LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
Vu la proposition de la Commission européenne,
Après transmission du projet d'acte législatif aux parlements nationaux,
Vu l'avis de la Banque centrale européenne,
Vu l'avis du Comité économique et social européen,
Après consultation du Comité des régions,
Agissant conformément à la procédure législative ordinaire,
Considérant que
(1) La directive (UE) 2016/1148 du Parlement européen et du Conseil (4) visait à mettre en place un système de gestion de l'information. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; dans l'ensemble de l'Union, d'atténuer les menaces pesant sur les réseaux et les systèmes d'information utilisés pour fournir des services essentiels dans des secteurs clés et d'assurer la continuité de ces services en cas d'incident, contribuant ainsi à la sécurité de l'Union et au bon fonctionnement de son économie et de sa société.
(2) Depuis l'entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été accomplis pour accroître le niveau de cyberrésilience de l'Union. L'examen de cette directive a montré qu'elle a servi de catalyseur pour l'approche institutionnelle et réglementaire de la cybersécurité dans l'Union, ouvrant la voie à un changement significatif d'état d'esprit.
Cette directive a permis de mettre en place des cadres nationaux sur les thèmes suivants sécurité des réseaux et des systèmes d'informationSécurité des réseaux et des systèmes d'information La capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par ces réseaux et systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) en établissant des stratégies nationales sur la sécurité des réseaux et des systèmes d'information et en mettant en place des capacités nationales, ainsi qu'en mettant en œuvre des mesures réglementaires couvrant les infrastructures et entités essentielles identifiées par chaque État membre.
La directive (UE) 2016/1148 a également contribué à la coopération au niveau de l'Union par la mise en place du groupe de coopération et du réseau des services nationaux de sécurité informatique. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) équipes d'intervention. Malgré ces réalisations, le réexamen de la directive (UE) 2016/1148 a révélé des lacunes inhérentes qui l'empêchent de relever efficacement les défis actuels et émergents en matière de cybersécurité.
(3) Les réseaux et les systèmes d'information sont devenus un élément central de la vie quotidienne avec la transformation numérique rapide et l'interconnexion de la société, y compris dans les échanges transfrontaliers. Cette évolution a entraîné une expansion des cybermenaceCybermenace désigne toute circonstance, tout événement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre manière aux réseaux et aux systèmes d'information, aux utilisateurs de ces systèmes et à d'autres personnes - Définition selon l'article 2, point (8), du règlement (UE) 2019/881. Le paysage de l'Union européenne est en pleine mutation, ce qui entraîne de nouveaux défis qui nécessitent des réponses adaptées, coordonnées et innovantes dans l'ensemble des États membres.
Le nombre, l'ampleur, la sophistication, la fréquence et l'impact des incidents augmentent et constituent une menace majeure pour le fonctionnement des réseaux et des systèmes d'information. En conséquence, les incidents peuvent entraver la poursuite des activités économiques dans le marché intérieur, générer des pertes financières, saper la confiance des utilisateurs et causer des dommages importants à l'économie et à la société de l'Union.
La préparation et l'efficacité en matière de cybersécurité sont donc plus que jamais essentielles au bon fonctionnement du marché intérieur. En outre, la cybersécurité est un élément clé qui permet à de nombreux secteurs critiques de s'engager avec succès dans la transformation numérique et de profiter pleinement des avantages économiques, sociaux et durables de la numérisation.
(4) La base juridique de la directive (UE) 2016/1148 était l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE), dont l'objectif est l'établissement et le fonctionnement du marché intérieur par le renforcement des mesures de rapprochement des règles nationales. Les exigences de cybersécurité imposées aux entités fournissant des services ou exerçant des activités économiquement significatives varient considérablement d'un État membre à l'autre en termes de type d'exigence, de niveau de détail et de méthode de contrôle. Ces disparités entraînent des coûts supplémentaires et créent des difficultés pour les entités qui offrent des biens ou des services au-delà des frontières.
Les exigences imposées par un État membre qui sont différentes de celles imposées par un autre État membre, voire en conflit avec elles, peuvent avoir une incidence considérable sur ces activités transfrontalières. En outre, l'éventualité d'une conception ou d'une mise en œuvre inadéquate des exigences de cybersécurité dans un État membre est susceptible d'avoir des répercussions sur le niveau de cybersécurité des autres États membres, notamment en raison de l'intensité des échanges transfrontaliers.
L'examen de la directive (UE) 2016/1148 a montré une grande divergence dans sa mise en œuvre par les États membres, y compris en ce qui concerne son champ d'application, dont la délimitation a été très largement laissée à la discrétion des États membres. La directive (UE) 2016/1148 a également laissé aux États membres un très large pouvoir d'appréciation en ce qui concerne la mise en œuvre des obligations en matière de sécurité et de notification des incidents qu'elle prévoit. Ces obligations ont donc été mises en œuvre de manière très différente au niveau national. Il existe des divergences similaires dans la mise en œuvre des dispositions de la directive (UE) 2016/1148 relatives à la surveillance et à l'exécution.
(5) Toutes ces divergences entraînent une fragmentation du marché intérieur et peuvent avoir un effet préjudiciable sur son fonctionnement, en affectant notamment la prestation transfrontalière de services et le niveau de cyber-résilience en raison de l'application d'une série de mesures. En fin de compte, ces divergences pourraient conduire à l'augmentation de la valeur de l'impôt sur le revenu des personnes physiques. vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de certains États membres aux cybermenaces, avec des retombées potentielles dans l'ensemble de l'Union.
La présente directive vise à supprimer ces grandes divergences entre les États membres, notamment en fixant des règles minimales concernant le fonctionnement d'un cadre réglementaire coordonné, en établissant des mécanismes de coopération efficace entre les autorités responsables dans chaque État membre, en mettant à jour la liste des secteurs et des activités soumis à des obligations en matière de cybersécurité et en prévoyant des voies de recours et des mesures d'exécution efficaces qui sont essentielles à la mise en œuvre effective de ces obligations. Par conséquent, il convient d'abroger la directive (UE) 2016/1148 et de la remplacer par la présente directive.
(6) Avec l'abrogation de la directive (UE) 2016/1148, le champ d'application par secteur devrait être étendu à une plus grande partie de l'économie afin d'assurer une couverture complète des secteurs et des services d'importance vitale pour les activités sociétales et économiques clés dans le marché intérieur. En particulier, la présente directive vise à combler les lacunes de la différenciation entre les opérateurs de services essentiels et les opérateurs de services d'intérêt économique général. service numériqueService numérique désigne tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services. Aux fins de la présente définition : i) "à distance" signifie que le service est fourni sans que les parties soient simultanément présentes ; ii) "par voie électronique" signifie que le service est envoyé initialement et reçu à destination au moyen d'équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qu'il est entièrement transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par d'autres moyens électromagnétiques ; iii) "à la demande individuelle d'un destinataire de services" signifie que le service est fourni par la transmission de données sur demande individuelle. - Définition selon l'article 1, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil. qui s'est avérée obsolète, car elle ne reflète pas l'importance des secteurs ou des services pour les activités sociétales et économiques dans le marché intérieur.
(7) En vertu de la directive (UE) 2016/1148, les États membres étaient chargés d'identifier les entités qui remplissaient les critères pour être qualifiées d'opérateurs de services essentiels. Afin d'éliminer les grandes divergences entre les États membres à cet égard et d'assurer la sécurité juridique en ce qui concerne la cybersécurité. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)-En ce qui concerne les mesures de gestion et les obligations de déclaration pour toutes les entités concernées, il convient d'établir un critère uniforme pour déterminer les entités entrant dans le champ d'application de la présente directive.
Ce critère devrait consister en l'application d'une règle de plafonnement en fonction de la taille, en vertu de laquelle toutes les entités qui sont considérées comme des entreprises moyennes au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE de la Commission, ou qui dépassent les plafonds fixés pour les entreprises moyennes au paragraphe 1 dudit article, et qui opèrent dans les secteurs et fournissent les types de services ou exercent les activités couverts par la présente directive, entrent dans son champ d'application. Les États membres devraient également prévoir que certaines petites entreprises et microentreprises, telles que définies à l'article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent des critères spécifiques indiquant un rôle clé pour la société, l'économie ou des secteurs ou types de services particuliers, relèvent du champ d'application de la présente directive.
(8) L'exclusion des entités de l'administration publique du champ d'application de la présente directive devrait s'appliquer aux entités dont les activités sont principalement exercées dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention, la recherche, la détection et la poursuite d'infractions pénales. Toutefois, les entités de l'administration publique dont les activités ne sont que marginalement liées à ces domaines ne devraient pas être exclues du champ d'application de la présente directive.
Aux fins de la présente directive, les entités dotées de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l'application de la loi et ne sont donc pas exclues pour ce motif du champ d'application de la présente directive. Les entités de l'administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d'application de la présente directive. La présente directive ne s'applique pas aux missions diplomatiques et consulaires des États membres dans les pays tiers ni à leurs réseaux et systèmes d'information, dans la mesure où ces systèmes sont situés dans les locaux de la mission ou sont exploités pour des utilisateurs dans un pays tiers.
(9) Les États membres doivent pouvoir prendre les mesures nécessaires pour assurer la protection des intérêts essentiels de la sécurité nationale, pour sauvegarder l'ordre public et la sécurité publique et pour permettre la prévention, la recherche, la détection et la poursuite des infractions pénales.
À cette fin, les États membres devraient pouvoir exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention, la recherche, la détection et la poursuite d'infractions pénales, de certaines obligations prévues par la présente directive en ce qui concerne ces activités.
Où un entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) fournit des services exclusivement à un entité de l'administration publiqueEntité de l'administration publique désigne une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion du pouvoir judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants : (a) elle est créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère industriel ou commercial ; (b) elle a la personnalité juridique ou est habilitée par la loi à agir au nom d'une autre entité dotée de la personnalité juridique ; (c) elle est financée, pour l'essentiel, par des fonds publics ; (c) elle est financée majoritairement par l'État, les collectivités territoriales ou d'autres organismes de droit public, elle est soumise au contrôle de gestion de ces autorités ou organismes, ou elle est dotée d'un organe d'administration, de direction ou de surveillance dont plus de la moitié des membres sont désignés par l'État, les collectivités territoriales ou d'autres organismes de droit public ; d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de circulation transfrontalière des personnes, des biens, des services ou des capitaux. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) qui est exclue du champ d'application de la présente directive, les États membres devraient pouvoir exempter cette entité de certaines obligations prévues par la présente directive en ce qui concerne ces services. En outre, aucun État membre ne devrait être tenu de fournir des informations dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale, de sa sécurité publique ou de sa défense.
Les règles nationales ou de l'Union relatives à la protection des informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation tels que le protocole sur les feux de signalisation doivent être pris en compte dans ce contexte. Le protocole des feux tricolores doit être compris comme un moyen de fournir des informations sur les limitations éventuelles concernant la diffusion ultérieure des informations. Il est utilisé dans presque toutes les équipes de réponse aux incidents de sécurité informatique (CSIRT) et dans certains centres d'analyse et de partage de l'information.
(10) Bien que la présente directive s'applique aux entités exerçant des activités de production d'électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Dans ce cas, un État membre devrait pouvoir exercer sa responsabilité en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.
(11) Certaines entités exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention, la recherche, la détection et la poursuite d'infractions pénales, tout en fournissant des services fiduciaires. Service de confianceService de confiance Désigne un service électronique normalement fourni contre rémunération qui consiste en : a) la création, la vérification et la validation de signatures électroniques, de cachets électroniques ou d'horodatages électroniques, de services d'envoi recommandé électronique et de certificats liés à ces services, ou b) la création, la vérification et la validation de certificats pour l'authentification de sites web ; ou c) la conservation de signatures électroniques, de cachets ou de certificats liés à ces services. - Définition selon l'article 3, point (16), du règlement (UE) n° 910/2014. qui relèvent du champ d'application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil (6) devraient relever du champ d'application de la présente directive afin de garantir le même niveau d'exigences de sécurité et de surveillance que celui qui était précédemment prévu par ledit règlement en ce qui concerne les prestataires de services de confiance. Conformément à l'exclusion de certains services spécifiques du règlement (UE) n° 910/2014, la présente directive ne devrait pas s'appliquer à la fourniture de services de confiance qui sont utilisés exclusivement dans le cadre de systèmes fermés résultant du droit national ou d'accords entre un ensemble défini de participants.
(12) Les prestataires de services postaux tels que définis dans la directive 97/67/CE du Parlement européen et du Conseil, y compris les prestataires de services de courrier, devraient être soumis à la présente directive s'ils fournissent au moins une des étapes de la chaîne de distribution postale, notamment la levée, le tri, le transport ou la distribution des envois postaux, y compris les services de collecte, tout en tenant compte de leur degré de dépendance à l'égard des réseaux et des systèmes d'information. Les services de transport qui ne sont pas fournis en liaison avec l'une de ces étapes devraient être exclus du champ d'application des services postaux.
(13) Compte tenu de l'intensification et de la sophistication croissante des cybermenaces, les États membres devraient s'efforcer de veiller à ce que les entités exclues du champ d'application de la présente directive atteignent un niveau élevé de cybersécurité et de soutenir la mise en œuvre de mesures équivalentes de gestion du risque de cybersécurité qui tiennent compte de la nature sensible de ces entités.
(14) Le droit de l'Union en matière de protection des données et le droit de l'Union en matière de respect de la vie privée s'appliquent à tout traitement de données à caractère personnel en vertu de la présente directive. En particulier, la présente directive est sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil et de la directive 2002/58/CE du Parlement européen et du Conseil. La présente directive ne devrait donc pas affecter, entre autres, les tâches et les pouvoirs des autorités compétentes pour contrôler le respect du droit de l'Union applicable en matière de protection des données et du droit de l'Union en matière de protection de la vie privée.
(15) Les entités relevant du champ d'application de la présente directive aux fins du respect des mesures de gestion des risques de cybersécurité et des obligations de déclaration devraient être classées en deux catégories, à savoir les entités essentielles et les entités importantes, en fonction de leur criticité pour leur secteur ou le type de service qu'elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte de toute évaluation des risques sectoriels ou de toute orientation des autorités compétentes, le cas échéant. Les régimes de surveillance et d'exécution applicables à ces deux catégories d'entités devraient être différenciés afin d'assurer un juste équilibre entre, d'une part, les exigences et obligations fondées sur le risque et, d'autre part, la charge administrative découlant de la surveillance du respect de ces exigences et obligations.
(16) Afin d'éviter que les entités qui ont des entreprises partenaires ou qui sont des entreprises liées soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres peuvent tenir compte du degré d'indépendance dont jouit une entité par rapport à ses entreprises partenaires ou liées lorsqu'ils appliquent l'article 6, paragraphe 2, de l'annexe de la recommandation 2003/361/CE. En particulier, les États membres peuvent tenir compte du fait qu'une entité est indépendante de ses entreprises partenaires ou liées en ce qui concerne le réseau et les systèmes d'information qu'elle utilise pour la prestation de ses services et en ce qui concerne les services qu'elle fournit.
Sur cette base, les États membres peuvent, le cas échéant, considérer qu'une telle entité ne remplit pas les conditions requises pour être considérée comme une moyenne entreprise au sens de l'article 2 de l'annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds fixés pour une moyenne entreprise au paragraphe 1 de cet article, si, après avoir pris en compte le degré d'indépendance de cette entité, celle-ci n'aurait pas été considérée comme une moyenne entreprise ou comme dépassant ces plafonds si seules ses propres données avaient été prises en compte. Ceci n'affecte pas les obligations prévues par la présente directive pour les entreprises partenaires et liées qui relèvent du champ d'application de la présente directive.
(17) Les États membres devraient pouvoir décider que les entités identifiées avant l'entrée en vigueur de la présente directive comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.
(18) Afin d'avoir une vue d'ensemble claire des entités relevant du champ d'application de la présente directive, les États membres doivent établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d'enregistrement de noms de domaine. À cette fin, les États membres doivent exiger des entités qu'elles soumettent au moins les informations suivantes aux autorités compétentes, à savoir le nom, l'adresse et les coordonnées à jour, y compris les adresses électroniques, les plages IP et les numéros de téléphone de l'entité et, le cas échéant, le secteur et le sous-secteur concernés visés dans les annexes, ainsi que, le cas échéant, une liste des États membres dans lesquels elles fournissent des services entrant dans le champ d'application de la présente directive.
À cette fin, la Commission, avec l'aide de l'Agence de l'Union européenne pour la cybersécurité (ENISA), devrait, dans les meilleurs délais, fournir des lignes directrices et des modèles concernant l'obligation de fournir des informations. Pour faciliter l'établissement et la mise à jour de la liste des entités essentielles et importantes ainsi que des entités fournissant des services d'enregistrement de noms de domaine, les États membres devraient pouvoir mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes. Lorsque des registres existent au niveau national, les États membres peuvent décider des mécanismes appropriés permettant l'identification des entités relevant du champ d'application de la présente directive.
(19) Les États membres devraient être chargés de communiquer à la Commission au moins le nombre d'entités essentielles et importantes pour chaque secteur et sous-secteur visé dans les annexes, ainsi que des informations pertinentes sur le nombre d'entités identifiées et la disposition, parmi celles prévues par la présente directive, sur la base de laquelle elles ont été identifiées, ainsi que le type de service qu'elles fournissent. Les États membres sont encouragés à échanger avec la Commission des informations sur les entités essentielles et importantes et, dans le cas d'un sous-secteur, sur le nombre d'entités identifiées. incident de cybersécurité à grande échelleIncident de cybersécurité de grande ampleur Un incident qui provoque un niveau de perturbation dépassant la capacité de réaction d'un État membre ou qui a un impact significatif sur au moins deux États membres. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)Les informations sur l'identité de l'entité concernée doivent être fournies dans le formulaire de demande d'asile, qui contient des informations pertinentes telles que le nom de l'entité concernée.
(20) La Commission devrait, en coopération avec le groupe de coopération et après avoir consulté les parties prenantes concernées, fournir des lignes directrices sur la mise en œuvre des critères applicables aux microentreprises et aux petites entreprises pour déterminer si elles relèvent du champ d'application de la présente directive. La Commission devrait également veiller à ce que des orientations appropriées soient données aux microentreprises et aux petites entreprises relevant du champ d'application de la présente directive. La Commission devrait, avec l'aide des États membres, mettre des informations à la disposition des microentreprises et des petites entreprises à cet égard.
(21) La Commission pourrait fournir des orientations pour aider les États membres à mettre en œuvre les dispositions de la présente directive relatives au champ d'application et à évaluer la proportionnalité des mesures à prendre en vertu de la présente directive, notamment en ce qui concerne les entités ayant des modèles d'entreprise ou des environnements opérationnels complexes, dans lesquels une entité peut remplir simultanément les critères attribués aux entités essentielles et importantes ou peut mener simultanément des activités dont certaines entrent dans le champ d'application de la présente directive et d'autres en sont exclues.
(22) La présente directive définit les bases des mesures de gestion du risque de cybersécurité et des obligations de déclaration dans les secteurs qui relèvent de son champ d'application. Afin d'éviter la fragmentation des dispositions relatives à la cybersécurité dans les actes juridiques de l'Union, lorsque d'autres actes juridiques sectoriels de l'Union relatifs aux mesures de gestion du risque de cybersécurité et aux obligations de déclaration sont jugés nécessaires pour assurer un niveau élevé de cybersécurité dans l'ensemble de l'Union, la Commission devrait déterminer si ces dispositions supplémentaires pourraient être stipulées dans un acte d'exécution au titre de la présente directive.
Si un tel acte d'exécution ne convenait pas à cette fin, des actes juridiques de l'Union sectoriels pourraient contribuer à assurer un niveau élevé de cybersécurité dans l'ensemble de l'Union, tout en tenant pleinement compte des spécificités et des complexités des secteurs concernés. À cette fin, la présente directive n'exclut pas l'adoption d'autres actes juridiques de l'Union sectoriels portant sur des mesures de gestion des risques liés à la cybersécurité et des obligations d'information qui tiennent dûment compte de la nécessité d'un cadre de cybersécurité complet et cohérent. La présente directive est sans préjudice des compétences d'exécution existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l'énergie.
(23) Lorsqu'un acte juridique sectoriel de l'Union contient des dispositions exigeant des entités essentielles ou importantes qu'elles adoptent des mesures de gestion des risques de cybersécurité ou qu'elles notifient les incidents significatifs, et que ces exigences sont au moins équivalentes, dans leurs effets, aux obligations prévues par la présente directive, ces dispositions, y compris en matière de surveillance et d'exécution, devraient s'appliquer à ces entités. Si un acte juridique sectoriel de l'Union ne couvre pas toutes les entités d'un secteur spécifique relevant du champ d'application de la présente directive, les dispositions pertinentes de la présente directive devraient continuer à s'appliquer aux entités non couvertes par cet acte.
(24) Lorsque les dispositions d'un acte juridique sectoriel de l'Union imposent aux entités essentielles ou importantes de se conformer à des obligations de notification qui sont au moins équivalentes, dans leurs effets, aux obligations de notification prévues par la présente directive, il convient de veiller à la cohérence et à l'efficacité du traitement des notifications d'incidents. À cette fin, les dispositions relatives aux notifications d'incidents de l'acte juridique sectoriel de l'Union devraient permettre aux CSIRT, aux autorités compétentes ou aux points de contact uniques en matière de cybersécurité (points de contact uniques) au titre de la présente directive d'accéder immédiatement aux notifications d'incidents soumises conformément à l'acte juridique sectoriel de l'Union.
En particulier, cet accès immédiat peut être assuré si les notifications d'incidents sont transmises sans retard injustifié au CSIRT, à l'autorité compétente ou au point de contact unique en vertu de la présente directive. Le cas échéant, les États membres devraient mettre en place un mécanisme de notification automatique et directe qui assure un partage systématique et immédiat des informations avec les CSIRT, les autorités compétentes ou les points de contact uniques concernant le traitement de ces notifications d'incidents. Afin de simplifier la notification et de mettre en œuvre le mécanisme de notification automatique et directe, les États membres pourraient, conformément à l'acte juridique sectoriel de l'Union, utiliser un point d'entrée unique.
(25) Les actes juridiques sectoriels de l'Union qui prévoient des mesures de gestion des risques liés à la cybersécurité ou des obligations d'information au moins équivalentes à celles prévues par la présente directive pourraient prévoir que les autorités compétentes en vertu de ces actes exercent leurs pouvoirs de surveillance et d'exécution en ce qui concerne ces mesures ou obligations avec l'assistance des autorités compétentes en vertu de la présente directive.
Les autorités compétentes concernées pourraient établir des accords de coopération à cette fin. Ces accords de coopération pourraient préciser, entre autres, les procédures relatives à la coordination des activités de surveillance, y compris les procédures d'enquête et d'inspection sur place conformément au droit national, et un mécanisme d'échange d'informations pertinentes sur la surveillance et l'exécution entre les autorités compétentes, y compris l'accès aux informations relatives à la cybernétique demandées par les autorités compétentes au titre de la présente directive.
(26) Lorsque des actes juridiques sectoriels de l'Union exigent des entités qu'elles notifient les cybermenaces importantes ou les incitent à le faire, les États membres devraient également encourager le partage des cybermenaces importantes avec les CSIRT, les autorités compétentes ou les points de contact uniques au titre de la présente directive, afin que ces organismes aient une meilleure connaissance du paysage des cybermenaces et qu'ils puissent réagir efficacement et en temps utile si les cybermenaces importantes se concrétisent.
(27) Les futurs actes juridiques sectoriels de l'Union devraient tenir dûment compte des définitions et du cadre de surveillance et d'exécution prévus par la présente directive.
(28) Le règlement (UE) 2022/2554 du Parlement européen et du Conseil (10) devrait être considéré comme un acte juridique de l'Union sectoriel en rapport avec la présente directive en ce qui concerne les entités financières. Les dispositions du règlement (UE) 2022/2554 relatives à la gestion des risques liés aux technologies de l'information et de la communication (TIC), à la gestion des incidents liés aux TIC et, en particulier, à la notification des incidents majeurs liés aux TIC, ainsi qu'aux tests de résilience opérationnelle numérique, aux accords de partage d'informations et aux risques liés aux TIC pour les tiers devraient s'appliquer en lieu et place de celles prévues par la présente directive. Les États membres ne devraient donc pas appliquer les dispositions de la présente directive relatives aux obligations de gestion du risque de cybersécurité et de déclaration, ainsi qu'à la surveillance et à l'exécution, aux entités financières couvertes par le règlement (UE) n° 2022/2554. Dans le même temps, il est important de maintenir une relation forte et un échange d'informations avec le secteur financier au titre de la présente directive.
À cette fin, le règlement (UE) 2022/2554 autorise les autorités européennes de surveillance (AES) et les autorités compétentes en vertu de ce règlement à participer aux activités du groupe de coopération, à échanger des informations et à coopérer avec les points de contact uniques, ainsi qu'avec les CSIRT et les autorités compétentes en vertu de la présente directive. Les autorités compétentes en vertu du règlement (UE) n° 2022/2554 devraient également transmettre les détails des incidents majeurs liés aux TIC et, le cas échéant, des cybermenaces importantes aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la présente directive. Pour ce faire, il convient de fournir un accès immédiat aux notifications d'incidents et de les transmettre soit directement, soit par l'intermédiaire d'un point d'entrée unique. En outre, les États membres devraient continuer à inclure le secteur financier dans leurs stratégies de cybersécurité et les CSIRT peuvent couvrir le secteur financier dans leurs activités.
(29) Afin d'éviter les écarts entre les obligations en matière de cybersécurité imposées aux entités du secteur de l'aviation ou les doubles emplois, les autorités nationales au titre des règlements (CE) n° 300/2008 et (UE) 2018/1139 du Parlement européen et du Conseil et les autorités compétentes au titre de la présente directive devraient coopérer en ce qui concerne la mise en œuvre de mesures de gestion des risques de cybersécurité et la surveillance du respect de ces mesures au niveau national. La conformité d'une entité aux exigences de sécurité énoncées dans les règlements (CE) n° 300/2008 et (UE) 2018/1139 et dans les actes délégués et d'exécution pertinents adoptés en vertu de ces règlements pourrait être considérée par les autorités compétentes au titre de la présente directive comme constituant une conformité aux exigences correspondantes énoncées dans la présente directive.
(30) Compte tenu des liens entre la cybersécurité et la sécurité physique des entités, il convient d'assurer une approche cohérente entre la directive (UE) 2022/2557 du Parlement européen et du Conseil et la présente directive. À cette fin, les entités considérées comme des entités critiques au titre de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles au titre de la présente directive.
En outre, chaque État membre devrait veiller à ce que ses stratégie nationale de cybersécuritéStratégie nationale de cybersécurité désigne un cadre cohérent d'un État membre fournissant des objectifs stratégiques et des priorités dans le domaine de la cybersécurité ainsi que la gouvernance nécessaire pour les atteindre dans cet État membre. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) prévoit un cadre politique pour une coordination renforcée dans cet État membre entre ses autorités compétentes au titre de la présente directive et celles au titre de la directive (UE) 2022/2557 dans le contexte du partage d'informations sur les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non liés au cyberespace, et de l'exercice des missions de surveillance. Les autorités compétentes en vertu de la présente directive et celles en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard excessif, en particulier en ce qui concerne l'identification des entités critiques, des risques, des cybermenaces et des incidents, ainsi que des risques, menaces et incidents non liés au cyberespace qui affectent les entités critiques, y compris les mesures de cybersécurité et les mesures physiques prises par les entités critiques, ainsi que les résultats des activités de surveillance exercées à l'égard de ces entités.
En outre, afin de rationaliser les activités de surveillance entre les autorités compétentes au titre de la présente directive et celles au titre de la directive (UE) 2022/2557 et de réduire au minimum la charge administrative pour les entités concernées, ces autorités compétentes devraient s'efforcer d'harmoniser les modèles de notification d'incidents et les processus de surveillance. Le cas échéant, les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient pouvoir demander aux autorités compétentes en vertu de la présente directive d'exercer leurs pouvoirs de surveillance et d'exécution à l'égard d'une entité considérée comme une entité critique en vertu de la directive (UE) 2022/2557. Les autorités compétentes au titre de la présente directive et celles au titre de la directive (UE) 2022/2557 devraient, si possible en temps réel, coopérer et échanger des informations à cette fin.
(31) Les entités appartenant au secteur de l'infrastructure numérique reposent essentiellement sur des systèmes de réseau et d'information et, par conséquent, les obligations imposées à ces entités en vertu de la présente directive devraient porter de manière globale sur la sécurité physique de ces systèmes dans le cadre de leurs mesures de gestion des risques liés à la cybersécurité et de leurs obligations de déclaration. Étant donné que ces questions sont couvertes par la présente directive, les obligations prévues aux chapitres III, IV et VI de la directive (UE) 2022/2557 ne s'appliquent pas à ces entités.
(32) Le maintien et la préservation d'un système de noms de domaine (DNS) fiable, résilient et sûr sont des facteurs clés du maintien de l'intégrité de l'internet et sont essentiels à son fonctionnement continu et stable, dont dépendent l'économie et la société numériques. Par conséquent, la présente directive devrait s'appliquer aux registres de noms de domaines de premier niveau (TLD) et aux prestataires de services DNS, c'est-à-dire aux entités fournissant des services de résolution récursive de noms de domaines accessibles au public pour les utilisateurs finaux de l'internet ou des services de résolution de noms de domaines faisant autorité pour une utilisation par des tiers. La présente directive ne devrait pas s'appliquer aux serveurs de noms racine.
(33) Les services d'informatique en nuage doivent couvrir les services numériques qui permettent l'administration à la demande et un large accès à distance à un ensemble évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites. Les ressources informatiques comprennent des ressources telles que des réseaux, des serveurs ou d'autres infrastructures, des systèmes d'exploitation, des logiciels, du stockage, des applications et des services. Les modèles de service de l'informatique en nuage comprennent, entre autres, l'infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS), le logiciel en tant que service (SaaS) et le réseau en tant que service (NaaS).
Les modèles de déploiement de l'informatique en nuage devraient inclure les nuages privés, communautaires, publics et hybrides. Les service d'informatique en nuageService d'informatique en nuage désigne un service numérique qui permet l'administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) et les modèles de déploiement ont la même signification que les termes de service et les modèles de déploiement définis dans la norme ISO/IEC 17788:2014. standardStandard Une spécification technique, adoptée par un organisme de normalisation reconnu, pour une application répétée ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes :
(a) "norme internationale", une norme adoptée par un organisme international de normalisation ; b) "norme européenne", une norme adoptée par un organisme européen de normalisation ; c) "norme harmonisée", une norme européenne adoptée sur la base d'une demande d'application de la législation d'harmonisation de l'Union formulée par la Commission ; d) "norme nationale", une norme adoptée par un organisme national de normalisation - Définition selon l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil.. La capacité de l'utilisateur de l'informatique en nuage à fournir unilatéralement des capacités informatiques, telles que du temps de serveur ou du stockage en réseau, sans aucune interaction humaine de la part du fournisseur de services d'informatique en nuage peut être décrite comme une administration à la demande.
L'expression "large accès à distance" est utilisée pour décrire le fait que les capacités de l'informatique en nuage sont fournies sur le réseau et accessibles par des mécanismes favorisant l'utilisation de plates-formes clients hétérogènes fines ou épaisses, y compris les téléphones mobiles, les tablettes, les ordinateurs portables et les postes de travail. Le terme "évolutif" fait référence aux ressources informatiques qui sont allouées de manière flexible par le fournisseur de services en nuage, indépendamment de la localisation géographique des ressources, afin de gérer les fluctuations de la demande.
Le terme "pool élastique" est utilisé pour décrire les ressources informatiques qui sont fournies et libérées en fonction de la demande afin d'augmenter et de réduire rapidement les ressources disponibles en fonction de la charge de travail. Le terme "partageable" est utilisé pour décrire les ressources informatiques fournies à plusieurs utilisateurs qui partagent un accès commun au service, mais où le traitement est effectué séparément pour chaque utilisateur, bien que le service soit fourni à partir du même équipement électronique. Le terme "distribué" est utilisé pour décrire les ressources informatiques qui sont situées sur différents ordinateurs ou dispositifs en réseau et qui communiquent et se coordonnent entre elles par le passage de messages.
(34) Compte tenu de l'émergence de technologies innovantes et de nouveaux modèles commerciaux, de nouveaux modèles de services et de déploiement de l'informatique en nuage devraient apparaître sur le marché intérieur en réponse à l'évolution des besoins des clients. Dans ce contexte, les services d'informatique en nuage peuvent être fournis sous une forme hautement distribuée, encore plus près de l'endroit où les données sont générées ou collectées, passant ainsi du modèle traditionnel à un modèle hautement distribué (edge computing).
(35) Services offerts par service de centre de donnéesService de centre de données Un service qui englobe des structures, ou groupes de structures, dédiées à l'hébergement centralisé, à l'interconnexion et à l'exploitation d'équipements informatiques et de réseaux fournissant des services de stockage, de traitement et de transport de données, ainsi que tous les équipements et infrastructures de distribution d'énergie et de contrôle de l'environnement. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ne sont pas toujours fournis sous la forme d'un service d'informatique en nuage. En conséquence, les centres de données ne font pas toujours partie de l'infrastructure d'informatique en nuage. Afin de gérer tous les risques liés à la sécurité des réseaux et des systèmes d'information, la présente directive devrait donc couvrir les fournisseurs de services de centres de données qui ne sont pas des services d'informatique en nuage.
Aux fins de la présente directive, l'expression "service de centre de données" devrait couvrir la fourniture d'un service qui englobe des structures, ou groupes de structures, dédiées à l'hébergement, à l'interconnexion et à l'exploitation centralisés d'équipements de technologies de l'information (TI) et de réseaux fournissant des services de stockage, de traitement et de transport de données, ainsi que toutes les installations et infrastructures de distribution d'énergie et de contrôle de l'environnement. L'expression "service de centre de données" ne doit pas s'appliquer aux centres de données d'entreprise internes détenus et exploités par l'entité concernée pour ses propres besoins.
(36) Les activités de recherche jouent un rôle essentiel dans le développement de nouveaux produits et procédés. Nombre de ces activités sont menées par des entités qui partagent, diffusent ou exploitent les résultats de leurs recherches à des fins commerciales. Ces entités peuvent donc être des acteurs importants dans les chaînes de valeur, ce qui fait de la sécurité de leurs réseaux et systèmes d'information une partie intégrante de la cybersécurité globale du marché intérieur.
Par organismes de recherche, il faut entendre les entités qui consacrent l'essentiel de leurs activités à la conduite de travaux de recherche appliquée ou de développement expérimental, au sens du Manuel de Frascati 2015 de l'Organisation de coopération et de développement économiques : Lignes directrices pour la collecte et la communication de données sur la recherche et le développement expérimental de l'Organisation de coopération et de développement économiques, en vue d'exploiter leurs résultats à des fins commerciales, telles que la fabrication ou le développement d'un produit ou d'un procédé, la fourniture d'un service ou la commercialisation de celui-ci.
(37) Les interdépendances croissantes sont le résultat d'un réseau de plus en plus transfrontalier et interdépendant de fourniture de services utilisant des infrastructures clés dans l'ensemble de l'Union dans des secteurs tels que l'énergie, les transports, l'infrastructure numérique, l'eau potable et les eaux usées, la santé, certains aspects de l'administration publique, ainsi que l'espace en ce qui concerne la fourniture de certains services dépendant d'infrastructures terrestres détenues, gérées et exploitées soit par les États membres, soit par des parties privées, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par l'Union ou en son nom dans le cadre de son programme spatial.
Ces interdépendances signifient que toute perturbation, même si elle est initialement limitée à une entité ou à un secteur, peut avoir des effets en cascade plus larges, pouvant entraîner des conséquences négatives profondes et durables sur la fourniture de services dans l'ensemble du marché intérieur. L'intensification des cyberattaques pendant la pandémie COVID-19 a montré la vulnérabilité de sociétés de plus en plus interdépendantes face à des risques à faible probabilité.
(38) Compte tenu des différences entre les structures de gouvernance nationales et afin de préserver les dispositifs sectoriels ou les organes de surveillance et de réglementation de l'Union déjà existants, les États membres devraient pouvoir désigner ou établir une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de surveillance prévues par la présente directive.
(39) Afin de faciliter la coopération et la communication transfrontalières entre les autorités et de permettre une mise en œuvre efficace de la présente directive, il est nécessaire que chaque État membre désigne un point de contact unique chargé de coordonner les questions liées à la sécurité des réseaux et des systèmes d'information et à la coopération transfrontalière au niveau de l'Union.
(40) Les points de contact uniques doivent assurer une coopération transfrontalière efficace avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l'ENISA. Les points de contact uniques devraient donc être chargés de transmettre les notifications d'incidents importants ayant une incidence transfrontalière aux points de contact uniques des autres États membres concernés, à la demande du CSIRT ou de l'autorité compétente. Au niveau national, les points de contact uniques devraient permettre une coopération intersectorielle harmonieuse avec d'autres autorités compétentes. Les points de contact uniques pourraient également être les destinataires des informations pertinentes sur les incidents concernant des entités financières fournies par les autorités compétentes au titre du règlement (UE) n° 2022/2554, qu'ils devraient être en mesure de transmettre, le cas échéant, aux CSIRT ou aux autorités compétentes au titre de la présente directive.
(41) Les États membres devraient être convenablement équipés, en termes de capacités techniques et organisationnelles, pour prévenir, détecter et atténuer les incidents et les risques, ainsi que pour y répondre. Les États membres devraient donc créer ou désigner un ou plusieurs CSIRT en vertu de la présente directive et veiller à ce qu'ils disposent de ressources et de capacités techniques adéquates. Les CSIRT devraient se conformer aux exigences énoncées dans la présente directive afin de garantir des capacités efficaces et compatibles pour faire face aux incidents et aux risques et d'assurer une coopération efficace au niveau de l'Union.
Les États membres devraient pouvoir désigner les équipes d'intervention en cas d'urgence informatique (CERT) existantes comme CSIRT. Afin de renforcer la relation de confiance entre les entités et les CSIRT, lorsqu'un CSIRT fait partie d'une autorité compétente, les États membres devraient pouvoir envisager une séparation fonctionnelle entre les tâches opérationnelles assurées par les CSIRT, notamment en ce qui concerne le partage d'informations et l'assistance fournie aux entités, et les activités de surveillance des autorités compétentes.
(42) Les CSIRT sont chargés de traitement des incidentsTraitement des incidents Toute action et procédure visant à prévenir, détecter, analyser et contenir un incident, ou à y répondre et à s'en remettre. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2). Il s'agit notamment de traiter de grands volumes de données parfois sensibles. Les États membres devraient veiller à ce que les CSIRT disposent d'une infrastructure pour le partage et le traitement des informations, ainsi que d'un personnel bien équipé, qui garantisse la confidentialité et la fiabilité de leurs opérations. Les CSIRT pourraient également adopter des codes de conduite à cet égard.
(43) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de fournir, conformément au règlement (UE) 2016/679, à la demande d'une entité essentielle ou importante, un balayage proactif du réseau et des systèmes d'information utilisés pour la fourniture des services de l'entité. Le cas échéant, les États membres devraient s'efforcer de garantir un niveau égal de capacités techniques pour tous les CSIRT sectoriels. Les États membres devraient pouvoir demander l'assistance de l'ENISA pour développer leurs CSIRT.
(44) Les CSIRT devraient avoir la capacité, à la demande d'une entité essentielle ou importante, de surveiller les actifs de l'entité connectés à l'internet, tant dans ses locaux qu'à l'extérieur, afin d'identifier, de comprendre et de gérer les risques organisationnels globaux de l'entité en ce qui concerne les compromissions de la chaîne d'approvisionnement ou les vulnérabilités critiques nouvellement identifiées. L'entité doit être encouragée à indiquer au CSIRT si elle utilise une interface de gestion privilégiée, car cela pourrait influer sur la rapidité de mise en œuvre des mesures d'atténuation.
(45) Compte tenu de l'importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationale en plus du réseau des CSIRT établi par la présente directive. Par conséquent, aux fins de l'exécution de leurs missions, les CSIRT et les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les équipes nationales de réponse aux incidents de sécurité informatique ou les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l'Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l'article 49 du règlement (UE) 2016/679, soient remplies.
(46) Il est essentiel de garantir des ressources adéquates pour atteindre les objectifs de la présente directive et permettre aux autorités compétentes et aux CSIRT d'accomplir les tâches qui y sont définies. Les États membres peuvent mettre en place, au niveau national, un mécanisme de financement destiné à couvrir les dépenses nécessaires à l'exécution des tâches des entités publiques responsables de la cybersécurité dans l'État membre en vertu de la présente directive. Ce mécanisme devrait être conforme au droit de l'Union, proportionné et non discriminatoire, et tenir compte des différentes approches en matière de fourniture de services sécurisés.
(47) Le réseau des CSIRT devrait continuer à contribuer au renforcement de la confiance et à promouvoir une coopération opérationnelle rapide et efficace entre les États membres. Afin de renforcer la coopération opérationnelle au niveau de l'Union, le réseau des CSIRT devrait envisager d'inviter les organes et agences de l'Union participant à la politique de cybersécurité, tels qu'Europol, à participer à ses travaux.
(48) Afin d'atteindre et de maintenir un niveau élevé de cybersécurité, les stratégies nationales de cybersécurité requises en vertu de la présente directive devraient consister en des cadres cohérents définissant des objectifs stratégiques et des priorités dans le domaine de la cybersécurité, ainsi que la gouvernance permettant de les atteindre. Ces stratégies peuvent être composées d'un ou de plusieurs instruments législatifs ou non législatifs.
(49) Les politiques de cyberhygiène constituent les fondements de la protection réseau et système d'informationRéseau et système d'information (a) un réseau de communications électroniques tel que défini à l'article 2, point 1), de la directive (UE) 2018/1972 ; b) tout dispositif ou groupe de dispositifs interconnectés ou apparentés, dont un ou plusieurs effectuent, en application d'un programme, un traitement automatique de données numériques ; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) aux fins de leur fonctionnement, de leur utilisation, de leur protection et de leur maintenance ; -. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les infrastructures, le matériel, les logiciels et la sécurité des applications en ligne, ainsi que les données des entreprises ou des utilisateurs finaux sur lesquels les entités s'appuient. Les politiques de cyber-hygiène comprenant un ensemble de pratiques de base communes, y compris les mises à jour des logiciels et du matériel, les changements de mots de passe, la gestion des nouvelles installations, la limitation des comptes d'accès au niveau administrateur, et la sauvegarde des données, permettent un cadre proactif de préparation et de sécurité globale en cas d'incidents ou de cyber-menaces. L'ENISA devrait surveiller et analyser les politiques d'hygiène cybernétique des États membres.
(50) La sensibilisation à la cybersécurité et la cyberhygiène sont essentielles pour améliorer le niveau de cybersécurité dans l'Union, compte tenu notamment du nombre croissant de dispositifs connectés qui sont de plus en plus utilisés dans les cyberattaques. Des efforts devraient être déployés pour améliorer la sensibilisation générale aux risques liés à ces dispositifs, tandis que des évaluations au niveau de l'Union pourraient contribuer à garantir une compréhension commune de ces risques au sein du marché intérieur.
(51) Les États membres devraient encourager l'utilisation de toute technologie innovante, y compris l'intelligence artificielle, dont l'utilisation pourrait améliorer la détection et la prévention des cyberattaques, ce qui permettrait de réorienter plus efficacement les ressources vers les cyberattaques. Les États membres devraient donc encourager, dans le cadre de leur stratégie nationale de cybersécurité, les activités de recherche et de développement visant à faciliter l'utilisation de ces technologies, en particulier celles relatives aux outils automatisés ou semi-automatisés en matière de cybersécurité, et, le cas échéant, le partage des données nécessaires à la formation des utilisateurs de ces technologies et à l'amélioration de celles-ci.
L'utilisation de toute technologie innovante, y compris l'intelligence artificielle, devrait être conforme au droit de l'Union en matière de protection des données, y compris les principes de protection des données que sont l'exactitude, la minimisation, la loyauté et la transparence des données, ainsi que la sécurité des données, comme le chiffrement à la pointe de la technologie. Les exigences de la protection des données dès la conception et par défaut énoncées dans le règlement (UE) 2016/679 devraient être pleinement exploitées.
(52) Les outils et applications de cybersécurité à code source ouvert peuvent contribuer à un degré d'ouverture plus élevé et avoir un impact positif sur l'efficacité de l'innovation industrielle. Les normes ouvertes facilitent l'interopérabilité entre les outils de sécurité, au bénéfice de la sécurité des acteurs industriels. Les outils et applications de cybersécurité à code source ouvert peuvent tirer parti d'une communauté de développeurs plus large, ce qui permet de diversifier les fournisseurs. Les logiciels libres peuvent conduire à un processus de vérification plus transparent des outils liés à la cybersécurité et à un processus de découverte des vulnérabilités piloté par la communauté.
Les États membres devraient donc être en mesure de promouvoir l'utilisation de logiciels libres et de normes ouvertes en menant des politiques relatives à l'utilisation de données ouvertes et de logiciels libres dans le cadre de la sécurité par la transparence. Les politiques favorisant l'introduction et l'utilisation durable d'outils de cybersécurité à code source ouvert revêtent une importance particulière pour les petites et moyennes entreprises confrontées à des coûts de mise en œuvre importants, qui pourraient être minimisés en réduisant le besoin d'applications ou d'outils spécifiques.
(53) Les services publics sont de plus en plus connectés aux réseaux numériques dans les villes, afin d'améliorer les réseaux de transport urbain, de moderniser les installations d'approvisionnement en eau et d'élimination des déchets et d'accroître l'efficacité de l'éclairage et du chauffage des bâtiments. Ces services publics numérisés sont vulnérables aux cyberattaques et risquent, en cas de cyberattaque réussie, de nuire aux citoyens à grande échelle en raison de leur interconnexion. Les États membres devraient élaborer une politique concernant le développement de ces villes connectées ou intelligentes et leurs effets potentiels sur la société, dans le cadre de leur stratégie nationale de cybersécurité.
(54) Ces dernières années, l'Union a été confrontée à une augmentation exponentielle des attaques par ransomware, dans lesquelles des logiciels malveillants cryptent des données et des systèmes et exigent le paiement d'une rançon pour les libérer. La fréquence et la gravité croissantes des attaques par ransomware peuvent être dues à plusieurs facteurs, tels que les différents schémas d'attaque, les modèles commerciaux criminels autour du "ransomware en tant que service" et des crypto-monnaies, les demandes de rançon et l'augmentation des attaques de la chaîne d'approvisionnement. Les États membres devraient élaborer une politique relative à l'augmentation des attaques par ransomware dans le cadre de leur stratégie nationale de cybersécurité.
(55) Les partenariats public-privé (PPP) dans le domaine de la cybersécurité peuvent constituer un cadre approprié pour l'échange de connaissances, le partage des meilleures pratiques et l'établissement d'un niveau de compréhension commun entre les parties prenantes. Les États membres devraient promouvoir des politiques favorisant la mise en place de PPP spécifiques à la cybersécurité.
Ces politiques devraient préciser, entre autres, le champ d'application et les parties prenantes concernées, le modèle de gouvernance, les options de financement disponibles et l'interaction entre les parties prenantes participantes en ce qui concerne les PPP. Les PPP peuvent tirer parti de l'expertise des entités du secteur privé pour aider les autorités compétentes à mettre en place des services et des processus de pointe, notamment en matière d'échange d'informations, d'alerte précoce, d'exercices de lutte contre les cybermenaces et les incidents, de gestion de crise et de planification de la résilience.
(56) Les États membres devraient, dans leurs stratégies nationales de cybersécurité, répondre aux besoins spécifiques des petites et moyennes entreprises en matière de cybersécurité. Les petites et moyennes entreprises représentent, dans l'ensemble de l'Union, un pourcentage important du marché industriel et commercial et ont souvent du mal à s'adapter aux nouvelles pratiques commerciales dans un monde plus connecté et à l'environnement numérique, où les employés travaillent à domicile et où les affaires sont de plus en plus menées en ligne.
Certaines petites et moyennes entreprises sont confrontées à des défis spécifiques en matière de cybersécurité, tels qu'une faible sensibilisation à l'informatique, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité et un niveau de menace accru, comme les ransomwares, pour lesquels elles devraient recevoir des conseils et une assistance. Les petites et moyennes entreprises sont de plus en plus souvent la cible d'attaques contre la chaîne d'approvisionnement en raison de leurs mesures moins rigoureuses de gestion des risques de cybersécurité et de gestion des attaques, et du fait qu'elles disposent de ressources limitées en matière de sécurité.
Ces attaques contre la chaîne d'approvisionnement n'ont pas seulement un impact sur les petites et moyennes entreprises et leurs opérations isolées, mais peuvent également avoir un effet en cascade sur des attaques plus importantes contre des entités auxquelles elles ont fourni des fournitures. Les États membres devraient, par le biais de leurs stratégies nationales de cybersécurité, aider les petites et moyennes entreprises à relever les défis auxquels elles sont confrontées dans leurs chaînes d'approvisionnement.
Les États membres devraient disposer d'un point de contact pour les petites et moyennes entreprises au niveau national ou régional, qui fournisse des conseils et une assistance aux petites et moyennes entreprises ou les oriente vers les organismes appropriés pour obtenir des conseils et une assistance en ce qui concerne les questions liées à la cybersécurité. Les États membres sont également encouragés à offrir des services tels que la configuration de sites web et la journalisation aux microentreprises et aux petites entreprises qui ne disposent pas de ces capacités.
(57) Dans le cadre de leurs stratégies nationales de cybersécurité, les États membres devraient adopter des politiques visant à promouvoir la cyberprotection active dans le cadre d'une stratégie défensive plus large. Plutôt que de réagir de manière réactive, la cyberprotection active consiste à prévenir, détecter, surveiller, analyser et atténuer les atteintes à la sécurité des réseaux de manière active, en recourant à des moyens déployés à l'intérieur et à l'extérieur du réseau de la victime.
Les États membres pourraient ainsi proposer des services ou des outils gratuits à certaines entités, notamment des contrôles en libre-service, des outils de détection et des services de démantèlement. La capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes sur les cyberactivités et les mesures de réaction est essentielle pour permettre une unité d'effort dans la prévention, la détection, le traitement et le blocage des attaques contre les réseaux et les systèmes d'information. La cyberprotection active repose sur une stratégie défensive qui exclut les mesures offensives.
(58) L'exploitation des vulnérabilités des réseaux et des systèmes d'information pouvant entraîner des perturbations et des dommages importants, l'identification et la correction rapides de ces vulnérabilités constituent un facteur important de réduction des risques. Les entités qui développent ou administrent des réseaux et des systèmes d'information devraient donc établir des procédures appropriées pour traiter les vulnérabilités lorsqu'elles sont découvertes. Étant donné que les vulnérabilités sont souvent découvertes et divulguées par des tiers, le fabricant ou le fournisseur de produits ou de services TIC devrait également mettre en place les procédures nécessaires pour recevoir des informations sur les vulnérabilités de la part de tiers.
À cet égard, les normes internationales ISO/IEC 30111 et ISO/IEC 29147 fournissent des orientations sur le traitement et la divulgation des vulnérabilités. Le renforcement de la coordination entre les personnes physiques et morales déclarantes et les fabricants ou fournisseurs de produits ou de services TIC est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités.
La divulgation coordonnée des vulnérabilités spécifie un processus structuré par lequel les vulnérabilités sont signalées au fabricant ou au fournisseur des produits ou services TIC potentiellement vulnérables d'une manière qui lui permette de diagnostiquer la vulnérabilité et d'y remédier avant que des informations détaillées sur la vulnérabilité ne soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également inclure une coordination entre la personne physique ou morale qui signale les vulnérabilités et le fabricant ou le fournisseur des produits ou services TIC potentiellement vulnérables en ce qui concerne le calendrier de remédiation et de publication des vulnérabilités.
(59) La Commission, l'ENISA et les États membres doivent continuer à favoriser l'alignement sur les normes internationales et les meilleures pratiques du secteur dans le domaine de la gestion des risques de cybersécurité, par exemple dans les domaines de l'évaluation de la sécurité de la chaîne d'approvisionnement, du partage de l'information et de la divulgation des vulnérabilités.
(60) Les États membres, en coopération avec l'ENISA, devraient prendre des mesures pour faciliter la divulgation coordonnée des vulnérabilités en établissant une politique nationale pertinente. Dans le cadre de leur politique nationale, les États membres devraient s'efforcer de relever, dans la mesure du possible, les défis auxquels sont confrontés les chercheurs de vulnérabilités, y compris leur exposition potentielle à la responsabilité pénale, conformément au droit national. Étant donné que les personnes physiques et morales qui recherchent des vulnérabilités pourraient, dans certains États membres, être exposées à une responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant la non-poursuite des chercheurs en sécurité de l'information et l'exonération de la responsabilité civile pour leurs activités.
(61) Les États membres devraient désigner l'un de leurs CSIRT comme coordinateur, agissant en tant qu'intermédiaire de confiance entre les personnes physiques ou morales déclarantes et les fabricants ou fournisseurs de produits ou de services TIC susceptibles d'être affectés par la vulnérabilité, le cas échéant.
Les tâches du CSIRT désigné comme coordinateur devraient comprendre l'identification et la prise de contact avec les entités concernées, l'assistance aux personnes physiques ou morales qui signalent une vulnérabilité, la négociation des délais de divulgation et la gestion des vulnérabilités qui affectent plusieurs entités (divulgation coordonnée et multipartite des vulnérabilités). Lorsque la vulnérabilité signalée peut avoir un impact significatif sur des entités situées dans plusieurs États membres, les CSIRT désignés comme coordinateurs devraient coopérer au sein du réseau des CSIRT, le cas échéant.
(62) L'accès à des informations correctes et opportunes sur les vulnérabilités affectant les produits et services TIC contribue à améliorer la gestion des risques liés à la cybersécurité. Les sources d'informations publiques sur les vulnérabilités sont un outil important pour les entités et les utilisateurs de leurs services, mais aussi pour les autorités compétentes et les CSIRT. Pour cette raison, l'ENISA devrait établir une base de données européenne des vulnérabilités où les entités, qu'elles relèvent ou non du champ d'application de la présente directive, et leurs fournisseurs de réseaux et de systèmes d'information, ainsi que les autorités compétentes et les CSIRT, peuvent divulguer et enregistrer, sur une base volontaire, les vulnérabilités connues du public afin de permettre aux utilisateurs de prendre les mesures d'atténuation qui s'imposent.
L'objectif de cette base de données est de répondre aux défis uniques posés par les risques pour les entités de l'Union. En outre, l'ENISA devrait établir une procédure appropriée concernant le processus de publication afin de donner aux entités le temps de prendre des mesures d'atténuation en ce qui concerne leurs vulnérabilités et d'utiliser des mesures de gestion des risques de cybersécurité de pointe ainsi que des ensembles de données lisibles par machine et des interfaces correspondantes. Pour encourager une culture de divulgation des vulnérabilités, la divulgation ne doit pas avoir d'effets préjudiciables sur la personne physique ou morale qui fait la déclaration.
(63) Bien qu'il existe des registres ou des bases de données similaires sur les vulnérabilités, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l'Union. Une base de données européenne sur les vulnérabilités gérée par l'ENISA permettrait d'améliorer la transparence du processus de publication avant que la vulnérabilité ne soit divulguée publiquement, ainsi que la résilience en cas de perturbation ou d'interruption de la fourniture de services similaires.
Afin d'éviter, dans la mesure du possible, la duplication des efforts et de rechercher la complémentarité, l'ENISA devrait explorer la possibilité de conclure des accords de coopération structurés avec des registres ou des bases de données similaires qui relèvent de la juridiction de pays tiers. En particulier, l'ENISA devrait explorer la possibilité d'une coopération étroite avec les opérateurs du système CVE (Common Vulnerabilities and Exposures).
(64) Le groupe de coopération devrait soutenir et faciliter la coopération stratégique et l'échange d'informations, ainsi que renforcer la confiance entre les États membres. Le groupe de coopération devrait établir un programme de travail tous les deux ans. Ce programme de travail devrait comprendre les actions à entreprendre par le groupe de coopération pour mettre en œuvre ses objectifs et ses tâches. Le calendrier de l'établissement du premier programme de travail au titre de la présente directive devrait être aligné sur celui du dernier programme de travail établi au titre de la directive (UE) 2016/1148 afin d'éviter d'éventuelles perturbations dans les travaux du groupe de coopération.
(65) Lors de l'élaboration des documents d'orientation, le groupe de coopération devrait systématiquement recenser les solutions et les expériences nationales, évaluer l'incidence des résultats obtenus par le groupe de coopération sur les approches nationales, examiner les problèmes de mise en œuvre et formuler des recommandations spécifiques, notamment en ce qui concerne la facilitation de l'alignement de la transposition de la présente directive entre les États membres, qui doit passer par une meilleure mise en œuvre des règles existantes. Le groupe de coopération pourrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique dans l'ensemble de l'Union. Cela est particulièrement important pour les secteurs qui ont un caractère international ou transfrontalier.
(66) Le groupe de coopération doit rester un forum flexible et être en mesure de réagir à l'évolution des priorités et des défis politiques, tout en tenant compte de la disponibilité des ressources. Il pourrait organiser régulièrement des réunions conjointes avec les acteurs privés concernés de l'ensemble de l'Union afin de discuter des activités menées par le groupe de coopération et de recueillir des données et des contributions sur les nouveaux défis politiques. En outre, le groupe de coopération devrait procéder à une évaluation régulière de l'état d'avancement des cybermenaces ou des incidents, tels que les ransomwares.
Afin de renforcer la coopération au niveau de l'Union, le groupe de coopération devrait envisager d'inviter les institutions, organes, bureaux et agences de l'Union concernés par la politique de cybersécurité, tels que le Parlement européen, Europol, le Comité européen de protection des données, l'Agence de la sécurité aérienne de l'Union européenne, instituée par le règlement (UE) 2018/1139, et l'Agence de l'Union européenne pour le programme spatial, instituée par le règlement (UE) 2021/696 du Parlement européen et du Conseil (14), à participer à ses travaux.
(67) Les autorités compétentes et les CSIRT devraient pouvoir participer à des programmes d'échange de fonctionnaires d'autres États membres, dans un cadre spécifique et, le cas échéant, sous réserve de l'habilitation de sécurité requise des fonctionnaires participant à ces programmes d'échange, afin d'améliorer la coopération et de renforcer la confiance entre les États membres. Les autorités compétentes devraient prendre les mesures nécessaires pour permettre aux agents d'autres États membres de jouer un rôle efficace dans les activités de l'autorité compétente hôte ou du CSIRT hôte.
(68) Les États membres devraient contribuer à la mise en place du cadre de réaction aux crises de cybersécurité de l'Union, tel qu'il est défini dans la recommandation (UE) 2017/1584 de la Commission (15), par l'intermédiaire des réseaux de coopération existants, en particulier le réseau européen d'organisations de liaison en cas de cybercrise (EU-CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de dispositions procédurales qui précisent les détails de cette coopération et évitent toute duplication des tâches.
Le règlement intérieur d'EU-CyCLONe devrait préciser les modalités de fonctionnement de ce réseau, y compris ses rôles, ses moyens de coopération, ses interactions avec d'autres acteurs concernés et ses modèles de partage d'informations, ainsi que ses moyens de communication. Pour la gestion des crises au niveau de l'Union, les parties concernées devraient s'appuyer sur les dispositifs de réaction politique intégrée aux crises de l'UE prévus par la décision d'exécution (UE) 2018/1993 du Conseil (16) (dispositifs IPCR). La Commission devrait utiliser à cette fin le processus ARGUS de coordination intersectorielle de haut niveau en cas de crise. Si la crise comporte une dimension extérieure importante ou une dimension liée à la politique de sécurité et de défense commune, le mécanisme de réaction aux crises du Service européen pour l'action extérieure devrait être activé.
(69) Conformément à l'annexe de la recommandation (UE) 2017/1584, il convient d'entendre par incident de cybersécurité à grande échelle un incident qui provoque un niveau de perturbation dépassant la capacité de réaction d'un État membre ou qui a une incidence significative sur au moins deux États membres. En fonction de leur cause et de leur impact, les incidents de cybersécurité de grande ampleur peuvent s'aggraver et se transformer en véritables crises ne permettant pas le bon fonctionnement du marché intérieur ou posant de graves risques de sécurité publique et de sûreté pour des entités ou des citoyens dans plusieurs États membres ou dans l'ensemble de l'Union.
Compte tenu de la portée étendue et, dans la plupart des cas, de la nature transfrontalière de ces incidents, les États membres et les institutions, organes et organismes compétents de l'Union devraient coopérer aux niveaux technique, opérationnel et politique afin de coordonner correctement la réponse dans l'ensemble de l'Union.
(70) Les incidents et crises de cybersécurité de grande ampleur au niveau de l'Union nécessitent une action coordonnée pour garantir une réaction rapide et efficace en raison du degré élevé d'interdépendance entre les secteurs et les États membres. La disponibilité de réseaux et de systèmes d'information cyberrésistants et la disponibilité, la confidentialité et l'intégrité des données sont essentielles pour la sécurité de l'Union et pour la protection de ses citoyens, entreprises et institutions contre les incidents et les cybermenaces, ainsi que pour renforcer la confiance des particuliers et des organisations dans la capacité de l'Union à promouvoir et à protéger un cyberespace mondial, ouvert, libre, stable et sûr, fondé sur les droits de l'homme, les libertés fondamentales, la démocratie et l'État de droit.
(71) L'EU-CyCLONe devrait servir d'intermédiaire entre le niveau technique et le niveau politique lors d'incidents et de crises de cybersécurité de grande ampleur et devrait renforcer la coopération au niveau opérationnel et soutenir la prise de décision au niveau politique. En coopération avec la Commission et compte tenu des compétences de cette dernière dans le domaine de la gestion des crises, l'EU-CyCLONe devrait s'appuyer sur les conclusions du réseau des CSIRT et utiliser ses propres capacités pour réaliser une analyse d'impact des incidents et des crises de cybersécurité de grande ampleur.
(72) Les cyberattaques sont de nature transfrontalière et un incident important peut perturber et endommager les infrastructures d'information critiques dont dépend le bon fonctionnement du marché intérieur. La recommandation (UE) 2017/1584 traite du rôle de tous les acteurs concernés. En outre, la Commission est responsable, dans le cadre du mécanisme de protection civile de l'Union, établi par la décision n° 1313/2013/UE du Parlement européen et du Conseil, des actions générales de préparation, y compris la gestion du centre de coordination des interventions d'urgence et du système commun de communication et d'information d'urgence, le maintien et le développement de la capacité de connaissance et d'analyse de la situation, ainsi que la mise en place et la gestion de la capacité de mobiliser et d'envoyer des équipes d'experts en cas de demande d'assistance émanant d'un État membre ou d'un pays tiers.
La Commission est également chargée de fournir des rapports analytiques pour les arrangements IPCR au titre de la décision d'exécution (UE) 2018/1993, notamment en ce qui concerne la connaissance de la situation et la préparation en matière de cybersécurité, ainsi que la connaissance de la situation et la réponse aux crises dans les domaines de l'agriculture, des conditions météorologiques défavorables, de la cartographie et des prévisions des conflits, des systèmes d'alerte précoce pour les catastrophes naturelles, des urgences sanitaires, de la surveillance des maladies infectieuses, de la santé des végétaux, des incidents chimiques, de la sécurité des denrées alimentaires et des aliments pour animaux, de la santé animale, des migrations, des douanes, des urgences nucléaires et radiologiques, et de l'énergie.
(73) L'Union peut, le cas échéant, conclure des accords internationaux, conformément à l'article 218 du TFUE, avec des pays tiers ou des organisations internationales, permettant et organisant leur participation à des activités particulières du groupe de coopération, du réseau des CSIRT et de l'EU-CyCLONe. Ces accords devraient garantir les intérêts de l'Union et la protection adéquate des données. Cela ne devrait pas empêcher les États membres de coopérer avec les pays tiers en matière de gestion des vulnérabilités et de gestion des risques de cybersécurité, en facilitant l'établissement de rapports et le partage général d'informations conformément au droit de l'Union.
(74) Afin de faciliter la mise en œuvre effective de la présente directive en ce qui concerne, entre autres, la gestion des vulnérabilités, les mesures de gestion des risques liés à la cybersécurité, les obligations de déclaration et les dispositifs d'échange d'informations sur la cybersécurité, les États membres peuvent coopérer avec des pays tiers et entreprendre des activités jugées appropriées à cette fin, y compris l'échange d'informations sur les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et les procédures, la préparation et les exercices de gestion des crises liées à la cybersécurité, la formation, l'instauration d'un climat de confiance et les dispositifs structurés d'échange d'informations.
(75) Des évaluations par les pairs devraient être introduites pour aider à tirer des enseignements des expériences partagées, à renforcer la confiance mutuelle et à atteindre un niveau commun élevé de cybersécurité. Les évaluations par les pairs peuvent déboucher sur des idées et des recommandations précieuses renforçant les capacités globales de cybersécurité, créant une autre voie fonctionnelle pour le partage des meilleures pratiques entre les États membres et contribuant à améliorer les niveaux de maturité des États membres en matière de cybersécurité. En outre, les évaluations par les pairs devraient tenir compte des résultats de mécanismes similaires, tels que le système d'évaluation par les pairs du réseau des CSIRT, et devraient apporter une valeur ajoutée et éviter les doubles emplois. La mise en œuvre des évaluations par les pairs ne devrait pas porter atteinte au droit de l'Union ou au droit national en matière de protection des informations confidentielles ou classifiées.
(76) Le groupe de coopération devrait établir une méthode d'auto-évaluation pour les États membres, visant à couvrir des facteurs tels que le niveau de mise en œuvre des mesures de gestion des risques de cybersécurité et des obligations de déclaration, le niveau des capacités et l'efficacité de l'exercice des tâches des autorités compétentes, les capacités opérationnelles des CSIRT, le niveau de mise en œuvre de l'assistance mutuelle, le niveau de mise en œuvre des accords de partage d'informations en matière de cybersécurité, ou des questions spécifiques de nature transfrontalière ou transsectorielle. Les États membres devraient être encouragés à procéder régulièrement à des auto-évaluations et à présenter et examiner les résultats de leur auto-évaluation au sein du groupe de coopération.
(77) La responsabilité d'assurer la sécurité des réseaux et des systèmes d'information incombe, dans une large mesure, aux entités essentielles et importantes. Il convient de promouvoir et de développer une culture de la gestion des risques, impliquant des évaluations des risques et la mise en œuvre de mesures de gestion des risques de cybersécurité adaptées aux risques encourus.
(78) Les mesures de gestion du risque de cybersécurité devraient tenir compte du degré de dépendance de l'entité essentielle ou importante à l'égard des réseaux et des systèmes d'information et comprendre des mesures visant à identifier tout risque d'incident, à prévenir et à détecter les incidents, à y réagir et à s'en remettre, ainsi qu'à en atténuer l'impact. La sécurité des réseaux et des systèmes d'information devrait inclure la sécurité des données stockées, transmises et traitées. Les mesures de gestion des risques liés à la cybersécurité devraient prévoir une analyse systémique, tenant compte du facteur humain, afin d'obtenir une image complète de la sécurité du réseau et du système d'information.
(79) Les menaces pour la sécurité des réseaux et des systèmes d'information pouvant avoir différentes origines, les mesures de gestion des risques liés à la cybersécurité devraient être fondées sur une approche tous risques, qui vise à protéger les réseaux et les systèmes d'information, ainsi que l'environnement physique de ces systèmes, contre des événements tels que le vol, l'incendie, l'inondation, les pannes de télécommunication ou d'électricité, ou l'accès physique non autorisé aux installations d'information et de traitement de l'information d'une entité essentielle ou importante, les dommages causés à ces installations et les interférences avec celles-ci, qui pourraient compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées, ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire.
Les mesures de gestion du risque de cybersécurité devraient donc également porter sur la sécurité physique et environnementale des réseaux et des systèmes d'information, en incluant des mesures visant à protéger ces systèmes contre les défaillances, les erreurs humaines, les actes de malveillance ou les phénomènes naturels, conformément aux normes européennes et internationales, telles que celles figurant dans la série ISO/IEC 27000. À cet égard, les entités essentielles et importantes devraient, dans le cadre de leurs mesures de gestion des risques liés à la cybersécurité, s'occuper également de la sécurité des ressources humaines et mettre en place des politiques appropriées de contrôle d'accès. Ces mesures devraient être conformes à la directive (UE) 2022/2557.
(80) Afin de démontrer le respect des mesures de gestion des risques de cybersécurité et en l'absence de systèmes européens appropriés de certification en matière de cybersécurité adoptés conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil (18), les États membres devraient, en consultation avec le groupe de coopération et le groupe européen de certification en matière de cybersécurité, promouvoir l'utilisation des normes européennes et internationales pertinentes par les entités essentielles et importantes ou peuvent exiger des entités qu'elles utilisent des produits TIC, des services TIC et des processus TIC certifiés.
(81) Afin d'éviter d'imposer une charge financière et administrative disproportionnée aux entités essentielles et importantes, les mesures de gestion des risques liés à la cybersécurité devraient être proportionnées aux risques encourus par le réseau et le système d'information concernés, en tenant compte de l'état d'avancement de ces mesures et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de leur mise en œuvre.
(82) Les mesures de gestion du risque de cybersécurité devraient être proportionnées au degré d'exposition de l'entité essentielle ou importante aux risques et à l'impact sociétal et économique qu'aurait un incident. Lors de l'établissement de mesures de gestion du risque de cybersécurité adaptées aux entités essentielles et importantes, il convient de tenir dûment compte de l'exposition divergente aux risques des entités essentielles et importantes, telle que la criticité de l'entité, les risques, y compris les risques sociétaux, auxquels elle est exposée, la taille de l'entité et la probabilité d'occurrence d'incidents et leur gravité, y compris leur impact sociétal et économique.
(83) Les entités essentielles et importantes devraient assurer la sécurité du réseau et des systèmes d'information qu'elles utilisent dans le cadre de leurs activités. Ces systèmes sont principalement des réseaux et des systèmes d'information privés gérés par le personnel informatique interne des entités essentielles et importantes ou dont la sécurité a été externalisée. Les mesures de gestion du risque de cybersécurité et les obligations de déclaration prévues par la présente directive devraient s'appliquer aux entités essentielles et importantes concernées, que ces entités assurent la maintenance de leur réseau et de leurs systèmes d'information en interne ou qu'elles l'externalisent.
(84) Compte tenu de leur nature transfrontalière, les prestataires de services DNS, les registres de noms TLD, les prestataires de services d'informatique en nuage, les prestataires de services de centres de données, réseau de diffusion de contenuRéseau de diffusion de contenu désigne un réseau de serveurs répartis géographiquement dans le but d'assurer la haute disponibilité, l'accessibilité ou la fourniture rapide de contenus et de services numériques aux utilisateurs de l'internet pour le compte de fournisseurs de contenus et de services. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les prestataires de services gérés, les prestataires de services de sécurité gérés, les prestataires de marchés en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, ainsi que les prestataires de services de confiance devraient faire l'objet d'un degré élevé d'harmonisation au niveau de l'Union. La mise en œuvre de mesures de gestion des risques de cybersécurité concernant ces entités devrait donc être facilitée par un acte d'exécution.
(85) Il est particulièrement important de traiter les risques découlant de la chaîne d'approvisionnement d'une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés et les éditeurs de logiciels, compte tenu de la fréquence des incidents au cours desquels des entités ont été victimes de cyberattaques et où des auteurs malveillants ont pu compromettre la sécurité du réseau et des systèmes d'information d'une entité en exploitant des vulnérabilités affectant des produits et des services de tiers.
Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et services, les mesures de gestion du risque de cybersécurité qui y sont intégrées, ainsi que les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris leurs procédures de développement sécurisé. Les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion du risque de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs directs et leurs prestataires de services. Ces entités pourraient prendre en compte les risques provenant d'autres niveaux de fournisseurs et de prestataires de services.
(86) Parmi les prestataires de services, les prestataires de services de sécurité gérés dans des domaines tels que la réponse aux incidents, les tests de pénétration, les audits de sécurité et le conseil jouent un rôle particulièrement important en aidant les entités dans leurs efforts de prévention, de détection, de réponse ou de rétablissement à la suite d'incidents. Toutefois, les prestataires de services de sécurité gérés ont également été la cible de cyberattaques et, en raison de leur intégration étroite dans les opérations des entités, ils présentent un risque particulier. Les entités essentielles et importantes devraient donc faire preuve d'une diligence accrue lors de la sélection d'un fournisseur de services de sécurité gérés. fournisseur de services de sécurité gérésFournisseur de services de sécurité gérés désigne un prestataire de services gérés qui réalise des activités liées à la gestion du risque de cybersécurité ou qui fournit une assistance à cet égard. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2).
(87) Les autorités compétentes, dans le cadre de leurs missions de surveillance, peuvent également bénéficier de services de cybersécurité tels que des audits de sécurité, des tests de pénétration ou des réponses aux incidents.
(88) Les entités essentielles et importantes devraient également se préoccuper des risques découlant de leurs interactions et de leurs relations avec d'autres parties prenantes au sein d'un écosystème plus large, notamment en ce qui concerne la lutte contre l'espionnage industriel et la protection des secrets commerciaux.
En particulier, ces entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les établissements universitaires et de recherche soit conforme à leurs politiques en matière de cybersécurité et suive les bonnes pratiques en ce qui concerne l'accès sécurisé et la diffusion de l'information en général et la protection de la propriété intellectuelle en particulier. De même, compte tenu de l'importance et de la valeur des données pour les activités des entités essentielles et importantes, ces entités devraient prendre toutes les mesures appropriées de gestion des risques de cybersécurité lorsqu'elles font appel à des services de transformation et d'analyse des données fournis par des tiers.
(89) Les entités essentielles et importantes devraient adopter un large éventail de pratiques de base en matière de cyberhygiène, telles que les principes de confiance zéro, les mises à jour de logiciels, la configuration des appareils, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, organiser des formations pour leur personnel et le sensibiliser aux cybermenaces et aux techniques d'hameçonnage ou d'ingénierie sociale. En outre, ces entités devraient évaluer leurs propres capacités en matière de cybersécurité et, le cas échéant, poursuivre l'intégration de technologies améliorant la cybersécurité, telles que l'intelligence artificielle ou les systèmes d'apprentissage automatique, afin de renforcer leurs capacités et la sécurité des réseaux et des systèmes d'information.
(90) Afin de mieux prendre en compte les principaux risques liés à la chaîne d'approvisionnement et d'aider les entités essentielles et importantes opérant dans les secteurs couverts par la présente directive à gérer de manière appropriée les risques liés à la chaîne d'approvisionnement et aux fournisseurs, le groupe de coopération, en coopération avec la Commission et l'ENISA et, le cas échéant, après avoir consulté les parties prenantes concernées, y compris celles du secteur, devrait procéder à des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques, comme cela a été fait pour les réseaux 5G conformément à la recommandation (UE) 2019/534 de la Commission, dans le but de recenser, par secteur, les services, les systèmes ou les produits TIC critiques, ainsi que les menaces et les vulnérabilités pertinentes.
Ces évaluations coordonnées des risques de sécurité devraient recenser les mesures, les plans d'atténuation et les meilleures pratiques pour contrer les dépendances critiques, les points de défaillance uniques potentiels, les menaces, les vulnérabilités et les autres risques associés à la chaîne d'approvisionnement, et devraient étudier les moyens d'encourager leur adoption plus large par les entités essentielles et importantes. Les facteurs de risque non techniques potentiels, tels que l'influence indue d'un pays tiers sur les fournisseurs et les prestataires de services, en particulier dans le cas de modèles de gouvernance alternatifs, comprennent les vulnérabilités dissimulées ou les portes dérobées et les perturbations systémiques potentielles de l'approvisionnement, en particulier dans le cas d'un verrouillage technologique ou d'une dépendance à l'égard d'un fournisseur.
(91) Les évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques, à la lumière des caractéristiques du secteur concerné, devraient tenir compte de facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l'évaluation coordonnée des risques de l'UE concernant la cybersécurité des réseaux 5G et dans la boîte à outils de l'UE sur la cybersécurité de la 5G approuvée par le groupe de coopération.
Pour identifier les chaînes d'approvisionnement qui devraient faire l'objet d'une évaluation coordonnée des risques de sécurité, il convient de tenir compte des critères suivants :
(i) la mesure dans laquelle les entités essentielles et importantes utilisent et dépendent de services, systèmes ou produits TIC critiques spécifiques ;
(ii) la pertinence de services TIC critiques spécifiques, de systèmes TIC ou de produits TIC pour l'exécution de fonctions critiques ou sensibles, y compris le traitement de données à caractère personnel ;
(iii) la disponibilité d'autres services, systèmes ou produits TIC ;
(iv) la résilience de l'ensemble de la chaîne d'approvisionnement des services TIC, des systèmes TIC ou des produits TIC tout au long de leur cycle de vie face à des événements perturbateurs ; et
(v) pour les services, systèmes ou produits TIC émergents, leur importance potentielle future pour les activités des entités.
En outre, il convient de mettre l'accent sur les services, les systèmes ou les produits TIC qui sont soumis à des exigences spécifiques de la part de pays tiers.
(92) Afin de rationaliser les obligations imposées aux fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, ainsi qu'aux prestataires de services de confiance, en ce qui concerne la sécurité de leur réseau et de leurs systèmes d'information, ainsi que pour permettre à ces entités et aux autorités compétentes en vertu de la directive (UE) 2018/1972 du Parlement européen et du Conseil et du règlement (UE) n° 910/2014, respectivement, de bénéficier du cadre juridique établi par la présente directive, y compris la désignation d'un CSIRT chargé du traitement des incidents, la participation des autorités compétentes concernées aux activités du groupe de coopération et le réseau des CSIRT, ces entités devraient relever du champ d'application de la présente directive.
Les dispositions correspondantes prévues par le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 relatives à l'imposition d'exigences en matière de sécurité et de notification à ces types d'entités devraient donc être supprimées. Les règles relatives aux obligations de notification établies dans la présente directive devraient être sans préjudice du règlement (UE) 2016/679 et de la directive 2002/58/CE.
(93) Les obligations en matière de cybersécurité prévues par la présente directive devraient être considérées comme complémentaires des exigences imposées aux prestataires de services de confiance en vertu du règlement (UE) n° 910/2014. Les prestataires de services de confiance devraient être tenus de prendre toutes les mesures appropriées et proportionnées pour gérer les risques liés à leurs services, y compris en ce qui concerne les clients et les tiers qui se fient à eux, et de signaler les incidents en vertu de la présente directive. Ces obligations en matière de cybersécurité et de déclaration devraient également concerner la protection physique des services fournis. Les exigences en matière de service fiduciaire qualifiéService fiduciaire qualifié Un service de confiance qui satisfait aux exigences applicables énoncées dans le présent règlement - Définition conformément à l'article 3, point (17), du règlement (UE) n° 910/2014. prestataires prévus à l'article 24 du règlement (UE) n° 910/2014 continuent de s'appliquer.
(94) Les États membres peuvent confier le rôle des autorités compétentes en matière de services de confiance aux organes de surveillance en vertu du règlement (UE) n° 910/2014 afin d'assurer la poursuite des pratiques actuelles et de tirer parti des connaissances et de l'expérience acquises dans le cadre de l'application dudit règlement. Dans ce cas, les autorités compétentes en vertu de la présente directive devraient coopérer étroitement et en temps utile avec ces organes de surveillance en échangeant des informations pertinentes afin d'assurer une surveillance efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans la présente directive et dans le règlement (UE) n° 910/2014.
Le cas échéant, le CSIRT ou l'autorité compétente en vertu de la présente directive devrait immédiatement informer l'organe de surveillance en vertu du règlement (UE) n° 910/2014 de toute notification. une cybermenace importanteMenace cybernétique importante désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le réseau et les systèmes d'information d'une entité ou sur les utilisateurs des services de l'entité en causant des dommages matériels ou immatériels considérables ; - désigne une cybermenace dont on peut supposer, sur la base de ses caractéristiques techniques, qu'elle est susceptible de causer des dommages matériels ou immatériels considérables. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) ou incident affectant les services fiduciaires, ainsi que sur toute infraction commise par une personne ou un groupe de personnes. prestataire de services fiduciairesPrestataire de services fiduciaires désigne une personne physique ou morale qui fournit un ou plusieurs services de confiance en tant que prestataire de services de confiance qualifié ou non qualifié - Définition selon l'article 3, point (19), du règlement (UE) n° 910/2014. de la présente directive. Aux fins de la déclaration, les États membres peuvent, le cas échéant, utiliser le point d'entrée unique établi pour réaliser une déclaration d'incident commune et automatique à la fois à l'organe de contrôle en vertu du règlement (UE) n° 910/2014 et au CSIRT ou à l'autorité compétente en vertu de la présente directive.
(95) Le cas échéant et afin d'éviter toute perturbation inutile, les lignes directrices nationales existantes adoptées pour la transposition des règles relatives aux mesures de sûreté énoncées aux articles 40 et 41 de la directive (UE) 2018/1972 devraient être prises en compte dans la transposition de la présente directive, en s'appuyant ainsi sur les connaissances et les compétences déjà acquises au titre de la directive (UE) 2018/1972 en ce qui concerne les mesures de sûreté et les notifications d'incidents.
L'ENISA peut également élaborer des orientations sur les exigences en matière de sécurité et sur les obligations de déclaration pour les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public afin de faciliter l'harmonisation et la transition et de minimiser les perturbations. Les États membres peuvent confier le rôle d'autorités compétentes en matière de communications électroniques aux autorités réglementaires nationales en vertu de la directive (UE) 2018/1972 afin d'assurer la poursuite des pratiques actuelles et de s'appuyer sur les connaissances et l'expérience acquises à la suite de la mise en œuvre de cette directive.
(96) Compte tenu de l'importance croissante des services de communications interpersonnelles indépendants du numéro, tels que définis dans la directive (UE) 2018/1972, il est nécessaire de veiller à ce que ces services soient également soumis à des exigences de sécurité appropriées, eu égard à leur nature spécifique et à leur importance économique. Alors que la surface d'attaque continue de s'étendre, les services de communications interpersonnelles indépendants du numéro, tels que les services de messagerie, deviennent des vecteurs d'attaque très répandus.
Les auteurs d'actes malveillants utilisent des plateformes pour communiquer et inciter les victimes à ouvrir des pages web compromises, augmentant ainsi la probabilité d'incidents impliquant l'exploitation de données à caractère personnel et, par extension, la sécurité des réseaux et des systèmes d'information. Les fournisseurs de services de communications interpersonnelles indépendants du numéro devraient garantir un niveau de sécurité des réseaux et des systèmes d'information adapté aux risques encourus.
Étant donné que les fournisseurs de services de communications interpersonnelles indépendants du numéro n'exercent normalement pas de contrôle effectif sur la transmission des signaux sur les réseaux, le degré de risque posé à ces services peut être considéré, à certains égards, comme plus faible que pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles tels que définis dans la directive (UE) 2018/1972, qui utilisent des numéros et n'exercent pas de contrôle effectif sur la transmission des signaux.
(97) Le marché intérieur dépend plus que jamais du fonctionnement de l'internet. Les services de presque toutes les entités essentielles et importantes dépendent des services fournis sur l'internet. Afin d'assurer la bonne prestation des services fournis par les entités essentielles et importantes, il importe que tous les fournisseurs de réseaux publics de communications électroniques mettent en place des mesures appropriées de gestion des risques liés à la cybersécurité et qu'ils signalent les incidents significatifs qui s'y rapportent.
Les États membres devraient veiller à ce que la sécurité des réseaux publics de communications électroniques soit maintenue et à ce que leurs intérêts vitaux en matière de sécurité soient protégés contre le sabotage et l'espionnage. Étant donné que la connectivité internationale renforce et accélère la numérisation compétitive de l'Union et de son économie, les incidents affectant les câbles de communication sous-marins devraient être signalés au CSIRT ou, le cas échéant, à l'autorité compétente. La stratégie nationale de cybersécurité devrait, le cas échéant, tenir compte de la cybersécurité des câbles de communication sous-marins et inclure une cartographie des risques potentiels en matière de cybersécurité et des mesures d'atténuation afin d'assurer le niveau de protection le plus élevé possible.
(98) Afin de préserver la sécurité des réseaux publics de communications électroniques et des services de communications électroniques accessibles au public, il convient de promouvoir l'utilisation des technologies de chiffrement, en particulier le chiffrement de bout en bout, ainsi que les concepts de sécurité centrés sur les données, tels que la cartographie, la segmentation, le marquage, la politique et la gestion d'accès, et les décisions d'accès automatisées. Le cas échéant, l'utilisation du chiffrement, en particulier le chiffrement de bout en bout, devrait être obligatoire pour les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de la présente directive.
L'utilisation du chiffrement de bout en bout devrait être conciliée avec les compétences des États membres pour assurer la protection de leurs intérêts essentiels en matière de sécurité et de la sécurité publique, et pour permettre la prévention, la recherche, la détection et la poursuite des infractions pénales conformément au droit de l'Union. Toutefois, cela ne devrait pas affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour la protection efficace des données et de la vie privée et la sécurité des communications.
(99) Afin de préserver la sécurité des réseaux publics de communications électroniques et des services de communications électroniques accessibles au public, et d'empêcher les abus et les manipulations, il convient de promouvoir l'utilisation de normes de routage sécurisées pour garantir l'intégrité et la robustesse des fonctions de routage dans l'écosystème des fournisseurs d'accès à l'internet.
(100) Afin de préserver la fonctionnalité et l'intégrité de l'internet et de promouvoir la sécurité et la résilience du DNS, les parties prenantes concernées, y compris les entités du secteur privé de l'Union, les fournisseurs de services de communications électroniques accessibles au public, en particulier les fournisseurs de services d'accès à l'internet, et les fournisseurs de moteurs de recherche en ligne, devraient être encouragés à adopter une stratégie de diversification des résolutions DNS. En outre, les États membres devraient encourager le développement et l'utilisation d'un service de résolution DNS européen public et sécurisé.
(101) La présente directive définit une approche en plusieurs étapes pour la notification des incidents significatifs afin de trouver un juste équilibre entre, d'une part, une notification rapide qui contribue à atténuer la propagation potentielle des incidents significatifs et permet aux entités essentielles et importantes de demander de l'aide et, d'autre part, une notification approfondie qui tire des enseignements précieux des incidents individuels et améliore au fil du temps la cyber-résilience des entités individuelles et de secteurs entiers.
À cet égard, la présente directive devrait inclure la notification des incidents qui, sur la base d'une évaluation initiale effectuée par l'entité concernée, pourraient causer une grave perturbation opérationnelle des services ou une perte financière pour cette entité ou affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.
Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d'information touchés, en particulier de leur importance pour la fourniture des services de l'entité, de la gravité et des caractéristiques techniques d'une cybermenace et de toute vulnérabilité sous-jacente exploitée, ainsi que de l'expérience de l'entité en matière d'incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d'un incident ou le nombre de bénéficiaires de services affectés pourraient jouer un rôle important pour déterminer si l'interruption opérationnelle du service est grave.
(102) Lorsque des entités essentielles ou importantes ont connaissance d'un incident significatif, elles doivent être tenues de présenter une alerte rapide sans délai excessif et, en tout état de cause, dans les 24 heures. Cette alerte rapide devrait être suivie d'une notification d'incident. Les entités concernées devraient soumettre une notification d'incident sans délai excessif et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l'incident significatif, dans le but, notamment, de mettre à jour les informations fournies dans le cadre de l'alerte rapide et d'indiquer une première évaluation de l'incident significatif, y compris sa gravité et son impact, ainsi que des indicateurs de compromission, lorsqu'ils sont disponibles.
Un rapport final doit être soumis au plus tard un mois après la notification de l'incident. L'alerte rapide ne doit contenir que les informations nécessaires pour que le CSIRT ou, le cas échéant, l'autorité compétente, soit informé de l'incident significatif et permette à l'entité concernée de demander de l'aide, si nécessaire. Le cas échéant, l'alerte rapide doit indiquer si l'incident significatif est suspecté d'être causé par des actes illicites ou malveillants et s'il est susceptible d'avoir une incidence transfrontalière.
Les États membres devraient veiller à ce que l'obligation de présenter cette alerte rapide ou la notification d'incident qui s'ensuit ne détourne pas les ressources de l'entité notifiante des activités liées au traitement de l'incident qui devraient être prioritaires, afin d'éviter que les obligations de déclaration d'incident ne détournent les ressources du traitement de la réponse à l'incident significatif ou ne compromettent d'une autre manière les efforts de l'entité à cet égard. En cas d'incident en cours au moment de la présentation du rapport final, les États membres devraient veiller à ce que les entités concernées fournissent un rapport d'avancement à ce moment-là et un rapport final dans un délai d'un mois à compter de la date à laquelle elles ont traité l'incident significatif.
(103) Le cas échéant, les entités essentielles et importantes devraient communiquer, sans retard injustifié, à leurs destinataires de services les mesures ou les remèdes qu'elles peuvent prendre pour atténuer les risques résultant d'une cybermenace importante. Ces entités devraient, le cas échéant et en particulier lorsque la cybermenace importante est susceptible de se concrétiser, informer également leurs destinataires de services de la menace elle-même.
L'obligation d'informer ces destinataires des cybermenaces graves devrait être remplie sur la base des meilleurs efforts possibles, mais ne devrait pas dispenser ces entités de l'obligation de prendre, à leurs propres frais, des mesures appropriées et immédiates pour prévenir ces menaces ou y remédier et rétablir le niveau de sécurité normal du service. La fourniture de ces informations sur les cybermenaces graves aux destinataires du service devrait être gratuite et rédigée dans un langage facilement compréhensible.
(104) Les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public devraient mettre en œuvre la sécurité dès la conception et par défaut, et informer les destinataires de leurs services des cybermenaces importantes et des mesures qu'ils peuvent prendre pour protéger la sécurité de leurs appareils et de leurs communications, par exemple en utilisant des types spécifiques de logiciels ou de technologies de cryptage.
(105) Une approche proactive des cybermenaces est un élément essentiel de la gestion des risques liés à la cybersécurité, qui devrait permettre aux autorités compétentes d'empêcher efficacement les cybermenaces de se matérialiser en incidents susceptibles de causer des dommages matériels ou immatériels considérables. À cette fin, la notification des cybermenaces revêt une importance capitale. À cette fin, les entités sont encouragées à signaler volontairement les cybermenaces.
(106) Afin de simplifier la communication des informations requises au titre de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques tels qu'un point d'entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles, des plateformes dédiées à l'usage des entités, qu'elles relèvent ou non du champ d'application de la présente directive, pour la soumission des informations pertinentes à communiquer.
Le financement de l'Union pour la mise en œuvre de la présente directive, en particulier dans le cadre du programme "Europe numérique" établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil (21), pourrait inclure un soutien aux points d'entrée uniques. En outre, les entités se trouvent souvent dans une situation où un incident particulier, en raison de ses caractéristiques, doit être signalé à différentes autorités en raison des obligations de notification prévues par divers instruments juridiques. Ces cas créent une charge administrative supplémentaire et peuvent également entraîner des incertitudes quant au format et aux procédures de ces notifications.
Lorsqu'un point d'entrée unique est établi, les États membres sont encouragés à utiliser également ce point d'entrée unique pour les notifications d'incidents de sécurité requises en vertu d'autres dispositions du droit de l'Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L'utilisation de ce point d'entrée unique pour la notification des incidents de sécurité en vertu du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l'application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l'indépendance des autorités qui y sont visées. L'ENISA, en coopération avec le groupe de coopération, devrait élaborer des modèles de notification communs au moyen de lignes directrices afin de simplifier et de rationaliser les informations à communiquer en vertu du droit de l'Union et de réduire la charge administrative pesant sur les entités notifiantes.
(107) Lorsque l'on soupçonne qu'un incident est lié à des activités criminelles graves au regard du droit de l'Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base des règles de procédure pénale applicables conformément au droit de l'Union, à signaler aux services répressifs compétents les incidents dont on soupçonne qu'ils sont de nature criminelle grave. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les services répressifs des différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (EC3) et l'ENISA.
(108) Les données à caractère personnel sont dans de nombreux cas compromises à la suite d'incidents. Dans ce contexte, les autorités compétentes devraient coopérer et échanger des informations sur toutes les questions pertinentes avec les autorités visées par le règlement (UE) 2016/679 et la directive 2002/58/CE.
(109) Il est essentiel de maintenir des bases de données exactes et complètes sur les données d'enregistrement des noms de domaine (données WHOIS) et de fournir un accès légal à ces données pour garantir la sécurité, la stabilité et la résilience du DNS, qui contribue à son tour à un niveau commun élevé de cybersécurité dans l'ensemble de l'Union. À cette fin spécifique, les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine devraient être tenus de traiter certaines données nécessaires pour atteindre cet objectif.
Ce traitement devrait constituer une obligation légale au sens de l'article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Cette obligation est sans préjudice de la possibilité de collecter des données d'enregistrement de noms de domaine à d'autres fins, par exemple sur la base d'accords contractuels ou d'exigences légales établies dans d'autres législations de l'Union ou nationales. Cette obligation vise à obtenir un ensemble complet et précis de données d'enregistrement et ne devrait pas conduire à collecter les mêmes données plusieurs fois. Les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine devraient coopérer entre eux afin d'éviter la duplication de cette tâche.
(110) La disponibilité et l'accessibilité en temps utile des données d'enregistrement des noms de domaine aux demandeurs d'accès légitimes sont essentielles pour la prévention et la lutte contre les abus en matière de DNS, ainsi que pour la prévention et la détection des incidents et la réaction à ceux-ci. Par demandeurs d'accès légitimes, il faut entendre toute personne physique ou morale qui présente une demande en vertu du droit de l'Union ou du droit national.
Il peut s'agir d'autorités compétentes en vertu de la présente directive et d'autorités compétentes en vertu du droit de l'Union ou du droit national pour la prévention, la recherche, la détection ou la poursuite d'infractions pénales, ainsi que de CERT ou de CSIRT. Les registres de noms de TLD et les entités fournissant des services d'enregistrement de noms de domaine devraient être tenus de permettre aux demandeurs d'accès légitimes d'accéder légalement aux données d'enregistrement de noms de domaine spécifiques qui sont nécessaires aux fins de la demande d'accès, conformément au droit de l'Union et au droit national. La demande des demandeurs d'accès légitimes doit être accompagnée d'un exposé des motifs permettant d'évaluer la nécessité de l'accès aux données.
(111) Afin de garantir la disponibilité de données d'enregistrement de noms de domaine exactes et complètes, les registres de noms de TLD et les entités fournissant des services d'enregistrement de noms de domaine doivent collecter et garantir l'intégrité et la disponibilité des données d'enregistrement de noms de domaine. En particulier, les registres de noms de TLD et les entités fournissant des services d'enregistrement de noms de domaine devraient établir des politiques et des procédures pour collecter et conserver des données d'enregistrement de noms de domaine exactes et complètes, ainsi que pour prévenir et corriger les données d'enregistrement inexactes, conformément au droit de l'Union en matière de protection des données.
Ces politiques et procédures doivent tenir compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine devraient adopter et mettre en œuvre des procédures proportionnées pour vérifier les données d'enregistrement des noms de domaine.
Ces procédures doivent refléter les meilleures pratiques utilisées dans le secteur et, dans la mesure du possible, les progrès réalisés dans le domaine de l'identification électronique. Les contrôles ex ante effectués au moment de l'enregistrement et les contrôles ex post effectués après l'enregistrement sont des exemples de procédures de vérification. Les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine doivent, en particulier, vérifier au moins un moyen de contact du titulaire du nom de domaine.
(112) Les registres de noms de TLD et les entités fournissant des services d'enregistrement de noms de domaine devraient être tenus de mettre à la disposition du public les données d'enregistrement de noms de domaine qui ne relèvent pas du champ d'application de la législation de l'Union en matière de protection des données, telles que les données qui concernent les personnes morales, conformément au préambule du règlement (UE) 2016/679. Pour les personnes morales, les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine devraient mettre à la disposition du public au moins le nom du déclarant et le numéro de téléphone de contact.
L'adresse électronique de contact doit également être publiée, à condition qu'elle ne contienne pas de données personnelles, comme dans le cas d'alias électroniques ou de comptes fonctionnels. Les registres de noms de domaines et les entités fournissant des services d'enregistrement de noms de domaines devraient également permettre aux demandeurs légitimes d'accéder légalement aux données d'enregistrement de noms de domaines spécifiques concernant des personnes physiques, conformément à la législation de l'Union en matière de protection des données. Les États membres devraient exiger des registres de noms de domaine de premier niveau et des entités fournissant des services d'enregistrement de noms de domaine qu'ils répondent sans délai excessif aux demandes de divulgation de données d'enregistrement de noms de domaine émanant de demandeurs d'accès légitimes.
Les registres de noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine doivent établir des politiques et des procédures pour la publication et la divulgation des données d'enregistrement, y compris des accords de niveau de service pour traiter les demandes d'accès émanant de demandeurs légitimes. Ces politiques et procédures doivent tenir compte, dans la mesure du possible, des orientations et des normes élaborées par les structures de gouvernance multipartites au niveau international. La procédure d'accès pourrait inclure l'utilisation d'une interface, d'un portail ou d'un autre outil technique pour fournir un système efficace de demande et d'accès aux données d'enregistrement.
En vue de promouvoir des pratiques harmonisées dans l'ensemble du marché intérieur, la Commission peut, sans préjudice des compétences du Comité européen de la protection des données, fournir des lignes directrices concernant ces procédures, qui tiennent compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les États membres devraient veiller à ce que tous les types d'accès aux données personnelles et non personnelles relatives à l'enregistrement des noms de domaine soient gratuits.
(113) Les entités relevant du champ d'application de la présente directive doivent être considérées comme relevant de la compétence de l'État membre dans lequel elles sont établies. Toutefois, les fournisseurs de réseaux publics de communications électroniques ou les fournisseurs de services de communications électroniques accessibles au public devraient être considérés comme relevant de la compétence de l'État membre dans lequel ils fournissent leurs services.
Les fournisseurs de services DNS, les registres de noms TLD, les entités fournissant des services d'enregistrement de noms de domaine, les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseautage social devraient être considérés comme relevant de la compétence de l'État membre dans lequel ils ont leur principal établissement dans l'Union.
Les entités de l'administration publique devraient relever de la compétence de l'État membre qui les a créées. Si l'entité fournit des services ou est établie dans plus d'un État membre, elle devrait relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions de surveillance conjointes. Lorsque les États membres exercent leur compétence, ils ne devraient pas imposer des mesures d'exécution ou des sanctions plus d'une fois pour le même comportement, conformément au principe ne bis in idem.
(114) Afin de tenir compte de la nature transfrontalière des services et des opérations des prestataires de services DNS, des registres de noms TLD, des entités fournissant des services d'enregistrement de noms de domaine, des prestataires de services d'informatique en nuage, des prestataires de services de centres de données, des prestataires de réseaux de fourniture de contenu, des prestataires de services gérés, des prestataires de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseautage social, un seul État membre devrait être compétent à l'égard de ces entités. La compétence devrait être attribuée à l'État membre dans lequel l'entité concernée a son principal établissement dans l'Union.
Le critère d'établissement aux fins de la présente directive implique l'exercice effectif d'une activité par le biais de structures stables. La forme juridique de ces arrangements, qu'il s'agisse d'une succursale ou d'une filiale dotée de la personnalité juridique, n'est pas déterminante à cet égard. Le fait que ce critère soit rempli ne devrait pas dépendre de la question de savoir si le réseau et les systèmes d'information sont physiquement situés en un lieu donné ; la présence et l'utilisation de ces systèmes ne constituent pas en elles-mêmes un établissement principal et ne sont donc pas des critères décisifs pour déterminer l'établissement principal.
Il convient de considérer que l'établissement principal se trouve dans l'État membre où les décisions relatives aux mesures de gestion du risque de cybersécurité sont principalement prises dans l'Union. Cela correspondra généralement au lieu de l'administration centrale des entités dans l'Union. Si cet État membre ne peut être déterminé ou si les décisions ne sont pas prises dans l'Union, il convient de considérer que l'établissement principal se trouve dans l'État membre où les opérations de cybersécurité sont menées.
Si un tel État membre ne peut être déterminé, il convient de considérer que l'établissement principal se trouve dans l'État membre où l'entité possède l'établissement comptant le plus grand nombre d'employés dans l'Union. Lorsque les services sont fournis par un groupe d'entreprises, l'établissement principal de l'entreprise qui exerce le contrôle doit être considéré comme l'établissement principal du groupe d'entreprises.
(115) Lorsqu'un service DNS récursif accessible au public est fourni par un fournisseur de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public uniquement dans le cadre du service d'accès à l'internet, l'entité doit être considérée comme relevant de la compétence de tous les États membres dans lesquels ses services sont fournis.
(116) Lorsqu'un Fournisseur de services DNSFournisseur de services DNS Désigne une entité qui fournit : (a) des services de résolution récursive de noms de domaine accessibles au public pour les utilisateurs finaux de l'internet ; ou (b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l'exception des serveurs de noms racine. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)un registre de noms de domaine de premier niveau, un registre de noms de domaine de deuxième niveau, un registre de noms de domaine de deuxième niveau entité fournissant des services d'enregistrement de noms de domaineEntité fournissant des services d'enregistrement de noms de domaine désigne un bureau d'enregistrement ou un agent agissant pour le compte de bureaux d'enregistrement, tel qu'un fournisseur ou un revendeur de services d'enregistrement de la vie privée ou de procuration ; - désigne un bureau d'enregistrement ou un agent agissant pour le compte de bureaux d'enregistrement. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)un fournisseur de services d'informatique en nuage, un fournisseur de services de centre de données, un fournisseur de réseaux de diffusion de contenu, un fournisseur de services d'informatique en nuage, un fournisseur de services d'informatique en nuage. fournisseur de services gérésFournisseur de services gérés désigne une entité qui fournit des services liés à l'installation, la gestion, l'exploitation ou la maintenance de produits TIC, de réseaux, d'infrastructures, d'applications ou de tout autre réseau et système d'information, par le biais d'une assistance ou d'une administration active effectuée soit dans les locaux du client, soit à distance. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)un fournisseur de services de sécurité gérés ou un fournisseur d'une place de marché en ligne, d'une moteur de recherche en ligneMoteur de recherche en ligne Désigne un service numérique qui permet aux utilisateurs de saisir des requêtes afin d'effectuer des recherches sur, en principe, tous les sites web, ou tous les sites web dans une langue particulière, sur la base d'une requête sur n'importe quel sujet sous la forme d'un mot-clé, d'une requête vocale, d'une phrase ou d'une autre entrée, et qui renvoie des résultats sous n'importe quel format dans lequel des informations liées au contenu demandé peuvent être trouvées." - Définition selon l'article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil. ou d'un plate-forme de services de réseaux sociauxPlate-forme de services de réseaux sociaux désigne une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer les uns avec les autres sur plusieurs appareils, notamment par le biais de chats, de messages, de vidéos et de recommandations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)qui n'est pas établie dans l'Union, offre des services dans l'Union, elle devrait désigner un représentantReprésentant Une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de données, d'un prestataire de réseaux de diffusion de contenu, d'un prestataire de services gérés, d'un prestataire de services de sécurité gérés, ou d'un fournisseur d'une place de marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseautage social qui n'est pas établi dans l'Union et qui peut être contacté par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations qui incombent à cette entité en vertu de la présente directive. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) dans l'Union.
Afin de déterminer si une telle entité offre des services dans l'Union, il convient de vérifier si l'entité prévoit d'offrir des services à des personnes dans un ou plusieurs États membres. La simple accessibilité dans l'Union du site web de l'entité ou d'un intermédiaire, d'une adresse électronique ou d'autres coordonnées, ou l'utilisation d'une langue généralement utilisée dans le pays tiers où l'entité est établie, devrait être considérée comme insuffisante pour s'assurer de cette intention.
Toutefois, des facteurs tels que l'utilisation d'une langue ou d'une monnaie généralement utilisée dans un ou plusieurs États membres, avec la possibilité de commander des services dans cette langue, ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, pourraient laisser penser que l'entité prévoit d'offrir des services dans l'Union. Le représentant doit agir au nom de l'entité et les autorités compétentes ou les CSIRT doivent pouvoir s'adresser à lui. Le représentant devrait être explicitement désigné par un mandat écrit de l'entité pour agir au nom de cette dernière en ce qui concerne les obligations de cette dernière prévues par la présente directive, y compris la notification des incidents.
(117) Afin d'assurer une vue d'ensemble claire des fournisseurs de services DNS, des registres de noms TLD, des entités fournissant des services d'enregistrement de noms de domaine, des fournisseurs de services d'informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, qui fournissent des services à travers l'Union entrant dans le champ d'application de cette directive, l'ENISA devrait créer et maintenir un registre de ces entités, sur la base des informations reçues par les États membres, le cas échéant par le biais de mécanismes nationaux établis pour que les entités s'enregistrent elles-mêmes.
Les points de contact uniques doivent transmettre à l'ENISA les informations et toute modification de celles-ci. Afin d'assurer l'exactitude et l'exhaustivité des informations qui doivent être incluses dans ce registre, les États membres peuvent soumettre à l'ENISA les informations disponibles dans les registres nationaux sur ces entités. L'ENISA et les États membres devraient prendre des mesures pour faciliter l'interopérabilité de ces registres, tout en assurant la protection des informations confidentielles ou classifiées. L'ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées et restreindre l'accès, le stockage et la transmission de ces informations aux utilisateurs prévus.
(118) Lorsque des informations classifiées conformément au droit de l'Union ou au droit national sont échangées, communiquées ou partagées d'une autre manière en vertu de la présente directive, les règles correspondantes sur le traitement des informations classifiées doivent être appliquées. De plus, l'ENISA doit avoir l'infrastructure, les procédures et les règles en place pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables pour protéger les informations classifiées de l'UE.
(119) Les cybermenaces devenant de plus en plus complexes et sophistiquées, la bonne détection de ces menaces et les mesures de prévention dépendent dans une large mesure de l'échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. L'échange d'informations contribue à une sensibilisation accrue aux cybermenaces, ce qui, à son tour, renforce la capacité des entités à empêcher ces menaces de se matérialiser en incidents et permet aux entités de mieux contenir les effets des incidents et de se rétablir plus efficacement. En l'absence d'orientations au niveau de l'Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l'incertitude quant à la compatibilité avec les règles de concurrence et de responsabilité.
(120) Les États membres devraient encourager et aider les entités à tirer collectivement parti de leurs connaissances individuelles et de leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue de renforcer leurs capacités à prévenir et à détecter les incidents, à y réagir ou à s'en remettre de manière adéquate, ou à en atténuer les effets. Il est donc nécessaire de permettre l'émergence, au niveau de l'Union, d'accords volontaires d'échange d'informations sur la cybersécurité.
À cette fin, les États membres devraient aider et encourager activement les entités, telles que celles qui fournissent des services de cybersécurité et font de la recherche dans ce domaine, ainsi que les entités concernées qui ne relèvent pas du champ d'application de la présente directive, à participer à de tels dispositifs d'échange d'informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l'Union et au droit de l'Union en matière de protection des données.
(121) Le traitement des données à caractère personnel, dans la mesure où il est nécessaire et proportionné pour assurer la sécurité du réseau et des systèmes d'information par des entités essentielles et importantes, pourrait être considéré comme licite au motif que ce traitement respecte une obligation légale à laquelle le responsable du traitement est soumis, conformément aux exigences de l'article 6, paragraphe 1, point c), et de l'article 6, paragraphe 3, du règlement (UE) 2016/679.
Le traitement des données à caractère personnel pourrait également être nécessaire aux fins des intérêts légitimes poursuivis par les entités essentielles et importantes, ainsi que par les fournisseurs de technologies et de services de sécurité agissant pour le compte de ces entités, conformément à l'article 6, paragraphe 1, point f), du règlement (UE) 2016/679, y compris lorsque ce traitement est nécessaire pour les accords de partage d'informations en matière de cybersécurité ou la notification volontaire d'informations pertinentes conformément à la présente directive.
Les mesures liées à la prévention, à la détection, à l'identification, au confinement, à l'analyse et à la réponse aux incidents, les mesures de sensibilisation à des cybermenaces spécifiques, l'échange d'informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée des vulnérabilités, l'échange volontaire d'informations sur ces incidents, Le traitement des données relatives aux cybermenaces et aux vulnérabilités, des indicateurs de compromission, des tactiques, techniques et procédures, des alertes de cybersécurité et des outils de configuration pourrait nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques et, lorsqu'ils révèlent des données à caractère personnel, les horodatages.
Le traitement des données à caractère personnel par les autorités compétentes, les points de contact uniques et les CSIRT, pourrait constituer une obligation légale ou être considéré comme nécessaire à l'exécution d'une mission d'intérêt public ou dans l'exercice de l'autorité publique dont est investi le responsable du traitement en vertu de l'article 6, paragraphe 1, points c) ou e), et de l'article 6, paragraphe 3, du règlement (UE) 2016/679, ou à la poursuite d'un intérêt légitime des entités essentielles et importantes, visées à l'article 6, paragraphe 1, point f), de ce règlement.
En outre, le droit national pourrait fixer des règles permettant aux autorités compétentes, aux points de contact uniques et aux CSIRT, dans la mesure où cela est nécessaire et proportionné pour assurer la sécurité des systèmes de réseau et d'information des entités essentielles et importantes, de traiter des catégories particulières de données à caractère personnel conformément à l'article 9 du règlement (UE) 2016/679, notamment en prévoyant des mesures appropriées et spécifiques pour sauvegarder les droits fondamentaux et les intérêts des personnes physiques, y compris des limitations techniques à la réutilisation de ces données et l'utilisation de mesures de sécurité et de préservation de la vie privée conformes à l'état de l'art, telles que la pseudonymisation, ou le cryptage lorsque l'anonymisation peut affecter de manière significative la finalité poursuivie.
(122) Afin de renforcer les pouvoirs et les mesures de surveillance qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de surveillance permettant aux autorités compétentes de surveiller les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de surveillance entre les entités essentielles et les entités importantes en vue d'assurer un juste équilibre des obligations incombant à ces entités et aux autorités compétentes.
Par conséquent, les entités essentielles devraient être soumises à un régime de surveillance ex ante et ex post complet, tandis que les entités importantes devraient être soumises à un régime de surveillance allégé, ex post uniquement. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des mesures de gestion des risques de cybersécurité, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la surveillance et, par conséquent, ne pas avoir l'obligation générale de surveiller ces entités.
La surveillance a posteriori d'entités importantes peut être déclenchée par des preuves, indications ou informations portées à l'attention des autorités compétentes et considérées par celles-ci comme suggérant des infractions potentielles à la présente directive. Par exemple, ces preuves, indications ou informations peuvent être du type de celles fournies aux autorités compétentes par d'autres autorités, entités, citoyens, médias ou autres sources ou informations accessibles au public, ou peuvent résulter d'autres activités menées par les autorités compétentes dans l'accomplissement de leurs tâches.
(123) L'exécution des tâches de surveillance par les autorités compétentes ne devrait pas entraver inutilement les activités commerciales de l'entité concernée. Lorsque les autorités compétentes exécutent leurs tâches de surveillance à l'égard d'entités essentielles, y compris les inspections sur place et la surveillance hors site, les enquêtes sur les infractions à la présente directive et la réalisation d'audits de sécurité ou d'analyses de sécurité, elles doivent réduire au minimum l'impact sur les activités commerciales de l'entité concernée.
(124) Dans l'exercice de la surveillance ex ante, les autorités compétentes devraient être en mesure de décider de l'ordre de priorité de l'utilisation des mesures et moyens de surveillance dont elles disposent, de manière proportionnée. Cela signifie que les autorités compétentes peuvent décider de cette hiérarchisation sur la base de méthodologies de surveillance qui devraient suivre une approche fondée sur le risque.
Plus précisément, ces méthodologies pourraient inclure des critères ou des repères pour la classification des entités essentielles en catégories de risque et les mesures et moyens de surveillance correspondants recommandés pour chaque catégorie de risque, tels que l'utilisation, la fréquence ou les types d'inspections sur place, les audits de sécurité ciblés ou les analyses de sécurité, le type d'informations à demander et le niveau de détail de ces informations. Ces méthodes de contrôle pourraient également être accompagnées de programmes de travail et faire l'objet d'une évaluation et d'un réexamen réguliers, notamment sur des aspects tels que l'affectation des ressources et les besoins. En ce qui concerne les entités de l'administration publique, les pouvoirs de contrôle devraient être exercés conformément aux cadres législatifs et institutionnels nationaux.
(125) Les autorités compétentes devraient veiller à ce que leurs missions de surveillance des entités essentielles et importantes soient exercées par des professionnels qualifiés, qui devraient avoir les compétences nécessaires pour mener à bien ces missions, notamment en ce qui concerne les inspections sur place et la surveillance hors site, y compris l'identification des faiblesses des bases de données, du matériel, des pare-feux, du cryptage et des réseaux. Ces inspections et cette supervision devraient être menées de manière objective.
(126) Dans les cas dûment justifiés où elle a connaissance d'une cybermenace importante ou d'un risque imminent, l'autorité compétente devrait être en mesure de prendre des décisions d'exécution immédiates dans le but de prévenir un incident ou d'y répondre.
(127) Pour que l'exécution soit efficace, il convient d'établir une liste minimale des pouvoirs d'exécution pouvant être exercés en cas de violation des mesures de gestion des risques liés à la cybersécurité et des obligations de déclaration prévues par la présente directive, en mettant en place un cadre clair et cohérent pour cette exécution dans l'ensemble de l'Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation de la présente directive, du dommage matériel ou moral causé, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer le dommage matériel ou moral, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l'autorité compétente et de tout autre facteur aggravant ou atténuant.
Les mesures d'exécution, y compris les amendes administratives, devraient être proportionnées et leur imposition devrait être soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et à la Charte des droits fondamentaux de l'Union européenne (la "Charte"), y compris le droit à un recours effectif et à un procès équitable, la présomption d'innocence et les droits de la défense.
(128) La présente directive n'exige pas des États membres qu'ils prévoient une responsabilité pénale ou civile à l'égard des personnes physiques chargées de veiller à ce qu'une entité se conforme à la présente directive pour les dommages subis par des tiers du fait d'une violation de la présente directive.
(129) Afin d'assurer l'application effective des obligations prévues par la présente directive, chaque autorité compétente doit avoir le pouvoir d'imposer ou de demander l'imposition d'amendes administratives.
(130) Lorsqu'une amende administrative est infligée à une entité essentielle ou importante qui est une entreprise, une entreprise doit être considérée comme une entreprise au sens des articles 101 et 102 du TFUE à ces fins. Lorsqu'une amende administrative est infligée à une personne qui n'est pas une entreprise, l'autorité compétente devrait tenir compte du niveau général des revenus dans l'État membre ainsi que de la situation économique de la personne pour déterminer le montant approprié de l'amende. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient être soumises à des amendes administratives. L'imposition d'une amende administrative n'affecte pas l'application d'autres pouvoirs des autorités compétentes ou d'autres sanctions prévues par les règles nationales transposant la présente directive.