurs et des crises, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union.

36.

Étant donné que l’article 9 sur les cadres de gestion des crises cyber et l’article 16 sur EU-CyCLONe ne concernent pas les exigences en matière de cybersécurité imposées aux entités en vertu des articles 21 et 23 de la directive (UE) 2022/2555 ni la supervision et l’exécution prévues au chapitre VII, comme l’exige l’article 4, paragraphes 1 et 2, de ladite directive, les articles 9 et 16 devraient s’appliquer dans leur intégralité aux secteurs, malgré l’existence d’actes juridiques sectoriels de l’Union au sens de l’article 4. En conséquence, les États membres doivent désigner ou établir une ou plusieurs autorités de gestion des crises cyber, qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises survenant dans les secteurs couverts par des actes juridiques sectoriels de l’Union. En outre, les secteurs couverts par des actes juridiques sectoriels de l’Union ne devraient pas être négligés lors de l’adoption du plan national de réaction aux crises et incidents de cybersécurité majeurs. Enfin, EU-CyCLONe devrait s’acquitter des tâches qui lui incombent en vertu de l’article 16 de la directive (UE) 2022/2555 en ce qui concerne les secteurs dans lesquels les entités sont soumises à des actes juridiques sectoriels de l’Union.

III.5.   Exclusion de l’application de l’article 3, paragraphes 3 et 4, de l’article 20 et de l’article 27, paragraphes 2 et 3

37.

Conformément à l’article 3, paragraphe 3, de la directive (UE) 2022/2555, les États membres sont tenus d’établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaines relevant du champ d’application de la directive. Conformément à l’article 27, paragraphe 2, les États membres exigent des entités visées à l’article 27, paragraphe 1, de ladite directive qu’elles communiquent certaines informations aux autorités compétentes. Étant donné que l’objectif de ces dispositions est de permettre une vue d’ensemble claire des entités relevant du champ d’application de la directive (UE) 2022/2555 à l’appui de la supervision des entités essentielles et importantes relevant de son champ d’application, il s’ensuit que ces dispositions ne devraient pas s’appliquer aux entités auxquelles s’applique un acte juridique sectoriel de l’Union en ce qui concerne les exigences en matière de gestion des risques de cybersécurité et de notification des incidents. Cela n’empêche pas les États membres d’inscrire ces entités sur la liste.

Conformément à l’article 20, paragraphe 1, de la directive (UE) 2022/2555, les organes de direction des entités essentielles et importantes sont tenus d’approuver les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, et de superviser sa mise en œuvre, et peuvent être tenus responsables de la violation dudit article par ces entités. Conformément à l’article 20, paragraphe 2, de la directive, les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. Étant donné que les obligations découlant de l’article 20 de la directive (UE) 2022/2555 sont intrinsèquement liées aux exigences de l’article 21 de ladite directive, il s’ensuit que l’article 20 ne devrait pas s’appliquer dans le cas d’actes juridiques sectoriels de l’Union au sens de l’article 4 de ladite directive s’appliquant aux exigences en matière de gestion des risques de cybersécurité.


(1)   JO L 333 du 27.12.2022, p. 80.

(2)  Voir également les considérants 78, 81 et 82 du préambule de la directive (UE) 2022/2555.

(3)  Article 2, paragraphe 1, de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36).

(4)  Voir le considérant 79 du préambule de la directive (UE) 2022/2555.

(5)  Voir le point D intitulé «Règles supplémentaires mettant en œuvre l’acte de base», Critères non contraignants pour l’application des articles 290 et 291 du traité sur le fonctionnement de l’Union européenne - 18 juin 2019 (JO C 223 du 3.7.2019, p. 1).

(6)  Voir le point D intitulé «Règles supplémentaires mettant en œuvre l’acte de base», Critères non contraignants pour l’application des articles 290 et 291 du traité sur le fonctionnement de l’Union européenne - 18 juin 2019 (JO C 223 du 3.7.2019, p. 1).

(7)  Voir le considérant 101 du préambule de la directive (UE) 2022/2555.


APPENDICE

Actes juridiques sectoriels de l’Union

Règlement (UE) 2022/2554 (règlement sur la résilience opérationnelle numérique)  (1)

1.

L’article 1er, paragraphe 2, du règlement (UE) 2022/2554 (règlement sur la résilience opérationnelle numérique, DORA) dispose que, en ce qui concerne les entités financières couvertes par la directive (UE) 2022/2555 et ses règles nationales de transposition correspondantes, le règlement (UE) 2022/2554 est considéré comme un acte juridique sectoriel de l’Union aux fins de l’article 4 de la directive (UE) 2022/2555. Cette déclaration est reflétée au considérant 28 du préambule de la directive (UE) 2022/2555, qui indique que le règlement DORA devrait être considéré comme un acte juridique sectoriel de l’Union en rapport avec la directive (UE) 2022/2555 en ce qui concerne les entités financières. Par conséquent, les dispositions du règlement (UE) 2022/2554 portant sur les mesures de gestion des risques concernant les technologies de l’information et de la communication (TIC) (article 6 et suivants), la gestion des incidents liés aux TIC et notamment la notification des incidents majeurs liés aux TIC (article 17 et suivants), ainsi que sur le test de la résilience opérationnelle numérique (articles 24 et suivants), les accords de partage d’informations (article 25) et les risques liés aux tiers en matière de TIC (article 28 et suivants) devraient s’appliquer au lieu de celles prévues par la directive (UE) 2022/2555. Les États membres ne devraient par conséquent pas appliquer aux entités financières relevant du règlement (UE) 2022/2554 les dispositions de la directive (UE) 2022/2555 concernant la gestion des risques de cybersécurité et les obligations d’information ainsi que la supervision et l’exécution.

2.

À cet égard, les entités financières sont considérées comme des entités visées à l’article 2, paragraphe 1, point a) à t), du règlement (UE) 2022/2554. Les types d’entités qui relèvent du champ d’application du règlement (UE) 2022/2554 en tant qu’entités financières, ainsi que du champ d’application de la directive (UE) 2022/2555 en tant qu’entités essentielles ou importantes, comprennent les établissements de crédit, les plates-formes de négociation et les contreparties centrales. Étant donné qu’il est important de maintenir une relation étroite et l’échange d’informations avec le secteur financier en vertu de la directive (UE) 2022/2555, les autorités européennes de surveillance et les autorités compétentes au titre du règlement (UE) 2022/2554 peuvent demander à participer aux activités du groupe de coopération (2), à échanger des informations et à coopérer avec les points de contact uniques, ainsi qu’avec les CSIRT et les autorités compétentes au titre de la directive (UE) 2022/2555 (3). Les autorités compétentes en vertu du règlement (UE) 2022/2554 devraient également communiquer les détails des incidents majeurs liés aux TIC et, s’il y a lieu, des cybermenaces importantes aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la directive (UE) 2022/2555. Cela est réalisable en prévoyant un accès immédiat aux notifications d’incidents et en les transmettant soit directement, soit par l’intermédiaire d’un point d’entrée unique. Les CSIRT devraient être en mesure de couvrir le secteur financier dans leurs activités (4). Les États membres devraient continuer à inclure le secteur financier dans leurs stratégies de cybersécurité. Les dispositions relatives aux cadres nationaux de gestion des crises cyber [article 9 de la directive (UE) 2022/2555], ainsi qu’à EU-CyCLONe [article 16 de la directive (UE) 2022/2555], devraient continuer à s’appliquer aux entités relevant du champ d’application du règlement (UE) 2022/2554.

(1)  Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).

(2)  Article 14, paragraphe 3, du règlement (UE) 2022/2555 et article 47, paragraphe 1, du règlement (UE) 2022/2554.

(3)  Voir le considérant 28 de la directive (UE) 2022/2555.

(4)  Ibidem.


Top