1. Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur le système de gestion de la sécurité. sécurité des réseaux et des systèmes d'informationSécurité des réseaux et des systèmes d'information La capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par ces réseaux et systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) que ces entités utilisent pour leur fonctionnement ou pour la fourniture de leurs services, et pour prévenir ou minimiser l'impact des incidents sur les destinataires de leurs services et sur d'autres services.
Compte tenu de l'état de l'art et, le cas échéant, des normes européennes et internationales pertinentes, ainsi que du coût de la mise en œuvre, les mesures visées au premier alinéa garantissent un niveau de sécurité des réseaux et des systèmes d'information adapté aux risques encourus. Lors de l'évaluation de la proportionnalité de ces mesures, il est dûment tenu compte de l'importance de la menace que représentent les réseaux et les systèmes d'information. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)L'exposition de l'entité aux risques, sa taille, la probabilité de survenance d'incidents et leur gravité, y compris leur impact sociétal et économique, sont autant d'éléments qui permettent d'évaluer l'efficacité de la gestion des risques.
2. Les mesures visées au paragraphe 1 sont fondées sur une approche tous risques qui vise à protéger les réseaux et les systèmes d'information ainsi que l'environnement physique de ces systèmes contre les incidents, et comprennent au moins les éléments suivants :
(a) les politiques en matière de risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) l'analyse et la sécurité des systèmes d'information ;
(b) traitement des incidentsTraitement des incidents Toute action et procédure visant à prévenir, détecter, analyser et contenir un incident, ou à y répondre et à s'en remettre. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2);
(c) la continuité des activités, comme la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises ;
(d) la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité des relations entre chaque entité et ses fournisseurs directs ou ses prestataires de services ;
(e) la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information, y compris vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) le traitement et la divulgation ;
(f) les politiques et les procédures permettant d'évaluer l'efficacité de cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; des mesures de gestion des risques ;
(g) les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
(h) les politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;
(i) la sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs ;
(j) l'utilisation de solutions d'authentification multifactorielle ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.
3. Les États membres veillent à ce que, lorsqu'elles examinent quelles sont les mesures appropriées visées au paragraphe 2, point d), du présent article, les entités tiennent compte des vulnérabilités propres à chaque fournisseur direct et prestataire de services, ainsi que de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé. Les États membres veillent également à ce que, lorsqu'elles examinent les mesures visées à ce point, les entités soient tenues de prendre en compte les résultats des évaluations coordonnées des risques de sécurité des chaînes d'approvisionnement critiques effectuées conformément à l'article 22, paragraphe 1.
4. Les États membres veillent à ce qu'une entité qui constate qu'elle ne se conforme pas aux mesures prévues au paragraphe 2 prenne, sans retard injustifié, toutes les mesures correctives nécessaires, appropriées et proportionnées.
5. Au plus tard le 17 octobre 2024, la Commission adopte des actes d'exécution établissant les exigences techniques et méthodologiques des mesures visées au paragraphe 2 en ce qui concerne les fournisseurs de services DNS, les registres de noms de domaine de premier niveau (TLD), service d'informatique en nuageService d'informatique en nuage désigne un service numérique qui permet l'administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) fournisseurs, service de centre de donnéesService de centre de données Un service qui englobe des structures, ou groupes de structures, dédiées à l'hébergement centralisé, à l'interconnexion et à l'exploitation d'équipements informatiques et de réseaux fournissant des services de stockage, de traitement et de transport de données, ainsi que tous les équipements et infrastructures de distribution d'énergie et de contrôle de l'environnement. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) fournisseurs, réseau de diffusion de contenuRéseau de diffusion de contenu désigne un réseau de serveurs répartis géographiquement dans le but d'assurer la haute disponibilité, l'accessibilité ou la fourniture rapide de contenus et de services numériques aux utilisateurs de l'internet pour le compte de fournisseurs de contenus et de services. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et service fiduciaireService de confiance Désigne un service électronique normalement fourni contre rémunération qui consiste en : a) la création, la vérification et la validation de signatures électroniques, de cachets électroniques ou d'horodatages électroniques, de services d'envoi recommandé électronique et de certificats liés à ces services, ou b) la création, la vérification et la validation de certificats pour l'authentification de sites web ; ou c) la conservation de signatures électroniques, de cachets ou de certificats liés à ces services. - Définition selon l'article 3, point (16), du règlement (UE) n° 910/2014. fournisseurs.
La Commission peut adopter des actes d'exécution fixant les exigences techniques et méthodologiques, ainsi que les exigences sectorielles, le cas échéant, des mesures visées au paragraphe 2 en ce qui concerne les entités essentielles et importantes autres que celles visées au premier alinéa du présent paragraphe.
Lors de l'élaboration des actes d'exécution visés aux premier et deuxième alinéas du présent paragraphe, la Commission suit, dans la mesure du possible, les normes européennes et internationales, ainsi que les spécifications techniques pertinentes. La Commission échange des conseils et coopère avec le groupe de coopération et l'ENISA sur les projets d'actes d'exécution conformément à l'article 14, paragraphe 4, point e).
Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 39, paragraphe 2.