{"id":1146,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1146"},"modified":"2024-08-11T22:16:06","modified_gmt":"2024-08-11T22:16:06","slug":"preambule","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/fr\/directive-5\/preambule\/","title":{"rendered":"Pr\u00e9ambule"},"content":{"rendered":"
\n

R\u00c8GLEMENT (UE) 2019\/881 DU PARLEMENT EUROP\u00c9EN ET DU CONSEIL<\/h2>\n\n\n\n

du 17 avril 2019<\/p>\n\n\n\n

sur l'ENISA (l'Agence de l'Union europ\u00e9enne pour la s\u00e9curit\u00e9 et la sant\u00e9 au travail). Cybers\u00e9curit\u00e9Cybers\u00e9curit\u00e9<\/span> \"cybers\u00e9curit\u00e9\", la cybers\u00e9curit\u00e9 telle que d\u00e9finie \u00e0 l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ; - D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a>\r\r\"cybers\u00e9curit\u00e9\" : les activit\u00e9s n\u00e9cessaires pour prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, les utilisateurs de ces syst\u00e8mes et les autres personnes concern\u00e9es par les cybermenaces ; - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ;<\/span><\/span><\/span>) et sur la certification en mati\u00e8re de cybers\u00e9curit\u00e9 des technologies de l'information et des communications et abrogeant le r\u00e8glement (UE) n\u00b0 526\/2013 (loi sur la cybers\u00e9curit\u00e9)<\/p>\n\n\n\n

(Texte pr\u00e9sentant de l'int\u00e9r\u00eat pour l'EEE)<\/p>\n<\/div>\n\n\n\n

<\/p>\n\n\n\n

LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL DE L'UNION EUROP\u00c9ENNE,
vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114,
Vu la proposition de la Commission europ\u00e9enne,
Apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux,
Vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en (1),
vu l'avis du Comit\u00e9 des r\u00e9gions (2),
Agissant conform\u00e9ment \u00e0 la proc\u00e9dure l\u00e9gislative ordinaire (3),<\/p>\n\n\n\n

Consid\u00e9rant que<\/p>\n\n\n\n

(1) Les syst\u00e8mes de r\u00e9seaux et d'information ainsi que les r\u00e9seaux et services de communications \u00e9lectroniques jouent un r\u00f4le essentiel dans la soci\u00e9t\u00e9 et sont devenus l'\u00e9pine dorsale de la croissance \u00e9conomique. Les technologies de l'information et de la communication (TIC) sont \u00e0 la base des syst\u00e8mes complexes qui soutiennent les activit\u00e9s quotidiennes de la soci\u00e9t\u00e9, assurent le fonctionnement de nos \u00e9conomies dans des secteurs cl\u00e9s tels que la sant\u00e9, l'\u00e9nergie, la finance et les transports et, en particulier, soutiennent le fonctionnement du march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(2) L'utilisation des r\u00e9seaux et des syst\u00e8mes d'information par les citoyens, les organisations et les entreprises dans l'ensemble de l'Union est d\u00e9sormais omnipr\u00e9sente. La num\u00e9risation et la connectivit\u00e9 deviennent des caract\u00e9ristiques essentielles d'un nombre toujours croissant de produits et de services et, avec l'av\u00e8nement de l'internet des objets (IdO), un nombre extr\u00eamement \u00e9lev\u00e9 de dispositifs num\u00e9riques connect\u00e9s devraient \u00eatre d\u00e9ploy\u00e9s dans l'Union au cours de la prochaine d\u00e9cennie. Alors qu'un nombre croissant d'appareils est connect\u00e9 \u00e0 l'internet, la s\u00e9curit\u00e9 et la r\u00e9silience ne sont pas suffisamment int\u00e9gr\u00e9es d\u00e8s la conception, ce qui conduit \u00e0 une cybers\u00e9curit\u00e9 insuffisante. Dans ce contexte, le recours limit\u00e9 \u00e0 la certification fait que les utilisateurs individuels, organisationnels et professionnels ne disposent pas d'informations suffisantes sur les caract\u00e9ristiques de cybers\u00e9curit\u00e9 des produits, services et processus TIC, ce qui mine la confiance dans les solutions num\u00e9riques. Les r\u00e9seaux et les syst\u00e8mes d'information sont capables de soutenir tous les aspects de notre vie et de stimuler la croissance \u00e9conomique de l'Union. Ils sont la pierre angulaire de la r\u00e9alisation du march\u00e9 unique num\u00e9rique.<\/p>\n\n\n\n

(3) La num\u00e9risation et la connectivit\u00e9 accrues augmentent les risques en mati\u00e8re de cybers\u00e9curit\u00e9, rendant ainsi la soci\u00e9t\u00e9 dans son ensemble plus vuln\u00e9rable aux cybermenaces et exacerbant les dangers auxquels sont confront\u00e9s les individus, y compris les personnes vuln\u00e9rables telles que les enfants. Afin d'att\u00e9nuer ces risques, il convient de prendre toutes les mesures n\u00e9cessaires pour am\u00e9liorer la cybers\u00e9curit\u00e9 dans l'Union, de sorte que les r\u00e9seaux et syst\u00e8mes d'information, les r\u00e9seaux de communication, les produits, services et dispositifs num\u00e9riques utilis\u00e9s par les citoyens, les organisations et les entreprises - depuis les petites et moyennes entreprises (PME), telles que d\u00e9finies dans la recommandation 2003\/361\/CE de la Commission (4), jusqu'aux exploitants d'infrastructures critiques - soient mieux prot\u00e9g\u00e9s contre les cybermenaces.<\/p>\n\n\n\n

(4) En mettant les informations pertinentes \u00e0 la disposition du public, l'Agence de l'Union europ\u00e9enne charg\u00e9e de la s\u00e9curit\u00e9 des r\u00e9seaux et de l'information (ENISA), telle qu'\u00e9tablie par le r\u00e8glement (UE) n\u00b0 526\/2013 du Parlement europ\u00e9en et du Conseil (5), contribue au d\u00e9veloppement du secteur de la cybers\u00e9curit\u00e9 dans l'Union, en particulier des PME et des jeunes pousses. L'ENISA devrait s'efforcer de coop\u00e9rer plus \u00e9troitement avec les universit\u00e9s et les entit\u00e9s de recherche afin de contribuer \u00e0 r\u00e9duire la d\u00e9pendance \u00e0 l'\u00e9gard des produits et services de cybers\u00e9curit\u00e9 provenant de l'ext\u00e9rieur de l'Union et de renforcer les cha\u00eenes d'approvisionnement \u00e0 l'int\u00e9rieur de l'Union.<\/p>\n\n\n\n

(5) Les cyberattaques se multiplient et une \u00e9conomie et une soci\u00e9t\u00e9 connect\u00e9es, plus vuln\u00e9rables aux cybermenaces et aux cyberattaques, n\u00e9cessitent des d\u00e9fenses plus solides. Toutefois, si les cyberattaques ont souvent lieu au-del\u00e0 des fronti\u00e8res, les comp\u00e9tences des autorit\u00e9s charg\u00e9es de la cybers\u00e9curit\u00e9 et de l'application de la loi, ainsi que les mesures qu'elles prennent, sont essentiellement nationales. Des incidents de grande ampleur pourraient perturber la fourniture de services essentiels dans l'ensemble de l'Union. Cela n\u00e9cessite des r\u00e9ponses et une gestion de crise efficaces et coordonn\u00e9es au niveau de l'Union, en s'appuyant sur des politiques sp\u00e9cifiques et des instruments plus larges de solidarit\u00e9 europ\u00e9enne et d'assistance mutuelle. En outre, une \u00e9valuation r\u00e9guli\u00e8re de l'\u00e9tat de la cybers\u00e9curit\u00e9 et de la r\u00e9silience dans l'Union, fond\u00e9e sur des donn\u00e9es fiables de l'Union, ainsi que des pr\u00e9visions syst\u00e9matiques des \u00e9volutions, des d\u00e9fis et des menaces \u00e0 venir, au niveau de l'Union et au niveau mondial, sont importantes pour les d\u00e9cideurs politiques, l'industrie et les utilisateurs.<\/p>\n\n\n\n

(6) Compte tenu des d\u00e9fis accrus auxquels l'Union est confront\u00e9e en mati\u00e8re de cybers\u00e9curit\u00e9, il est n\u00e9cessaire de mettre en place un ensemble complet de mesures qui s'appuieraient sur l'action ant\u00e9rieure de l'Union et favoriseraient la r\u00e9alisation d'objectifs qui se renforcent mutuellement. Ces objectifs consistent notamment \u00e0 renforcer les capacit\u00e9s et l'\u00e9tat de pr\u00e9paration des \u00c9tats membres et des entreprises, ainsi qu'\u00e0 am\u00e9liorer la coop\u00e9ration, le partage d'informations et la coordination entre les \u00c9tats membres et les institutions, organes et organismes de l'Union. En outre, compte tenu de la nature transfrontali\u00e8re des cybermenaces, il est n\u00e9cessaire d'accro\u00eetre les capacit\u00e9s au niveau de l'Union qui pourraient compl\u00e9ter l'action des \u00c9tats membres, notamment en cas d'incidents et de crises transfrontaliers de grande ampleur, tout en tenant compte de l'importance de maintenir et de renforcer les capacit\u00e9s nationales de r\u00e9action aux cybermenaces de toute ampleur.<\/p>\n\n\n\n

(7) Des efforts suppl\u00e9mentaires sont \u00e9galement n\u00e9cessaires pour sensibiliser les citoyens, les organisations et les entreprises aux questions de cybers\u00e9curit\u00e9. En outre, \u00e9tant donn\u00e9 que les incidents sapent la confiance dans les service num\u00e9riqueService num\u00e9rique<\/span> d\u00e9signe tout service de la soci\u00e9t\u00e9 de l'information, c'est-\u00e0-dire tout service prest\u00e9 normalement contre r\u00e9mun\u00e9ration, \u00e0 distance, par voie \u00e9lectronique et \u00e0 la demande individuelle d'un destinataire de services.\r\rAux fins de la pr\u00e9sente d\u00e9finition : i) \"\u00e0 distance\" signifie que le service est fourni sans que les parties soient simultan\u00e9ment pr\u00e9sentes ; ii) \"par voie \u00e9lectronique\" signifie que le service est envoy\u00e9 initialement et re\u00e7u \u00e0 destination au moyen d'\u00e9quipements \u00e9lectroniques de traitement (y compris la compression num\u00e9rique) et de stockage de donn\u00e9es, et qu'il est enti\u00e8rement transmis, achemin\u00e9 et re\u00e7u par fils, par radio, par moyens optiques ou par d'autres moyens \u00e9lectromagn\u00e9tiques ; iii) \"\u00e0 la demande individuelle d'un destinataire de services\" signifie que le service est fourni par la transmission de donn\u00e9es sur demande individuelle.\r\r- D\u00e9finition selon l'article 1, paragraphe 1, point b), de la directive (UE) 2015\/1535 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span> et dans le march\u00e9 unique num\u00e9rique lui-m\u00eame, en particulier parmi les consommateurs, il convient de renforcer encore la confiance en offrant des informations transparentes sur le niveau de s\u00e9curit\u00e9 des produits, services et processus TIC, en soulignant que m\u00eame un niveau \u00e9lev\u00e9 de certification en mati\u00e8re de cybers\u00e9curit\u00e9 ne peut garantir qu'un produit, un service ou un processus TIC est s\u00fbr et fiable, et qu'il n'y a pas de risque de perte de confiance. Produit TICProduit TIC<\/span> d\u00e9signe un \u00e9l\u00e9ment ou un groupe d'\u00e9l\u00e9ments d'un r\u00e9seau ou d'un syst\u00e8me d'information - D\u00e9finition selon l'article 2, point (12), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span>, Service TICService TIC<\/span> Un service consistant enti\u00e8rement ou principalement en la transmission, le stockage, l'extraction ou le traitement d'informations au moyen de r\u00e9seaux et de syst\u00e8mes d'information - D\u00e9finition selon l'article 2, point (13), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span> ou Processus TICProcessus TIC<\/span> D\u00e9signe un ensemble d'activit\u00e9s r\u00e9alis\u00e9es pour concevoir, d\u00e9velopper, fournir ou maintenir un produit ou un service TIC - D\u00e9finition selon l'article 2, point (14), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span> est totalement s\u00e9curis\u00e9. Le renforcement de la confiance peut \u00eatre facilit\u00e9 par une certification \u00e0 l'\u00e9chelle de l'Union pr\u00e9voyant des exigences et des crit\u00e8res d'\u00e9valuation communs en mati\u00e8re de cybers\u00e9curit\u00e9 sur les march\u00e9s et les secteurs nationaux.<\/p>\n\n\n\n

(8) La cybers\u00e9curit\u00e9 n'est pas seulement une question li\u00e9e \u00e0 la technologie, mais une question o\u00f9 le comportement humain est tout aussi important. C'est pourquoi il convient d'encourager fortement la \"cyberhygi\u00e8ne\", c'est-\u00e0-dire les mesures simples et de routine qui, lorsqu'elles sont mises en \u0153uvre et appliqu\u00e9es r\u00e9guli\u00e8rement par les citoyens, les organisations et les entreprises, minimisent leur exposition aux risques li\u00e9s aux cybermenaces.<\/p>\n\n\n\n

(9) Afin de renforcer les structures de cybers\u00e9curit\u00e9 de l'Union, il est important de maintenir et de d\u00e9velopper les capacit\u00e9s des \u00c9tats membres \u00e0 r\u00e9agir de mani\u00e8re globale aux cybermenaces, y compris aux incidents transfrontaliers.<\/p>\n\n\n\n

(10) Les entreprises et les consommateurs devraient disposer d'informations pr\u00e9cises sur le niveau d'assurance auquel la s\u00e9curit\u00e9 de leurs produits, services et processus TIC a \u00e9t\u00e9 certifi\u00e9e. Dans le m\u00eame temps, aucun produit ou service TIC n'est totalement cybers\u00e9curis\u00e9 et les r\u00e8gles de base de la cyberhygi\u00e8ne doivent \u00eatre encourag\u00e9es et privil\u00e9gi\u00e9es. Compte tenu de la disponibilit\u00e9 croissante des dispositifs IdO, il existe une s\u00e9rie de mesures volontaires que le secteur priv\u00e9 peut prendre pour renforcer la confiance dans la s\u00e9curit\u00e9 des produits, des services et des processus TIC.<\/p>\n\n\n\n

(11) Les produits et syst\u00e8mes TIC modernes int\u00e8grent souvent une ou plusieurs technologies et composants tiers, tels que des modules logiciels, des biblioth\u00e8ques ou des interfaces de programmation d'applications, et en d\u00e9pendent. Cette d\u00e9pendance peut entra\u00eener des risques suppl\u00e9mentaires en mati\u00e8re de cybers\u00e9curit\u00e9, car les vuln\u00e9rabilit\u00e9s d\u00e9tect\u00e9es dans les composants tiers peuvent \u00e9galement affecter la s\u00e9curit\u00e9 des produits, des services et des processus TIC. Dans de nombreux cas, l'identification et la documentation de ces d\u00e9pendances permettent aux utilisateurs finaux des produits, services et processus TIC d'am\u00e9liorer leur cybers\u00e9curit\u00e9. risqueRisque<\/span> d\u00e9signe le potentiel de perte ou de perturbation caus\u00e9 par un incident et doit \u00eatre exprim\u00e9 comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilit\u00e9 d'occurrence de l'incident. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> les activit\u00e9s de gestion en am\u00e9liorant, par exemple, la cybers\u00e9curit\u00e9 des utilisateurs vuln\u00e9rabilit\u00e9Vuln\u00e9rabilit\u00e9<\/span> Faiblesse, susceptibilit\u00e9 ou d\u00e9faut des produits ou services TIC pouvant \u00eatre exploit\u00e9s par une cybermenace. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> les proc\u00e9dures de gestion et d'assainissement.<\/p>\n\n\n\n

(12) Il convient d'encourager les organisations, les fabricants ou les fournisseurs participant \u00e0 la conception et au d\u00e9veloppement de produits, de services ou de processus TIC \u00e0 mettre en \u0153uvre, d\u00e8s les premiers stades de la conception et du d\u00e9veloppement, des mesures visant \u00e0 prot\u00e9ger au maximum la s\u00e9curit\u00e9 de ces produits, services et processus, de mani\u00e8re \u00e0 pr\u00e9sumer l'existence de cyberattaques et \u00e0 anticiper et minimiser leur impact (\"s\u00e9curit\u00e9 d\u00e8s la conception\"). La s\u00e9curit\u00e9 devrait \u00eatre assur\u00e9e tout au long de la dur\u00e9e de vie du produit, du service ou du processus TIC par des processus de conception et de d\u00e9veloppement qui \u00e9voluent constamment afin de r\u00e9duire le risque de pr\u00e9judice d\u00fb \u00e0 une exploitation malveillante.<\/p>\n\n\n\n

(13) Les entreprises, les organisations et le secteur public devraient configurer les produits TIC, les services TIC ou les processus TIC qu'ils con\u00e7oivent d'une mani\u00e8re qui garantisse un niveau de s\u00e9curit\u00e9 plus \u00e9lev\u00e9 et qui permette au premier utilisateur de recevoir une configuration par d\u00e9faut avec les param\u00e8tres les plus s\u00fbrs possibles (\"s\u00e9curit\u00e9 par d\u00e9faut\"), r\u00e9duisant ainsi la charge que repr\u00e9sente pour les utilisateurs le fait de devoir configurer un produit TIC, un service TIC ou un processus TIC de mani\u00e8re appropri\u00e9e. La s\u00e9curit\u00e9 par d\u00e9faut ne devrait pas n\u00e9cessiter une configuration approfondie, une compr\u00e9hension technique sp\u00e9cifique ou un comportement non intuitif de la part de l'utilisateur, et devrait fonctionner de mani\u00e8re simple et fiable lorsqu'elle est mise en \u0153uvre. Si, au cas par cas, une analyse des risques et de la facilit\u00e9 d'utilisation permet de conclure qu'un tel r\u00e9glage par d\u00e9faut n'est pas r\u00e9alisable, les utilisateurs devraient \u00eatre invit\u00e9s \u00e0 opter pour le r\u00e9glage le plus s\u00fbr.<\/p>\n\n\n\n

(14) Le r\u00e8glement (CE) n\u00b0 460\/2004 du Parlement europ\u00e9en et du Conseil (6) a cr\u00e9\u00e9 l'ENISA dans le but de contribuer \u00e0 assurer un niveau \u00e9lev\u00e9 et efficace de s\u00e9curit\u00e9 des r\u00e9seaux et de l'information dans l'Union et de d\u00e9velopper une culture de la s\u00e9curit\u00e9 des r\u00e9seaux et de l'information au profit des citoyens, des consommateurs, des entreprises et des administrations publiques. Le r\u00e8glement (CE) n\u00b0 1007\/2008 du Parlement europ\u00e9en et du Conseil (7) a prolong\u00e9 le mandat de l'ENISA jusqu'en mars 2012. Le r\u00e8glement (UE) n\u00b0 580\/2011 du Parlement europ\u00e9en et du Conseil (8) a prorog\u00e9 le mandat de l'ENISA jusqu'au 13 septembre 2013. Le r\u00e8glement (UE) n\u00b0 526\/2013 a prolong\u00e9 le mandat de l'ENISA jusqu'au 19 juin 2020.<\/p>\n\n\n\n

(15) L'Union a d\u00e9j\u00e0 pris des mesures importantes pour garantir la cybers\u00e9curit\u00e9 et accro\u00eetre la confiance dans les technologies num\u00e9riques. En 2013, la strat\u00e9gie de cybers\u00e9curit\u00e9 de l'Union europ\u00e9enne a \u00e9t\u00e9 adopt\u00e9e pour orienter la r\u00e9ponse politique de l'Union aux menaces et aux risques cybern\u00e9tiques. Afin de mieux prot\u00e9ger les citoyens en ligne, le premier acte juridique de l'Union dans le domaine de la cybers\u00e9curit\u00e9 a \u00e9t\u00e9 adopt\u00e9 en 2016 sous la forme de la directive (UE) 2016\/1148 du Parlement europ\u00e9en et du Conseil (9). La directive (UE) 2016\/1148 a mis en place des exigences concernant les capacit\u00e9s nationales dans le domaine de la cybers\u00e9curit\u00e9, a \u00e9tabli les premiers m\u00e9canismes visant \u00e0 renforcer la coop\u00e9ration strat\u00e9gique et op\u00e9rationnelle entre les \u00c9tats membres et a introduit des obligations concernant les mesures de s\u00e9curit\u00e9 et la protection des donn\u00e9es. incidentIncident<\/span> Un \u00e9v\u00e9nement compromettant la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> dans des secteurs vitaux pour l'\u00e9conomie et la soci\u00e9t\u00e9, tels que l'\u00e9nergie, les transports, l'approvisionnement et la distribution d'eau potable, les banques, les infrastructures des march\u00e9s financiers, les soins de sant\u00e9, les infrastructures num\u00e9riques ainsi que les principaux fournisseurs de services num\u00e9riques (moteurs de recherche, services d'informatique en nuage et places de march\u00e9 en ligne).<\/p>\n\n\n\n

Un r\u00f4le cl\u00e9 a \u00e9t\u00e9 attribu\u00e9 \u00e0 l'ENISA dans le soutien \u00e0 la mise en \u0153uvre de cette directive. En outre, la lutte efficace contre la cybercriminalit\u00e9 est une priorit\u00e9 importante de l'agenda europ\u00e9en en mati\u00e8re de s\u00e9curit\u00e9, qui contribue \u00e0 l'objectif global d'atteindre un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9. D'autres actes juridiques tels que le r\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil (10) et les directives 2002\/58\/CE (11) et (UE) 2018\/1972 (12) du Parlement europ\u00e9en et du Conseil contribuent \u00e9galement \u00e0 un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 dans le march\u00e9 unique num\u00e9rique.<\/p>\n\n\n\n

(16) Depuis l'adoption de la strat\u00e9gie de cybers\u00e9curit\u00e9 de l'Union europ\u00e9enne en 2013 et la derni\u00e8re r\u00e9vision du mandat de l'ENISA, le contexte politique global a chang\u00e9 de mani\u00e8re significative alors que l'environnement mondial est devenu plus incertain et moins s\u00fbr. Dans ce contexte et dans le cadre du d\u00e9veloppement positif du r\u00f4le de l'ENISA en tant que point de r\u00e9f\u00e9rence pour le conseil et l'expertise, en tant que facilitateur de la coop\u00e9ration et du renforcement des capacit\u00e9s ainsi que dans le cadre de la nouvelle politique de cybers\u00e9curit\u00e9 de l'Union, il est n\u00e9cessaire de revoir le mandat de l'ENISA, d'\u00e9tablir son r\u00f4le dans l'\u00e9cosyst\u00e8me de cybers\u00e9curit\u00e9 modifi\u00e9 et de s'assurer qu'il contribue efficacement \u00e0 la r\u00e9ponse de l'Union aux d\u00e9fis de cybers\u00e9curit\u00e9 \u00e9manant de l'environnement radicalement transform\u00e9 de l'Union europ\u00e9enne et de l'environnement mondial. cybermenaceCybermenace<\/span> d\u00e9signe toute circonstance, tout \u00e9v\u00e9nement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre mani\u00e8re aux r\u00e9seaux et aux syst\u00e8mes d'information, aux utilisateurs de ces syst\u00e8mes et \u00e0 d'autres personnes - D\u00e9finition selon l'article 2, point (8), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span> pour lesquels, comme cela a \u00e9t\u00e9 reconnu lors de l'\u00e9valuation de l'ENISA, le mandat actuel n'est pas suffisant.<\/p>\n\n\n\n

(17) L'ENISA \u00e9tablie par le pr\u00e9sent r\u00e8glement devrait succ\u00e9der \u00e0 l'ENISA \u00e9tablie par le r\u00e8glement (UE) n\u00b0 526\/2013. L'ENISA devrait ex\u00e9cuter les t\u00e2ches qui lui sont confi\u00e9es par le pr\u00e9sent r\u00e8glement et d'autres actes juridiques de l'Union dans le domaine de la cybers\u00e9curit\u00e9, notamment en fournissant des conseils et une expertise et en agissant en tant que centre d'information et de connaissances de l'Union. Elle devrait promouvoir l'\u00e9change de bonnes pratiques entre les \u00c9tats membres et les parties prenantes priv\u00e9es, faire des suggestions \u00e0 la Commission et aux \u00c9tats membres, servir de point de r\u00e9f\u00e9rence pour les initiatives politiques sectorielles de l'Union en mati\u00e8re de cybers\u00e9curit\u00e9 et favoriser la coop\u00e9ration op\u00e9rationnelle, tant entre les \u00c9tats membres qu'entre les \u00c9tats membres et les institutions, organes et organismes de l'Union.<\/p>\n\n\n\n

(18) Dans le cadre de la d\u00e9cision 2004\/97\/CE, Euratom prise d'un commun accord par les repr\u00e9sentants des \u00c9tats membres, r\u00e9unis au niveau des chefs d'\u00c9tat ou de gouvernement (13), les repr\u00e9sentants des \u00c9tats membres ont d\u00e9cid\u00e9 que l'ENISA aurait son si\u00e8ge dans une ville en Gr\u00e8ce \u00e0 d\u00e9terminer par le gouvernement grec. L'\u00c9tat membre d'accueil de l'ENISA doit assurer les meilleures conditions possibles pour le fonctionnement harmonieux et efficace de l'ENISA. Il est imp\u00e9ratif pour l'ex\u00e9cution correcte et efficace de ses t\u00e2ches, pour le recrutement et la r\u00e9tention du personnel et pour am\u00e9liorer l'efficacit\u00e9 des activit\u00e9s de mise en r\u00e9seau que l'ENISA soit bas\u00e9 dans un endroit appropri\u00e9, entre autres en fournissant des connexions de transport appropri\u00e9es et des facilit\u00e9s pour les conjoints et les enfants accompagnant les membres du personnel de l'ENISA. Les dispositions n\u00e9cessaires doivent \u00eatre d\u00e9finies dans un accord entre l'ENISA et l'\u00c9tat membre d'accueil conclu apr\u00e8s avoir obtenu l'approbation du Conseil d'administration de l'ENISA.<\/p>\n\n\n\n

(19) Compte tenu des risques et d\u00e9fis croissants auxquels l'Union est confront\u00e9e en mati\u00e8re de cybers\u00e9curit\u00e9, les ressources financi\u00e8res et humaines allou\u00e9es \u00e0 l'ENISA devraient \u00eatre augment\u00e9es pour refl\u00e9ter son r\u00f4le et ses t\u00e2ches accrus, et sa position critique dans l'\u00e9cosyst\u00e8me des organisations d\u00e9fendant l'\u00e9cosyst\u00e8me num\u00e9rique de l'Union, permettant \u00e0 l'ENISA d'ex\u00e9cuter efficacement les t\u00e2ches qui lui sont confi\u00e9es par le pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(20) L'ENISA devrait d\u00e9velopper et maintenir un haut niveau d'expertise et fonctionner comme un point de r\u00e9f\u00e9rence, \u00e9tablissant la confiance dans le march\u00e9 unique gr\u00e2ce \u00e0 son ind\u00e9pendance, la qualit\u00e9 des conseils qu'elle fournit, la qualit\u00e9 des informations qu'elle diffuse, la transparence de ses proc\u00e9dures, la transparence de ses m\u00e9thodes de fonctionnement, et sa diligence dans l'ex\u00e9cution de ses t\u00e2ches. L'ENISA devrait soutenir activement les efforts nationaux et contribuer de mani\u00e8re proactive aux efforts de l'Union tout en ex\u00e9cutant ses t\u00e2ches en pleine coop\u00e9ration avec les institutions, organes et agences de l'Union et avec les \u00c9tats membres, en \u00e9vitant toute duplication du travail et en promouvant la synergie. De plus, l'ENISA devrait s'appuyer sur les contributions et la coop\u00e9ration avec le secteur priv\u00e9 ainsi que d'autres parties prenantes concern\u00e9es. Un ensemble de t\u00e2ches devrait \u00e9tablir comment l'ENISA doit accomplir ses objectifs tout en permettant une flexibilit\u00e9 dans ses op\u00e9rations.<\/p>\n\n\n\n

(21) Afin d'\u00eatre en mesure de fournir un soutien ad\u00e9quat \u00e0 la coop\u00e9ration op\u00e9rationnelle entre les \u00c9tats membres, l'ENISA devrait renforcer ses capacit\u00e9s et comp\u00e9tences techniques et humaines. L'ENISA devrait augmenter son savoir-faire et ses capacit\u00e9s. L'ENISA et les \u00c9tats membres, sur une base volontaire, pourraient d\u00e9velopper des programmes de d\u00e9tachement d'experts nationaux aupr\u00e8s de l'ENISA, cr\u00e9er des pools d'experts et des \u00e9changes de personnel.<\/p>\n\n\n\n

(22) L'ENISA devrait assister la Commission par des conseils, des avis et des analyses concernant toutes les questions de l'Union li\u00e9es au d\u00e9veloppement, \u00e0 la mise \u00e0 jour et \u00e0 la r\u00e9vision des politiques et des lois dans le domaine de la cybers\u00e9curit\u00e9 et de leurs aspects sectoriels, afin d'am\u00e9liorer la pertinence des politiques et des lois de l'Union ayant une dimension de cybers\u00e9curit\u00e9 et de permettre une coh\u00e9rence dans la mise en \u0153uvre de ces politiques et de ces lois au niveau national. L'ENISA devrait servir de point de r\u00e9f\u00e9rence en mati\u00e8re de conseil et d'expertise pour les initiatives politiques et l\u00e9gislatives sectorielles de l'Union lorsque des questions li\u00e9es \u00e0 la cybers\u00e9curit\u00e9 sont en jeu. L'ENISA devrait informer r\u00e9guli\u00e8rement le Parlement europ\u00e9en de ses activit\u00e9s.<\/p>\n\n\n\n

(23) Le noyau public de l'internet ouvert, \u00e0 savoir ses principaux protocoles et son infrastructure, qui constituent un bien public mondial, assure la fonctionnalit\u00e9 essentielle de l'internet dans son ensemble et sous-tend son fonctionnement normal. L'ENISA doit soutenir la s\u00e9curit\u00e9 du noyau public de l'internet ouvert et la stabilit\u00e9 de son fonctionnement, y compris, mais sans s'y limiter, les protocoles cl\u00e9s (en particulier DNS, BGP, et IPv6), le fonctionnement du syst\u00e8me de noms de domaine (tel que le fonctionnement de tous les domaines de premier niveau), et le fonctionnement de la zone racine.<\/p>\n\n\n\n

(24) La t\u00e2che sous-jacente de l'ENISA est de promouvoir la mise en \u0153uvre coh\u00e9rente du cadre juridique pertinent, en particulier la mise en \u0153uvre effective de la directive (UE) 2016\/1148 et d'autres instruments juridiques pertinents contenant des aspects de cybers\u00e9curit\u00e9, ce qui est essentiel pour accro\u00eetre la cyber-r\u00e9silience. Compte tenu de l'\u00e9volution rapide du paysage des cybermenaces, il est clair que les \u00c9tats membres doivent \u00eatre soutenus par une approche plus globale et transversale du renforcement de la cyberr\u00e9silience.<\/p>\n\n\n\n

(25) L'ENISA devrait assister les \u00c9tats membres et les institutions, organes et organismes de l'Union dans leurs efforts visant \u00e0 mettre en place et \u00e0 renforcer les capacit\u00e9s et l'\u00e9tat de pr\u00e9paration pour pr\u00e9venir, d\u00e9tecter et r\u00e9pondre aux menaces et incidents cybern\u00e9tiques, et en ce qui concerne le programme de travail de l'ENISA. s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'informationS\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information<\/span> La capacit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information \u00e0 r\u00e9sister, \u00e0 un niveau de confiance donn\u00e9, \u00e0 tout \u00e9v\u00e9nement susceptible de compromettre la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par ces r\u00e9seaux et syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>. En particulier, l'ENISA devrait soutenir le d\u00e9veloppement et l'am\u00e9lioration des \u00e9quipes de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (\"CSIRT\") nationales et de l'Union pr\u00e9vues par la directive (UE) 2016\/1148, en vue d'atteindre un niveau commun \u00e9lev\u00e9 de leur maturit\u00e9 dans l'Union. Les activit\u00e9s men\u00e9es par l'ENISA concernant les capacit\u00e9s op\u00e9rationnelles des \u00c9tats membres devraient soutenir activement les actions prises par les \u00c9tats membres pour se conformer \u00e0 leurs obligations au titre de la directive (UE) 2016\/1148 et ne devraient donc pas les remplacer.<\/p>\n\n\n\n

(26) L'ENISA devrait \u00e9galement aider au d\u00e9veloppement et \u00e0 la mise \u00e0 jour des strat\u00e9gies sur la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information au niveau de l'Union et, sur demande, au niveau des \u00c9tats membres, en particulier sur la cybers\u00e9curit\u00e9, et devrait promouvoir la diffusion de ces strat\u00e9gies et suivre les progr\u00e8s de leur mise en \u0153uvre. L'ENISA devrait \u00e9galement contribuer \u00e0 couvrir les besoins en formation et en mat\u00e9riel de formation, y compris les besoins des organismes publics, et le cas \u00e9ch\u00e9ant, dans une large mesure, \"former les formateurs\", en s'appuyant sur le cadre de comp\u00e9tences num\u00e9riques pour les citoyens en vue d'aider les \u00c9tats membres et les institutions, organes et agences de l'Union \u00e0 d\u00e9velopper leurs propres capacit\u00e9s de formation.<\/p>\n\n\n\n

(27) L'ENISA devrait soutenir les \u00c9tats membres dans le domaine de la sensibilisation et de l'\u00e9ducation \u00e0 la cybers\u00e9curit\u00e9 en facilitant une coordination plus \u00e9troite et l'\u00e9change de bonnes pratiques entre les \u00c9tats membres. Ce soutien pourrait consister en la mise en place d'un r\u00e9seau de points de contact nationaux pour l'\u00e9ducation et le d\u00e9veloppement d'une plateforme de formation \u00e0 la cybers\u00e9curit\u00e9. Le r\u00e9seau de points de contact nationaux pour l'\u00e9ducation pourrait fonctionner au sein du r\u00e9seau des officiers de liaison nationaux et constituer un point de d\u00e9part pour une future coordination au sein des \u00c9tats membres.<\/p>\n\n\n\n

(28) L'ENISA devrait assister le groupe de coop\u00e9ration cr\u00e9\u00e9 par la directive (UE) 2016\/1148 dans l'ex\u00e9cution de ses t\u00e2ches, notamment en fournissant une expertise, des conseils et en facilitant l'\u00e9change de bonnes pratiques, entre autres, en ce qui concerne l'identification des op\u00e9rateurs de services essentiels par les \u00c9tats membres, ainsi qu'en ce qui concerne les d\u00e9pendances transfrontali\u00e8res, en mati\u00e8re de risques et d'incidents.<\/p>\n\n\n\n

(29) En vue de stimuler la coop\u00e9ration entre les secteurs public et priv\u00e9 et au sein du secteur priv\u00e9, notamment pour soutenir la protection des infrastructures critiques, l'ENISA devrait soutenir le partage d'informations au sein des secteurs et entre eux, en particulier les secteurs \u00e9num\u00e9r\u00e9s \u00e0 l'annexe II de la directive (UE) 2016\/1148, en fournissant des bonnes pratiques et des orientations sur les outils disponibles et sur la proc\u00e9dure, ainsi qu'en fournissant des orientations sur la mani\u00e8re de traiter les questions r\u00e9glementaires li\u00e9es au partage d'informations, par exemple en facilitant la mise en place de centres sectoriels de partage et d'analyse d'informations.<\/p>\n\n\n\n

(30) Alors que l'impact n\u00e9gatif potentiel des vuln\u00e9rabilit\u00e9s des produits, services et processus TIC ne cesse d'augmenter, la d\u00e9couverte de ces vuln\u00e9rabilit\u00e9s et la mani\u00e8re d'y rem\u00e9dier jouent un r\u00f4le important dans la r\u00e9duction du risque global de cybers\u00e9curit\u00e9. Il a \u00e9t\u00e9 prouv\u00e9 que la coop\u00e9ration entre les organisations, les fabricants ou les fournisseurs de produits, de services et de processus TIC vuln\u00e9rables et les membres de la communaut\u00e9 des chercheurs en cybers\u00e9curit\u00e9 et les gouvernements qui d\u00e9couvrent des vuln\u00e9rabilit\u00e9s augmente consid\u00e9rablement le taux de d\u00e9couverte et de correction des vuln\u00e9rabilit\u00e9s dans les produits, les services et les processus TIC. La divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s est un processus structur\u00e9 de coop\u00e9ration dans lequel les vuln\u00e9rabilit\u00e9s sont signal\u00e9es au propri\u00e9taire du syst\u00e8me d'information, ce qui permet \u00e0 l'organisation de diagnostiquer la vuln\u00e9rabilit\u00e9 et d'y rem\u00e9dier avant que des informations d\u00e9taill\u00e9es sur la vuln\u00e9rabilit\u00e9 ne soient divulgu\u00e9es \u00e0 des tiers ou au public. Le processus pr\u00e9voit \u00e9galement une coordination entre l'auteur de la d\u00e9couverte et l'organisation en ce qui concerne la publication de ces vuln\u00e9rabilit\u00e9s. Des politiques coordonn\u00e9es de divulgation des vuln\u00e9rabilit\u00e9s pourraient jouer un r\u00f4le important dans les efforts d\u00e9ploy\u00e9s par les \u00c9tats membres pour renforcer la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(31) L'ENISA devrait agr\u00e9ger et analyser les rapports nationaux partag\u00e9s volontairement par les CSIRT et l'\u00e9quipe interinstitutionnelle de r\u00e9ponse aux urgences informatiques pour les institutions, organes et agences de l'Union \u00e9tablie par l'arrangement entre le Parlement europ\u00e9en, le Conseil europ\u00e9en, le Conseil de l'Union europ\u00e9enne, la Commission europ\u00e9enne, la Cour de justice de l'Union europ\u00e9enne, la Banque centrale europ\u00e9enne, la Cour des comptes europ\u00e9enne, le Service europ\u00e9en pour l'action ext\u00e9rieure, le Comit\u00e9 \u00e9conomique et social europ\u00e9en, le Comit\u00e9 europ\u00e9en des r\u00e9gions et la Banque europ\u00e9enne d'investissement sur l'organisation et le fonctionnement d'une \u00e9quipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union (CERT-UE) (14) afin de contribuer \u00e0 la mise en place de proc\u00e9dures, d'un langage et d'une terminologie communs pour l'\u00e9change d'informations. Dans ce contexte, l'ENISA devrait impliquer le secteur priv\u00e9 dans le cadre de la directive (UE) 2016\/1148 qui \u00e9tablit les bases de l'\u00e9change volontaire d'informations techniques au niveau op\u00e9rationnel, dans le r\u00e9seau des \u00e9quipes d'intervention en cas d'incident de s\u00e9curit\u00e9 informatique (\"r\u00e9seau CSIRT\") cr\u00e9\u00e9 par cette directive.<\/p>\n\n\n\n

(32) L'ENISA devrait contribuer aux r\u00e9ponses apport\u00e9es au niveau de l'Union en cas d'incidents et de crises transfronti\u00e8res \u00e0 grande \u00e9chelle li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Cette t\u00e2che devrait \u00eatre ex\u00e9cut\u00e9e conform\u00e9ment au mandat de l'ENISA en vertu du pr\u00e9sent r\u00e8glement et \u00e0 une approche \u00e0 convenir par les \u00c9tats membres dans le contexte de la recommandation (UE) 2017\/1584 de la Commission (15) et des conclusions du Conseil du 26 juin 2018 sur la r\u00e9ponse coordonn\u00e9e de l'UE aux incidents et crises de cybers\u00e9curit\u00e9 de grande ampleur. Cette t\u00e2che pourrait comprendre la collecte d'informations pertinentes et le r\u00f4le de facilitateur entre le r\u00e9seau des CSIRT et la communaut\u00e9 technique, ainsi qu'entre les d\u00e9cideurs responsables de la gestion des crises. En outre, l'ENISA devrait soutenir la coop\u00e9ration op\u00e9rationnelle entre les \u00c9tats membres, \u00e0 la demande d'un ou plusieurs \u00c9tats membres, dans le traitement des incidents d'un point de vue technique, en facilitant les \u00e9changes pertinents de solutions techniques entre les \u00c9tats membres, et en fournissant une contribution aux communications publiques. L'ENISA devrait soutenir la coop\u00e9ration op\u00e9rationnelle en testant les arrangements pour une telle coop\u00e9ration \u00e0 travers des exercices r\u00e9guliers de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(33) En soutenant la coop\u00e9ration op\u00e9rationnelle, l'ENISA devrait utiliser l'expertise technique et op\u00e9rationnelle disponible du CERT-UE par le biais d'une coop\u00e9ration structur\u00e9e. Cette coop\u00e9ration structur\u00e9e pourrait s'appuyer sur l'expertise de l'ENISA. Le cas \u00e9ch\u00e9ant, des accords sp\u00e9cifiques entre les deux entit\u00e9s devraient \u00eatre \u00e9tablis pour d\u00e9finir la mise en \u0153uvre pratique d'une telle coop\u00e9ration et pour \u00e9viter la duplication des activit\u00e9s.<\/p>\n\n\n\n

(34) Dans l'accomplissement de sa t\u00e2che de soutien \u00e0 la coop\u00e9ration op\u00e9rationnelle au sein du r\u00e9seau des CSIRTs, l'ENISA devrait \u00eatre en mesure de fournir un soutien aux \u00c9tats membres \u00e0 leur demande, par exemple en fournissant des conseils sur la fa\u00e7on d'am\u00e9liorer leurs capacit\u00e9s \u00e0 pr\u00e9venir, d\u00e9tecter et r\u00e9pondre aux incidents, en facilitant le traitement technique des incidents ayant un impact significatif ou substantiel ou en s'assurant que les cybermenaces et les incidents sont analys\u00e9s. L'ENISA devrait faciliter le traitement technique des incidents ayant un impact significatif ou substantiel, notamment en soutenant le partage volontaire de solutions techniques entre les \u00c9tats membres ou en produisant des informations techniques combin\u00e9es, telles que des solutions techniques volontairement partag\u00e9es par les \u00c9tats membres. La recommandation (UE) 2017\/1584 recommande aux \u00c9tats membres de coop\u00e9rer de bonne foi et de partager entre eux et avec l'ENISA des informations sur les incidents et les crises \u00e0 grande \u00e9chelle li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 sans retard excessif. Ces informations aideraient l'ENISA \u00e0 remplir sa mission de soutien \u00e0 la coop\u00e9ration op\u00e9rationnelle.<\/p>\n\n\n\n

(35) Dans le cadre de la coop\u00e9ration r\u00e9guli\u00e8re au niveau technique pour soutenir la connaissance de la situation de l'Union, l'ENISA, en \u00e9troite collaboration avec les \u00c9tats membres, devrait pr\u00e9parer r\u00e9guli\u00e8rement un rapport de situation technique approfondi de l'UE sur la cybers\u00e9curit\u00e9 concernant les incidents et les cybermenaces, sur la base d'informations accessibles au public, de sa propre analyse et des rapports qui lui sont communiqu\u00e9s par les CSIRT des \u00c9tats membres ou les points de contact uniques nationaux sur la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information (\"points de contact uniques\") pr\u00e9vus par la directive (UE) 2016\/1148, tous deux sur une base volontaire, le Centre europ\u00e9en de lutte contre la cybercriminalit\u00e9 (EC3) d'Europol, le CERT-UE et, le cas \u00e9ch\u00e9ant, le Centre de renseignement et de situation de l'Union europ\u00e9enne (EU INTCEN) du Service europ\u00e9en pour l'action ext\u00e9rieure. Ce rapport devrait \u00eatre mis \u00e0 la disposition du Conseil, de la Commission, du Haut repr\u00e9sentant de l'Union europ\u00e9enne et de la Commission europ\u00e9enne. Repr\u00e9sentantRepr\u00e9sentant<\/span> Une personne physique ou morale \u00e9tablie dans l'Union explicitement d\u00e9sign\u00e9e pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entit\u00e9 fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de donn\u00e9es, d'un prestataire de r\u00e9seaux de diffusion de contenu, d'un prestataire de services g\u00e9r\u00e9s, d'un prestataire de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, ou d'un fournisseur d'une place de march\u00e9 en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de r\u00e9seautage social qui n'est pas \u00e9tabli dans l'Union et qui peut \u00eatre contact\u00e9 par une autorit\u00e9 comp\u00e9tente ou un CSIRT \u00e0 la place de l'entit\u00e9 elle-m\u00eame en ce qui concerne les obligations qui incombent \u00e0 cette entit\u00e9 en vertu de la pr\u00e9sente directive.\r\r- D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> de l'Union pour les affaires \u00e9trang\u00e8res et la politique de s\u00e9curit\u00e9 et le r\u00e9seau des CSIRT.<\/p>\n\n\n\n

(36) Le soutien de l'ENISA pour les enqu\u00eates techniques ex-post des incidents ayant un impact significatif ou substantiel entrepris \u00e0 la demande des \u00c9tats membres concern\u00e9s doit se concentrer sur la pr\u00e9vention de futurs incidents. Les \u00c9tats membres concern\u00e9s doivent fournir les informations et l'assistance n\u00e9cessaires pour permettre \u00e0 l'ENISA de soutenir efficacement l'enqu\u00eate technique ex-post.<\/p>\n\n\n\n

(37) Les \u00c9tats membres peuvent inviter les entreprises concern\u00e9es par l'incident \u00e0 coop\u00e9rer en fournissant les informations et l'assistance n\u00e9cessaires \u00e0 l'ENISA, sans pr\u00e9judice de leur droit \u00e0 prot\u00e9ger les informations commercialement sensibles et les informations relatives \u00e0 la s\u00e9curit\u00e9 publique.<\/p>\n\n\n\n

(38) Pour mieux comprendre les d\u00e9fis dans le domaine de la cybers\u00e9curit\u00e9, et en vue de fournir des conseils strat\u00e9giques \u00e0 long terme aux \u00c9tats membres et aux institutions, organes et organismes de l'Union, l'ENISA doit analyser les risques actuels et \u00e9mergents en mati\u00e8re de cybers\u00e9curit\u00e9. \u00c0 cette fin, l'ENISA devrait, en coop\u00e9ration avec les \u00c9tats membres et, le cas \u00e9ch\u00e9ant, avec des organismes statistiques et d'autres organismes, collecter des informations pertinentes accessibles au public ou partag\u00e9es volontairement, effectuer des analyses des technologies \u00e9mergentes et fournir des \u00e9valuations sp\u00e9cifiques sur l'impact soci\u00e9tal, juridique, \u00e9conomique et r\u00e9glementaire attendu des innovations technologiques sur la s\u00e9curit\u00e9 des r\u00e9seaux et de l'information, en particulier la cybers\u00e9curit\u00e9. L'ENISA devrait en outre aider les \u00c9tats membres et les institutions, organes et organismes de l'Union \u00e0 identifier les risques \u00e9mergents en mati\u00e8re de cybers\u00e9curit\u00e9 et \u00e0 pr\u00e9venir les incidents, en effectuant des analyses des cybermenaces, des vuln\u00e9rabilit\u00e9s et des incidents.<\/p>\n\n\n\n

(39) Afin d'accro\u00eetre la r\u00e9silience de l'Union, l'ENISA devrait d\u00e9velopper une expertise dans le domaine de la cybers\u00e9curit\u00e9 des infrastructures, en particulier pour soutenir les secteurs \u00e9num\u00e9r\u00e9s \u00e0 l'annexe II de la directive (UE) 2016\/1148 et ceux utilis\u00e9s par les fournisseurs des services num\u00e9riques \u00e9num\u00e9r\u00e9s \u00e0 l'annexe III de ladite directive, en fournissant des conseils, en publiant des lignes directrices et en \u00e9changeant les meilleures pratiques. En vue d'assurer un acc\u00e8s plus facile \u00e0 des informations mieux structur\u00e9es sur les risques de cybers\u00e9curit\u00e9 et les rem\u00e8des possibles, l'ENISA devrait d\u00e9velopper et maintenir le \"hub d'information\" de l'Union, un portail \u00e0 guichet unique fournissant au public des informations sur la cybers\u00e9curit\u00e9 provenant des institutions, organes, bureaux et agences de l'Union et des \u00c9tats membres. Faciliter l'acc\u00e8s \u00e0 des informations mieux structur\u00e9es sur les risques de cybers\u00e9curit\u00e9 et les rem\u00e8des possibles pourrait \u00e9galement aider les \u00c9tats membres \u00e0 renforcer leurs capacit\u00e9s et \u00e0 aligner leurs pratiques, augmentant ainsi leur r\u00e9silience globale aux cyberattaques.<\/p>\n\n\n\n

(40) L'ENISA devrait contribuer \u00e0 sensibiliser le public aux risques de cybers\u00e9curit\u00e9, y compris par une campagne de sensibilisation \u00e0 l'\u00e9chelle de l'UE, en promouvant l'\u00e9ducation et en fournissant des conseils sur les bonnes pratiques pour les utilisateurs individuels destin\u00e9s aux citoyens, aux organisations et aux entreprises. L'ENISA devrait \u00e9galement contribuer \u00e0 la promotion des meilleures pratiques et solutions, y compris la cyberhygi\u00e8ne et la cyberculture au niveau des citoyens, des organisations et des entreprises, en collectant et en analysant les informations accessibles au public concernant les incidents significatifs, et en compilant et en publiant des rapports et des conseils pour les citoyens, les organisations et les entreprises, afin d'am\u00e9liorer leur niveau g\u00e9n\u00e9ral de pr\u00e9paration et de r\u00e9silience. L'ENISA devrait \u00e9galement s'efforcer de fournir aux consommateurs des informations pertinentes sur les syst\u00e8mes de certification applicables, par exemple en fournissant des lignes directrices et des recommandations. L'ENISA devrait en outre organiser, conform\u00e9ment au plan d'action pour l'\u00e9ducation num\u00e9rique \u00e9tabli dans la communication de la Commission du 17 janvier 2018 et en coop\u00e9ration avec les \u00c9tats membres et les institutions, organes et organismes de l'Union, des campagnes r\u00e9guli\u00e8res de sensibilisation et d'\u00e9ducation du public destin\u00e9es aux utilisateurs finaux, afin de promouvoir un comportement en ligne plus s\u00fbr de la part des individus et la culture num\u00e9rique, de sensibiliser aux cybermenaces potentielles, y compris les activit\u00e9s criminelles en ligne telles que les attaques par hame\u00e7onnage, les r\u00e9seaux de zombies, la fraude financi\u00e8re et bancaire, les incidents de fraude de donn\u00e9es, et de promouvoir l'authentification multifactorielle de base, les correctifs, le chiffrement, l'anonymisation et les conseils en mati\u00e8re de protection des donn\u00e9es.<\/p>\n\n\n\n

(41) L'ENISA devrait jouer un r\u00f4le central dans l'acc\u00e9l\u00e9ration de la sensibilisation des utilisateurs finaux \u00e0 la s\u00e9curit\u00e9 des appareils et \u00e0 l'utilisation s\u00e9curis\u00e9e des services, et devrait promouvoir la s\u00e9curit\u00e9 d\u00e8s la conception et la protection de la vie priv\u00e9e d\u00e8s la conception au niveau de l'Union. Dans la poursuite de cet objectif, l'ENISA devrait utiliser les meilleures pratiques et l'exp\u00e9rience disponibles, en particulier les meilleures pratiques et l'exp\u00e9rience des institutions universitaires et des chercheurs en s\u00e9curit\u00e9 informatique.<\/p>\n\n\n\n

(42) Afin de soutenir les entreprises op\u00e9rant dans le secteur de la cybers\u00e9curit\u00e9, ainsi que les utilisateurs de solutions de cybers\u00e9curit\u00e9, l'ENISA devrait d\u00e9velopper et maintenir un \"observatoire du march\u00e9\" en effectuant des analyses r\u00e9guli\u00e8res et en diffusant des informations sur les principales tendances du march\u00e9 de la cybers\u00e9curit\u00e9, tant du c\u00f4t\u00e9 de la demande que de l'offre.<\/p>\n\n\n\n

(43) L'ENISA devrait contribuer aux efforts de l'Union pour coop\u00e9rer avec les organisations internationales ainsi que dans les cadres de coop\u00e9ration internationale pertinents dans le domaine de la cybers\u00e9curit\u00e9. En particulier, l'ENISA devrait contribuer, le cas \u00e9ch\u00e9ant, \u00e0 la coop\u00e9ration avec des organisations telles que l'OCDE, l'OSCE et l'OTAN. Cette coop\u00e9ration pourrait inclure des exercices conjoints de cybers\u00e9curit\u00e9 et une coordination conjointe de la r\u00e9ponse aux incidents. Ces activit\u00e9s doivent \u00eatre men\u00e9es dans le plein respect des principes d'inclusion, de r\u00e9ciprocit\u00e9 et d'autonomie d\u00e9cisionnelle de l'Union, sans pr\u00e9judice du caract\u00e8re sp\u00e9cifique de la politique de s\u00e9curit\u00e9 et de d\u00e9fense de tout \u00c9tat membre.<\/p>\n\n\n\n

(44) Afin de s'assurer qu'elle atteint pleinement ses objectifs, l'ENISA doit se concerter avec les autorit\u00e9s de contr\u00f4le de l'Union concern\u00e9es et avec d'autres autorit\u00e9s comp\u00e9tentes de l'Union, les institutions, organes et organismes de l'Union, y compris le CERT-UE, l'EC3, l'Agence europ\u00e9enne de d\u00e9fense (AED), l'Agence europ\u00e9enne des syst\u00e8mes mondiaux de navigation par satellite (Agence GNSS europ\u00e9enne), l'Organe des r\u00e9gulateurs europ\u00e9ens des communications \u00e9lectroniques (ORECE), l'Agence europ\u00e9enne pour la gestion op\u00e9rationnelle des syst\u00e8mes d'information \u00e0 grande \u00e9chelle dans le domaine de la libert\u00e9, de la s\u00e9curit\u00e9 et de la justice (eu-LISA), la Banque centrale europ\u00e9enne (BCE), l'Autorit\u00e9 bancaire europ\u00e9enne (ABE), le Conseil europ\u00e9en de la protection des donn\u00e9es, l'Agence de coop\u00e9ration des r\u00e9gulateurs de l'\u00e9nergie (ACER), l'Agence europ\u00e9enne de la s\u00e9curit\u00e9 a\u00e9rienne (AESA) et toute autre agence de l'Union impliqu\u00e9e dans la cybers\u00e9curit\u00e9. L'ENISA devrait \u00e9galement assurer la liaison avec les autorit\u00e9s charg\u00e9es de la protection des donn\u00e9es afin d'\u00e9changer le savoir-faire et les meilleures pratiques, et devrait fournir des conseils sur les questions de cybers\u00e9curit\u00e9 susceptibles d'avoir un impact sur leur travail. Les repr\u00e9sentants des autorit\u00e9s nationales et de l'Union charg\u00e9es de l'application de la loi et de la protection des donn\u00e9es devraient pouvoir \u00eatre repr\u00e9sent\u00e9s dans le groupe consultatif de l'ENISA. En liaison avec les autorit\u00e9s charg\u00e9es de l'application de la loi concernant les questions de s\u00e9curit\u00e9 des r\u00e9seaux et de l'information qui pourraient avoir un impact sur leur travail, l'ENISA devrait respecter les canaux d'information existants et les r\u00e9seaux \u00e9tablis.<\/p>\n\n\n\n

(45) Des partenariats pourraient \u00eatre \u00e9tablis avec des institutions universitaires qui m\u00e8nent des initiatives de recherche dans des domaines pertinents, et il devrait y avoir des canaux appropri\u00e9s pour la contribution des organisations de consommateurs et d'autres organisations, qui devraient \u00eatre prises en consid\u00e9ration.<\/p>\n\n\n\n

(46) L'ENISA, dans son r\u00f4le de secr\u00e9tariat du r\u00e9seau des CSIRT, devrait soutenir les CSIRT des \u00c9tats membres et le CERT-UE dans la coop\u00e9ration op\u00e9rationnelle relative aux t\u00e2ches pertinentes du r\u00e9seau des CSIRT, comme indiqu\u00e9 dans la directive (UE) 2016\/1148. En outre, l'ENISA devrait promouvoir et soutenir la coop\u00e9ration entre les CSIRT comp\u00e9tents en cas d'incidents, d'attaques ou de perturbations de r\u00e9seaux ou d'infrastructures g\u00e9r\u00e9s ou prot\u00e9g\u00e9s par les CSIRT et impliquant ou pouvant impliquer au moins deux CSIRT, tout en tenant d\u00fbment compte des \u00e9l\u00e9ments suivants StandardStandard<\/span> Une sp\u00e9cification technique, adopt\u00e9e par un organisme de normalisation reconnu, pour une application r\u00e9p\u00e9t\u00e9e ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes :\r(a) \"norme internationale\", une norme adopt\u00e9e par un organisme international de normalisation ; b) \"norme europ\u00e9enne\", une norme adopt\u00e9e par un organisme europ\u00e9en de normalisation ; c) \"norme harmonis\u00e9e\", une norme europ\u00e9enne adopt\u00e9e sur la base d'une demande d'application de la l\u00e9gislation d'harmonisation de l'Union formul\u00e9e par la Commission ; d) \"norme nationale\", une norme adopt\u00e9e par un organisme national de normalisation - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) n\u00b0 1025\/2012 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span> Proc\u00e9dures op\u00e9rationnelles du r\u00e9seau des CSIRT.<\/p>\n\n\n\n

(47) Afin d'am\u00e9liorer la pr\u00e9paration de l'Union \u00e0 la r\u00e9ponse aux incidents, l'ENISA devrait organiser r\u00e9guli\u00e8rement des exercices de cybers\u00e9curit\u00e9 au niveau de l'Union et, \u00e0 leur demande, soutenir les \u00c9tats membres et les institutions, organes et organismes de l'Union dans l'organisation de tels exercices. Des exercices complets \u00e0 grande \u00e9chelle comprenant des \u00e9l\u00e9ments techniques, op\u00e9rationnels ou strat\u00e9giques devraient \u00eatre organis\u00e9s tous les deux ans. En outre, l'ENISA devrait \u00eatre en mesure d'organiser r\u00e9guli\u00e8rement des exercices moins complets dans le m\u00eame but d'accro\u00eetre la pr\u00e9paration de l'Union \u00e0 la r\u00e9ponse aux incidents.<\/p>\n\n\n\n

(48) L'ENISA devrait d\u00e9velopper et maintenir son expertise en mati\u00e8re de certification de la cybers\u00e9curit\u00e9 en vue de soutenir la politique de l'Union dans ce domaine. L'ENISA devrait s'appuyer sur les meilleures pratiques existantes et promouvoir l'adoption de la certification en mati\u00e8re de cybers\u00e9curit\u00e9 au sein de l'Union, y compris en contribuant \u00e0 l'\u00e9tablissement et au maintien d'un cadre de certification en mati\u00e8re de cybers\u00e9curit\u00e9 au niveau de l'Union (cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9) en vue d'accro\u00eetre la transparence de l'assurance en mati\u00e8re de cybers\u00e9curit\u00e9 des produits, services et processus TIC, renfor\u00e7ant ainsi la confiance dans le march\u00e9 int\u00e9rieur num\u00e9rique et sa comp\u00e9titivit\u00e9.<\/p>\n\n\n\n

(49) Des politiques de cybers\u00e9curit\u00e9 efficaces devraient reposer sur des m\u00e9thodes d'\u00e9valuation des risques bien d\u00e9velopp\u00e9es, tant dans le secteur public que dans le secteur priv\u00e9. Les m\u00e9thodes d'\u00e9valuation des risques sont utilis\u00e9es \u00e0 diff\u00e9rents niveaux, sans qu'il y ait de pratique commune quant \u00e0 la mani\u00e8re de les appliquer efficacement. La promotion et le d\u00e9veloppement de bonnes pratiques pour l'\u00e9valuation des risques et pour des solutions interop\u00e9rables de gestion des risques dans les organisations des secteurs public et priv\u00e9 augmenteront le niveau de cybers\u00e9curit\u00e9 dans l'Union. \u00c0 cette fin, l'ENISA devrait soutenir la coop\u00e9ration entre les parties prenantes au niveau de l'Union et faciliter leurs efforts relatifs \u00e0 l'\u00e9tablissement et \u00e0 l'adoption de normes europ\u00e9ennes et internationales pour la gestion des risques et pour la s\u00e9curit\u00e9 mesurable des produits \u00e9lectroniques, des syst\u00e8mes, des r\u00e9seaux et des services qui, avec les logiciels, constituent le r\u00e9seau et les syst\u00e8mes d'information.<\/p>\n\n\n\n

(50) L'ENISA devrait encourager les \u00c9tats membres, les fabricants ou les fournisseurs de produits TIC, de services TIC ou de processus TIC \u00e0 relever leurs normes g\u00e9n\u00e9rales de s\u00e9curit\u00e9 afin que tous les utilisateurs de l'internet puissent prendre les mesures n\u00e9cessaires pour assurer leur propre cybers\u00e9curit\u00e9, et devrait offrir des incitations \u00e0 cet effet. En particulier, les fabricants et les fournisseurs de produits, de services ou de processus TIC devraient fournir toutes les mises \u00e0 jour n\u00e9cessaires et rappeler, retirer ou recycler les produits, services ou processus TIC qui ne r\u00e9pondent pas aux normes de cybers\u00e9curit\u00e9, tandis que les importateurs et les distributeurs devraient s'assurer que les produits, services et processus TIC qu'ils mettent sur le march\u00e9 de l'Union sont conformes aux exigences applicables et ne pr\u00e9sentent pas de risque pour les consommateurs de l'Union.<\/p>\n\n\n\n

(51) En coop\u00e9ration avec les autorit\u00e9s comp\u00e9tentes, l'ENISA devrait \u00eatre en mesure de diffuser des informations concernant le niveau de cybers\u00e9curit\u00e9 des produits, services et processus TIC offerts sur le march\u00e9 int\u00e9rieur, et devrait \u00e9mettre des avertissements ciblant les fabricants ou fournisseurs de produits, services ou processus TIC et leur demandant d'am\u00e9liorer la s\u00e9curit\u00e9 de leurs produits, services et processus TIC, y compris la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(52) L'ENISA devrait tenir pleinement compte des activit\u00e9s de recherche, de d\u00e9veloppement et d'\u00e9valuation technologique en cours, en particulier des activit\u00e9s men\u00e9es par les diff\u00e9rentes initiatives de recherche de l'Union pour conseiller les institutions, organes et agences de l'Union et, le cas \u00e9ch\u00e9ant, les \u00c9tats membres \u00e0 leur demande, sur les besoins et les priorit\u00e9s en mati\u00e8re de recherche dans le domaine de la cybers\u00e9curit\u00e9. Afin d'identifier les besoins et priorit\u00e9s de recherche, l'ENISA devrait \u00e9galement consulter les groupes d'utilisateurs concern\u00e9s. Plus sp\u00e9cifiquement, une coop\u00e9ration avec le Conseil europ\u00e9en de la recherche, l'Institut europ\u00e9en pour l'innovation et la technologie et l'Institut d'\u00e9tudes de s\u00e9curit\u00e9 de l'Union europ\u00e9enne pourrait \u00eatre mise en place.<\/p>\n\n\n\n

(53) L'ENISA devrait consulter r\u00e9guli\u00e8rement les organismes de normalisation, en particulier les organismes de normalisation europ\u00e9ens, lors de la pr\u00e9paration des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(54) Les cybermenaces constituent un probl\u00e8me mondial. Il est n\u00e9cessaire de renforcer la coop\u00e9ration internationale pour am\u00e9liorer les normes de cybers\u00e9curit\u00e9, y compris la n\u00e9cessit\u00e9 de d\u00e9finir des normes communes de comportement, d'adopter des codes de conduite, d'utiliser des normes internationales et de partager les informations, de promouvoir une collaboration internationale plus rapide en r\u00e9ponse aux probl\u00e8mes de s\u00e9curit\u00e9 des r\u00e9seaux et de l'information et de promouvoir une approche mondiale commune de ces probl\u00e8mes. \u00c0 cette fin, l'ENISA devrait soutenir la participation et la coop\u00e9ration de l'Union avec les pays tiers et les organisations internationales en fournissant l'expertise et l'analyse n\u00e9cessaires aux institutions, organes, bureaux et agences de l'Union concern\u00e9s, le cas \u00e9ch\u00e9ant.<\/p>\n\n\n\n

(55) L'ENISA doit pouvoir r\u00e9pondre aux demandes ad hoc de conseil et d'assistance des \u00c9tats membres et des institutions, organes, bureaux et agences de l'Union sur les questions relevant du mandat de l'ENISA.<\/p>\n\n\n\n

(56) Il est raisonnable et recommand\u00e9 de mettre en \u0153uvre certains principes concernant la gouvernance de l'ENISA afin de se conformer \u00e0 la D\u00e9claration commune et \u00e0 l'Approche commune approuv\u00e9es en juillet 2012 par le Groupe de travail interinstitutionnel sur les agences d\u00e9centralis\u00e9es de l'UE, dont le but est de rationaliser les activit\u00e9s des agences d\u00e9centralis\u00e9es et d'am\u00e9liorer leur performance. Les recommandations de la D\u00e9claration conjointe et de l'Approche commune devraient \u00e9galement \u00eatre refl\u00e9t\u00e9es, le cas \u00e9ch\u00e9ant, dans les programmes de travail de l'ENISA, les \u00e9valuations de l'ENISA, et les rapports et pratiques administratives de l'ENISA.<\/p>\n\n\n\n

(57) Le Conseil d'administration, compos\u00e9 des repr\u00e9sentants des \u00c9tats membres et de la Commission, doit \u00e9tablir la direction g\u00e9n\u00e9rale des op\u00e9rations de l'ENISA et s'assurer qu'il ex\u00e9cute ses t\u00e2ches conform\u00e9ment \u00e0 ce r\u00e8glement. Le Conseil d'Administration doit \u00eatre dot\u00e9 des pouvoirs n\u00e9cessaires pour \u00e9tablir le budget, v\u00e9rifier l'ex\u00e9cution du budget, adopter des r\u00e8gles financi\u00e8res appropri\u00e9es, \u00e9tablir des proc\u00e9dures de travail transparentes pour la prise de d\u00e9cision par l'ENISA, adopter le document unique de programmation de l'ENISA, adopter son propre r\u00e8glement int\u00e9rieur, nommer le Directeur Ex\u00e9cutif et d\u00e9cider de la prolongation et de la fin du mandat du Directeur Ex\u00e9cutif.<\/p>\n\n\n\n

(58) Afin que l'ENISA fonctionne correctement et efficacement, la Commission et les \u00c9tats membres doivent s'assurer que les personnes \u00e0 nommer au Conseil d'administration ont l'expertise et l'exp\u00e9rience professionnelles appropri\u00e9es. La Commission et les \u00c9tats membres doivent \u00e9galement s'efforcer de limiter la rotation de leurs repr\u00e9sentants respectifs au sein du conseil d'administration afin d'assurer la continuit\u00e9 de ses travaux.<\/p>\n\n\n\n

(59) Le bon fonctionnement de l'ENISA exige que son directeur ex\u00e9cutif soit nomm\u00e9 sur la base de son m\u00e9rite et de ses comp\u00e9tences document\u00e9es en mati\u00e8re d'administration et de gestion, ainsi que de ses comp\u00e9tences et de son exp\u00e9rience dans le domaine de la cybers\u00e9curit\u00e9. Les fonctions du directeur ex\u00e9cutif devraient \u00eatre exerc\u00e9es en toute ind\u00e9pendance. Le directeur ex\u00e9cutif devrait pr\u00e9parer une proposition pour le programme de travail annuel de l'ENISA, apr\u00e8s consultation pr\u00e9alable avec la Commission, et devrait prendre toutes les mesures n\u00e9cessaires pour assurer la bonne mise en \u0153uvre de ce programme de travail. Le directeur ex\u00e9cutif doit pr\u00e9parer un rapport annuel \u00e0 soumettre au conseil d'administration, couvrant la mise en \u0153uvre du programme de travail annuel de l'ENISA, \u00e9tablir un projet d'\u00e9tat pr\u00e9visionnel des recettes et des d\u00e9penses pour l'ENISA, et ex\u00e9cuter le budget. De plus, le Directeur Ex\u00e9cutif devrait avoir la possibilit\u00e9 de cr\u00e9er des groupes de travail ad hoc pour traiter des questions sp\u00e9cifiques, en particulier des questions de nature scientifique, technique, juridique ou socio-\u00e9conomique. En particulier, la cr\u00e9ation d'un groupe de travail ad hoc est jug\u00e9e n\u00e9cessaire pour l'\u00e9laboration d'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 (\"syst\u00e8me candidat\"). Le directeur ex\u00e9cutif devrait veiller \u00e0 ce que les membres des groupes de travail ad hoc soient s\u00e9lectionn\u00e9s selon les normes d'expertise les plus \u00e9lev\u00e9es, afin d'assurer un \u00e9quilibre entre les hommes et les femmes et un \u00e9quilibre appropri\u00e9, en fonction des questions sp\u00e9cifiques en jeu, entre les administrations publiques des \u00c9tats membres, les institutions, organes et organismes de l'Union et le secteur priv\u00e9, y compris l'industrie, les utilisateurs et les experts universitaires en mati\u00e8re de s\u00e9curit\u00e9 des r\u00e9seaux et de l'information.<\/p>\n\n\n\n

(60) Le conseil ex\u00e9cutif devrait contribuer au bon fonctionnement du conseil d'administration. Dans le cadre de ses travaux pr\u00e9paratoires relatifs aux d\u00e9cisions du conseil d'administration, le conseil ex\u00e9cutif devrait examiner en d\u00e9tail les informations pertinentes, \u00e9tudier les options disponibles et proposer des conseils et des solutions pour pr\u00e9parer les d\u00e9cisions du conseil d'administration.<\/p>\n\n\n\n

(61) L'ENISA doit avoir un groupe consultatif de l'ENISA comme organe consultatif pour assurer un dialogue r\u00e9gulier avec le secteur priv\u00e9, les organisations de consommateurs et les autres parties prenantes concern\u00e9es. Le groupe consultatif de l'ENISA, \u00e9tabli par le conseil d'administration sur proposition du directeur ex\u00e9cutif, doit se concentrer sur les questions pertinentes pour les parties prenantes et les porter \u00e0 l'attention de l'ENISA. Le groupe consultatif de l'ENISA doit \u00eatre consult\u00e9 en particulier en ce qui concerne le projet de programme de travail annuel de l'ENISA. La composition du groupe consultatif de l'ENISA et les t\u00e2ches qui lui sont assign\u00e9es doivent assurer une repr\u00e9sentation suffisante des parties prenantes dans le travail de l'ENISA.<\/p>\n\n\n\n

(62) Le Stakeholder Cybersecurity Certification Group doit \u00eatre \u00e9tabli afin d'aider l'ENISA et la Commission \u00e0 faciliter la consultation des parties prenantes concern\u00e9es. Le Stakeholder Cybersecurity Certification Group devrait \u00eatre compos\u00e9 de membres repr\u00e9sentant l'industrie dans des proportions \u00e9quilibr\u00e9es, tant du c\u00f4t\u00e9 de la demande que du c\u00f4t\u00e9 de l'offre de produits et de services TIC, et comprenant notamment des PME, des fournisseurs de services num\u00e9riques, des organismes europ\u00e9ens et internationaux de normalisation, des organismes nationaux d'accr\u00e9ditation, des autorit\u00e9s de contr\u00f4le de la protection des donn\u00e9es et des organismes d'\u00e9valuation de la conformit\u00e9 conform\u00e9ment au r\u00e8glement (CE) n\u00b0 765\/2008 du Parlement europ\u00e9en et du Conseil (16), ainsi que des universit\u00e9s et des organisations de consommateurs.<\/p>\n\n\n\n

(63) L'ENISA doit avoir des r\u00e8gles en place concernant la pr\u00e9vention et la gestion des conflits d'int\u00e9r\u00eats. L'ENISA devrait \u00e9galement appliquer les dispositions pertinentes de l'Union concernant l'acc\u00e8s du public aux documents, telles que d\u00e9finies dans le r\u00e8glement (CE) n\u00b0 1049\/2001 du Parlement europ\u00e9en et du Conseil (17). Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel par l'ENISA devrait \u00eatre soumis au r\u00e8glement (UE) 2018\/1725 du Parlement europ\u00e9en et du Conseil (18). L'ENISA devrait se conformer aux dispositions applicables aux institutions, organes et organismes de l'Union, ainsi qu'\u00e0 la l\u00e9gislation nationale concernant le traitement des informations, en particulier les informations sensibles non classifi\u00e9es et les informations classifi\u00e9es de l'Union europ\u00e9enne (ICUE).<\/p>\n\n\n\n

(64) Afin de garantir la pleine autonomie et l'ind\u00e9pendance de l'ENISA et de lui permettre d'accomplir des t\u00e2ches suppl\u00e9mentaires, y compris des t\u00e2ches d'urgence impr\u00e9vues, l'ENISA devrait \u00eatre dot\u00e9e d'un budget suffisant et autonome dont les revenus devraient provenir principalement d'une contribution de l'Union et des contributions des pays tiers participant aux travaux de l'ENISA. Un budget appropri\u00e9 est primordial pour assurer que l'ENISA a une capacit\u00e9 suffisante pour effectuer toutes ses t\u00e2ches croissantes et pour atteindre ses objectifs. La majorit\u00e9 du personnel de l'ENISA doit \u00eatre directement engag\u00e9e dans la mise en \u0153uvre op\u00e9rationnelle du mandat de l'ENISA. L'\u00c9tat membre h\u00f4te, et tout autre \u00c9tat membre, devrait \u00eatre autoris\u00e9 \u00e0 faire des contributions volontaires au budget de l'ENISA. La proc\u00e9dure budg\u00e9taire de l'Union devrait rester applicable en ce qui concerne les subventions imputables au budget g\u00e9n\u00e9ral de l'Union. De plus, la Cour des comptes devrait contr\u00f4ler les comptes de l'ENISA afin de garantir la transparence et la responsabilit\u00e9.<\/p>\n\n\n\n

(65) La certification en mati\u00e8re de cybers\u00e9curit\u00e9 joue un r\u00f4le important dans le renforcement de la confiance et de la s\u00e9curit\u00e9 dans les produits, les services et les processus TIC. Le march\u00e9 unique num\u00e9rique, et en particulier l'\u00e9conomie des donn\u00e9es et l'IdO, ne peut prosp\u00e9rer que si le grand public a confiance dans le fait que ces produits, services et processus offrent un certain niveau de cybers\u00e9curit\u00e9. Les voitures connect\u00e9es et automatis\u00e9es, les dispositifs m\u00e9dicaux \u00e9lectroniques, les syst\u00e8mes de contr\u00f4le de l'automatisation industrielle et les r\u00e9seaux intelligents ne sont que quelques exemples de secteurs dans lesquels la certification est d\u00e9j\u00e0 largement utilis\u00e9e ou est susceptible de l'\u00eatre dans un avenir proche. Les secteurs r\u00e9glement\u00e9s par la directive (UE) 2016\/1148 sont \u00e9galement des secteurs dans lesquels la certification de la cybers\u00e9curit\u00e9 est essentielle.<\/p>\n\n\n\n

(66) Dans la communication de 2016 intitul\u00e9e \"Renforcer le syst\u00e8me europ\u00e9en de cyberr\u00e9silience et promouvoir une industrie de la cybers\u00e9curit\u00e9 comp\u00e9titive et innovante\", la Commission a soulign\u00e9 la n\u00e9cessit\u00e9 de disposer de produits et de solutions de cybers\u00e9curit\u00e9 de haute qualit\u00e9, abordables et interop\u00e9rables. L'offre de produits, de services et de processus TIC au sein du march\u00e9 unique reste tr\u00e8s fragment\u00e9e g\u00e9ographiquement. En effet, le secteur de la cybers\u00e9curit\u00e9 en Europe s'est d\u00e9velopp\u00e9 en grande partie sur la base de la demande des gouvernements nationaux. En outre, l'absence de solutions interop\u00e9rables (normes techniques), de pratiques et de m\u00e9canismes de certification \u00e0 l'\u00e9chelle de l'Union fait partie des autres lacunes qui affectent le march\u00e9 unique dans le domaine de la cybers\u00e9curit\u00e9. Il est donc difficile pour les entreprises europ\u00e9ennes d'\u00eatre comp\u00e9titives aux niveaux national, communautaire et mondial. Cela r\u00e9duit \u00e9galement le choix des technologies de cybers\u00e9curit\u00e9 viables et utilisables auxquelles les particuliers et les entreprises ont acc\u00e8s. De m\u00eame, dans la communication de 2017 sur l'examen \u00e0 mi-parcours de la mise en \u0153uvre de la strat\u00e9gie pour un march\u00e9 unique num\u00e9rique - Un march\u00e9 unique num\u00e9rique connect\u00e9 pour tous, la Commission a soulign\u00e9 la n\u00e9cessit\u00e9 de disposer de produits et de syst\u00e8mes connect\u00e9s s\u00fbrs et a indiqu\u00e9 que la cr\u00e9ation d'un cadre europ\u00e9en de s\u00e9curit\u00e9 des TIC fixant des r\u00e8gles sur la mani\u00e8re d'organiser la certification de la s\u00e9curit\u00e9 des TIC dans l'Union pourrait \u00e0 la fois pr\u00e9server la confiance dans l'internet et s'attaquer \u00e0 la fragmentation actuelle du march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(67) Actuellement, la certification de la cybers\u00e9curit\u00e9 des produits, services et processus TIC n'est utilis\u00e9e que dans une mesure limit\u00e9e. Lorsqu'elle existe, elle se fait principalement au niveau des \u00c9tats membres ou dans le cadre de syst\u00e8mes mis en place par l'industrie. Dans ce contexte, un certificat d\u00e9livr\u00e9 par une autorit\u00e9 nationale de certification de la cybers\u00e9curit\u00e9 n'est en principe pas reconnu dans les autres \u00c9tats membres. Les entreprises peuvent donc \u00eatre amen\u00e9es \u00e0 certifier leurs produits, services et processus TIC dans plusieurs \u00c9tats membres o\u00f9 elles op\u00e8rent, par exemple en vue de participer \u00e0 des proc\u00e9dures nationales de passation de march\u00e9s, ce qui augmente leurs co\u00fbts. En outre, alors que de nouveaux syst\u00e8mes apparaissent, il ne semble pas y avoir d'approche coh\u00e9rente et holistique des questions horizontales de cybers\u00e9curit\u00e9, par exemple dans le domaine de l'IdO. Les syst\u00e8mes existants pr\u00e9sentent des lacunes et des diff\u00e9rences significatives en termes de couverture des produits, de niveaux d'assurance, de crit\u00e8res de fond et d'utilisation r\u00e9elle, ce qui entrave les m\u00e9canismes de reconnaissance mutuelle au sein de l'Union.<\/p>\n\n\n\n

(68) Des efforts ont \u00e9t\u00e9 d\u00e9ploy\u00e9s pour assurer la reconnaissance mutuelle des certificats au sein de l'Union. Toutefois, ils n'ont \u00e9t\u00e9 que partiellement couronn\u00e9s de succ\u00e8s. L'exemple le plus important \u00e0 cet \u00e9gard est l'accord de reconnaissance mutuelle (ARM) du Groupe de hauts fonctionnaires - S\u00e9curit\u00e9 des syst\u00e8mes d'information (SOG-IS). Bien qu'il repr\u00e9sente le mod\u00e8le le plus important de coop\u00e9ration et de reconnaissance mutuelle dans le domaine de la certification de la s\u00e9curit\u00e9, le SOG-IS n'inclut que certains \u00c9tats membres. Ce fait a limit\u00e9 l'efficacit\u00e9 de l'ARM SOG-IS du point de vue du march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(69) Il est donc n\u00e9cessaire d'adopter une approche commune et d'\u00e9tablir un cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 qui fixe les principales exigences horizontales pour l'\u00e9laboration de syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 et qui permette la reconnaissance et l'utilisation, dans tous les \u00c9tats membres, des certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et des d\u00e9clarations de conformit\u00e9 de l'UE pour les produits TIC, les services TIC ou les processus TIC. Ce faisant, il est essentiel de s'appuyer sur les syst\u00e8mes nationaux et internationaux existants, ainsi que sur les syst\u00e8mes de reconnaissance mutuelle, en particulier le SOG-IS, et de permettre une transition sans heurts entre les syst\u00e8mes existants relevant de ces syst\u00e8mes et les syst\u00e8mes relevant du nouveau cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9. Le cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devrait avoir un double objectif. Premi\u00e8rement, il devrait contribuer \u00e0 accro\u00eetre la confiance dans les produits, services et processus TIC qui ont \u00e9t\u00e9 certifi\u00e9s dans le cadre de syst\u00e8mes europ\u00e9ens de certification de la cybers\u00e9curit\u00e9. Deuxi\u00e8mement, il devrait permettre d'\u00e9viter la multiplication des syst\u00e8mes nationaux de certification de la cybers\u00e9curit\u00e9 qui sont contradictoires ou se chevauchent, et donc de r\u00e9duire les co\u00fbts pour les entreprises op\u00e9rant sur le march\u00e9 unique num\u00e9rique. Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient \u00eatre non discriminatoires et fond\u00e9s sur des normes europ\u00e9ennes ou internationales, \u00e0 moins que ces normes ne soient inefficaces ou inappropri\u00e9es pour atteindre les objectifs l\u00e9gitimes de l'Union \u00e0 cet \u00e9gard.<\/p>\n\n\n\n

(70) Le cadre europ\u00e9en de certification de la cybers\u00e9curit\u00e9 devrait \u00eatre \u00e9tabli de mani\u00e8re uniforme dans tous les \u00c9tats membres afin d'\u00e9viter le \"shopping de certification\" fond\u00e9 sur des niveaux de rigueur diff\u00e9rents selon les \u00c9tats membres.<\/p>\n\n\n\n

(71) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient s'appuyer sur ce qui existe d\u00e9j\u00e0 aux niveaux international et national et, si n\u00e9cessaire, sur les sp\u00e9cifications techniques des forums et des consortiums, en tirant les le\u00e7ons des points forts actuels et en \u00e9valuant et en corrigeant les faiblesses.<\/p>\n\n\n\n

(72) Des solutions flexibles en mati\u00e8re de cybers\u00e9curit\u00e9 sont n\u00e9cessaires pour que le secteur reste \u00e0 la pointe des cybermenaces, et tout syst\u00e8me de certification doit donc \u00eatre con\u00e7u de mani\u00e8re \u00e0 \u00e9viter le risque d'\u00eatre rapidement d\u00e9pass\u00e9.<\/p>\n\n\n\n

(73) La Commission devrait \u00eatre habilit\u00e9e \u00e0 adopter des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 concernant des groupes sp\u00e9cifiques de produits, de services et de processus TIC. Ces syst\u00e8mes devraient \u00eatre mis en \u0153uvre et supervis\u00e9s par les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9, et les certificats d\u00e9livr\u00e9s dans le cadre de ces syst\u00e8mes devraient \u00eatre valables et reconnus dans l'ensemble de l'Union. Les syst\u00e8mes de certification g\u00e9r\u00e9s par l'industrie ou par d'autres organisations priv\u00e9es ne devraient pas entrer dans le champ d'application du pr\u00e9sent r\u00e8glement. Toutefois, les organismes g\u00e9rant ces syst\u00e8mes devraient pouvoir proposer \u00e0 la Commission de les prendre en compte pour les approuver en tant que syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(74) Les dispositions du pr\u00e9sent r\u00e8glement devraient \u00eatre sans pr\u00e9judice du droit de l'Union pr\u00e9voyant des r\u00e8gles sp\u00e9cifiques sur la certification des produits TIC, des services TIC et des processus TIC. En particulier, le r\u00e8glement (UE) 2016\/679 pr\u00e9voit des dispositions pour l'\u00e9tablissement de m\u00e9canismes de certification et de sceaux et marques de protection des donn\u00e9es, dans le but de d\u00e9montrer la conformit\u00e9 des op\u00e9rations de traitement effectu\u00e9es par les responsables du traitement et les sous-traitants avec ledit r\u00e8glement. Ces m\u00e9canismes de certification et ces sceaux et marques de protection des donn\u00e9es devraient permettre aux personnes concern\u00e9es d'\u00e9valuer rapidement le niveau de protection des donn\u00e9es des produits, services et processus TIC concern\u00e9s. Le pr\u00e9sent r\u00e8glement est sans pr\u00e9judice de la certification des op\u00e9rations de traitement des donn\u00e9es en vertu du r\u00e8glement (UE) 2016\/679, y compris lorsque ces op\u00e9rations sont int\u00e9gr\u00e9es dans des produits TIC, des services TIC et des processus TIC.<\/p>\n\n\n\n

(75) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient avoir pour objet de garantir que les produits, services et processus TIC certifi\u00e9s dans le cadre de ces syst\u00e8mes satisfont \u00e0 des exigences sp\u00e9cifiques visant \u00e0 prot\u00e9ger la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 et la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es, ou des fonctions ou services connexes offerts par ces produits, services et processus ou accessibles par leur interm\u00e9diaire, tout au long de leur cycle de vie. Il n'est pas possible d'exposer en d\u00e9tail les exigences de cybers\u00e9curit\u00e9 relatives \u00e0 tous les produits, services et processus TIC dans le pr\u00e9sent r\u00e8glement. Les produits, services et processus TIC et les besoins de cybers\u00e9curit\u00e9 li\u00e9s \u00e0 ces produits, services et processus sont si divers qu'il est tr\u00e8s difficile d'\u00e9laborer des exigences g\u00e9n\u00e9rales de cybers\u00e9curit\u00e9 valables en toutes circonstances. Il est donc n\u00e9cessaire d'adopter une notion large et g\u00e9n\u00e9rale de la cybers\u00e9curit\u00e9 aux fins de la certification, qui devrait \u00eatre compl\u00e9t\u00e9e par un ensemble d'objectifs sp\u00e9cifiques en mati\u00e8re de cybers\u00e9curit\u00e9 \u00e0 prendre en compte lors de la conception des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9. Les modalit\u00e9s selon lesquelles ces objectifs doivent \u00eatre atteints dans des produits, services et processus TIC sp\u00e9cifiques devraient ensuite \u00eatre pr\u00e9cis\u00e9es en d\u00e9tail au niveau du syst\u00e8me de certification individuel adopt\u00e9 par la Commission, par exemple par r\u00e9f\u00e9rence \u00e0 des normes ou \u00e0 des sp\u00e9cifications techniques s'il n'existe pas de normes appropri\u00e9es.<\/p>\n\n\n\n

(76) Les sp\u00e9cifications techniques \u00e0 utiliser dans les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient respecter les exigences \u00e9nonc\u00e9es \u00e0 l'annexe II du r\u00e8glement (UE) n\u00b0 1025\/2012 du Parlement europ\u00e9en et du Conseil (19). Certains \u00e9carts par rapport \u00e0 ces exigences pourraient toutefois \u00eatre consid\u00e9r\u00e9s comme n\u00e9cessaires dans des cas d\u00fbment justifi\u00e9s lorsque ces sp\u00e9cifications techniques doivent \u00eatre utilis\u00e9es dans un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 se r\u00e9f\u00e9rant au niveau d'assurance \"\u00e9lev\u00e9\". Les raisons de ces d\u00e9rogations devraient \u00eatre rendues publiques.<\/p>\n\n\n\n

(77) Une \u00e9valuation de la conformit\u00e9 est une proc\u00e9dure visant \u00e0 d\u00e9terminer si les exigences sp\u00e9cifi\u00e9es relatives \u00e0 un produit TIC, \u00e0 un service TIC ou \u00e0 un processus TIC ont \u00e9t\u00e9 respect\u00e9es. Cette proc\u00e9dure est men\u00e9e par un tiers ind\u00e9pendant qui n'est pas le fabricant ou le fournisseur des produits TIC, des services TIC ou des processus TIC qui font l'objet de l'\u00e9valuation. Un certificat europ\u00e9en de cybers\u00e9curit\u00e9 devrait \u00eatre d\u00e9livr\u00e9 \u00e0 l'issue de l'\u00e9valuation r\u00e9ussie d'un produit TIC, d'un service TIC ou d'un processus TIC. Un certificat europ\u00e9en de cybers\u00e9curit\u00e9 doit \u00eatre consid\u00e9r\u00e9 comme une confirmation que l'\u00e9valuation a \u00e9t\u00e9 correctement effectu\u00e9e. En fonction du niveau d'assurance, le syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devrait indiquer si le certificat europ\u00e9en de cybers\u00e9curit\u00e9 doit \u00eatre d\u00e9livr\u00e9 par un organisme priv\u00e9 ou public. L'\u00e9valuation de la conformit\u00e9 et la certification ne peuvent pas garantir en soi que les produits, services et processus TIC certifi\u00e9s sont cybers\u00e9curis\u00e9s. Il s'agit plut\u00f4t de proc\u00e9dures et de m\u00e9thodologies techniques permettant d'attester que les produits, services et processus TIC ont \u00e9t\u00e9 test\u00e9s et qu'ils sont conformes \u00e0 certaines exigences de cybers\u00e9curit\u00e9 d\u00e9finies ailleurs, par exemple dans des normes techniques.<\/p>\n\n\n\n

(78) Le choix de la certification appropri\u00e9e et des exigences de s\u00e9curit\u00e9 associ\u00e9es par les utilisateurs des certificats europ\u00e9ens de cybers\u00e9curit\u00e9 doit se fonder sur une analyse des risques associ\u00e9s \u00e0 l'utilisation des produits TIC, des services TIC ou des processus TIC. En cons\u00e9quence, le niveau d'assurance doit \u00eatre proportionnel au niveau de risque associ\u00e9 \u00e0 l'utilisation pr\u00e9vue d'un produit TIC, d'un service TIC ou d'un processus TIC.<\/p>\n\n\n\n

(79) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pourraient pr\u00e9voir la r\u00e9alisation d'une \u00e9valuation de la conformit\u00e9 sous la seule responsabilit\u00e9 du fabricant ou du fournisseur de produits, de services ou de processus TIC (\"auto-\u00e9valuation de la conformit\u00e9\"). Dans ce cas, il devrait suffire que le fabricant ou le fournisseur de produits, de services ou de processus TIC effectue lui-m\u00eame toutes les v\u00e9rifications pour s'assurer que les produits, services ou processus TIC sont conformes au syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9. L'auto-\u00e9valuation de la conformit\u00e9 devrait \u00eatre consid\u00e9r\u00e9e comme appropri\u00e9e pour les produits, services ou processus TIC peu complexes qui pr\u00e9sentent un faible risque pour le public, tels que des m\u00e9canismes de conception et de production simples. En outre, l'auto\u00e9valuation de la conformit\u00e9 ne devrait \u00eatre autoris\u00e9e pour les produits, services ou processus TIC que lorsqu'ils correspondent au niveau d'assurance \"de base\".<\/p>\n\n\n\n

(80) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pourraient permettre \u00e0 la fois des auto-\u00e9valuations de la conformit\u00e9 et des certifications de produits, de services ou de processus TIC. Dans ce cas, le syst\u00e8me devrait pr\u00e9voir des moyens clairs et compr\u00e9hensibles permettant aux consommateurs ou autres utilisateurs de faire la distinction entre les produits TIC, les services TIC ou les processus TIC pour lesquels le fabricant ou le fournisseur des produits TIC, des services TIC ou des processus TIC est responsable de l'\u00e9valuation, et les produits TIC, les services TIC ou les processus TIC qui sont certifi\u00e9s par une tierce partie.<\/p>\n\n\n\n

(81) Le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC qui proc\u00e8de \u00e0 une auto-\u00e9valuation de la conformit\u00e9 doit \u00eatre en mesure de d\u00e9livrer et de signer la d\u00e9claration UE de conformit\u00e9 dans le cadre de la proc\u00e9dure d'\u00e9valuation de la conformit\u00e9. Une d\u00e9claration europ\u00e9enne de conformit\u00e9 est un document qui indique qu'un produit, un service ou un processus TIC sp\u00e9cifique est conforme aux exigences du syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9. En d\u00e9livrant et en signant la d\u00e9claration UE de conformit\u00e9, le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC assume la responsabilit\u00e9 de la conformit\u00e9 du produit TIC, du service TIC ou du processus TIC avec les exigences l\u00e9gales du syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9. Une copie de la d\u00e9claration de conformit\u00e9 UE doit \u00eatre soumise \u00e0 l'autorit\u00e9 nationale de certification en mati\u00e8re de cybers\u00e9curit\u00e9 et \u00e0 l'ENISA.<\/p>\n\n\n\n

(82) Les fabricants ou fournisseurs de produits TIC, de services TIC ou de processus TIC devraient mettre la d\u00e9claration de conformit\u00e9 UE, la documentation technique et toutes les autres informations pertinentes relatives \u00e0 la conformit\u00e9 des produits TIC, des services TIC ou des processus TIC avec un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 \u00e0 la disposition de l'autorit\u00e9 nationale de certification en mati\u00e8re de cybers\u00e9curit\u00e9 comp\u00e9tente pendant une p\u00e9riode pr\u00e9vue dans le syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 concern\u00e9. La documentation technique doit pr\u00e9ciser les exigences applicables dans le cadre du syst\u00e8me et couvrir la conception, la fabrication et le fonctionnement du produit TIC, du service TIC ou du processus TIC dans la mesure o\u00f9 cela est pertinent pour l'auto-\u00e9valuation de la conformit\u00e9. La documentation technique doit \u00eatre compil\u00e9e de mani\u00e8re \u00e0 permettre d'\u00e9valuer si un produit ou un service TIC est conforme aux exigences applicables dans le cadre de ce syst\u00e8me.<\/p>\n\n\n\n

(83) La gouvernance du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 tient compte de la participation des \u00c9tats membres ainsi que de la participation appropri\u00e9e des parties prenantes, et \u00e9tablit le r\u00f4le de la Commission lors de la planification et de la proposition, de la demande, de la pr\u00e9paration, de l'adoption et du r\u00e9examen des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(84) La Commission devrait \u00e9laborer, avec le soutien du Groupe europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 (ECCG) et du Stakeholder Cybersecurity Certification Group et apr\u00e8s une consultation ouverte et large, un programme de travail glissant de l'Union pour les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9, et le publier sous la forme d'un instrument non contraignant. Le programme de travail glissant de l'Union devrait \u00eatre un document strat\u00e9gique permettant au secteur, aux autorit\u00e9s nationales et aux organismes de normalisation, en particulier, de se pr\u00e9parer \u00e0 l'avance aux futurs syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9. Le programme de travail continu de l'Union devrait inclure une vue d'ensemble pluriannuelle des demandes de syst\u00e8mes candidats que la Commission a l'intention de soumettre \u00e0 l'ENISA pour pr\u00e9paration sur la base de motifs sp\u00e9cifiques. La Commission devrait tenir compte du programme de travail glissant de l'Union lors de l'\u00e9laboration de son plan glissant pour la normalisation des TIC et des demandes de normalisation adress\u00e9es aux organismes europ\u00e9ens de normalisation. \u00c0 la lumi\u00e8re de l'introduction et de l'adoption rapides de nouvelles technologies, de l'\u00e9mergence de risques de cybers\u00e9curit\u00e9 jusqu'alors inconnus et de l'\u00e9volution de la l\u00e9gislation et du march\u00e9, la Commission ou l'ECCG devraient \u00eatre habilit\u00e9s \u00e0 demander \u00e0 l'ENISA de pr\u00e9parer des sch\u00e9mas candidats qui n'ont pas \u00e9t\u00e9 inclus dans le programme de travail glissant de l'Union. Dans de tels cas, la Commission et le CECAG devraient \u00e9galement \u00e9valuer la n\u00e9cessit\u00e9 d'une telle demande, en prenant en compte les buts et objectifs g\u00e9n\u00e9raux de ce r\u00e8glement et le besoin d'assurer la continuit\u00e9 en ce qui concerne la planification et l'utilisation des ressources de l'ENISA.<\/p>\n\n\n\n

Suite \u00e0 une telle demande, l'ENISA devrait pr\u00e9parer les sch\u00e9mas candidats pour des produits TIC sp\u00e9cifiques, des services TIC et des processus TIC sans retard excessif. La Commission devrait \u00e9valuer l'impact positif et n\u00e9gatif de sa demande sur le march\u00e9 sp\u00e9cifique en question, en particulier son impact sur les PME, sur l'innovation, sur les barri\u00e8res \u00e0 l'entr\u00e9e de ce march\u00e9 et sur les co\u00fbts pour les utilisateurs finaux. La Commission, sur la base du syst\u00e8me candidat pr\u00e9par\u00e9 par l'ENISA, devrait \u00eatre habilit\u00e9e \u00e0 adopter le syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 au moyen d'actes d'ex\u00e9cution. Compte tenu de la finalit\u00e9 g\u00e9n\u00e9rale et des objectifs de s\u00e9curit\u00e9 \u00e9nonc\u00e9s dans le pr\u00e9sent r\u00e8glement, les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 adopt\u00e9s par la Commission devraient sp\u00e9cifier un ensemble minimal d'\u00e9l\u00e9ments concernant l'objet, le champ d'application et le fonctionnement de chaque syst\u00e8me. Ces \u00e9l\u00e9ments devraient comprendre, entre autres, le champ d'application et l'objet de la certification en mati\u00e8re de cybers\u00e9curit\u00e9, y compris les cat\u00e9gories de produits, de services et de processus TIC couverts, la sp\u00e9cification d\u00e9taill\u00e9e des exigences de cybers\u00e9curit\u00e9, par exemple par r\u00e9f\u00e9rence \u00e0 des normes ou \u00e0 des sp\u00e9cifications techniques, les crit\u00e8res et les m\u00e9thodes d'\u00e9valuation sp\u00e9cifiques, ainsi que le niveau d'assurance pr\u00e9vu (\"de base\", \"substantiel\" ou \"\u00e9lev\u00e9\") et les niveaux d'\u00e9valuation, le cas \u00e9ch\u00e9ant. L'ENISA doit pouvoir refuser une demande de l'ECCG. De telles d\u00e9cisions doivent \u00eatre prises par le conseil d'administration et doivent \u00eatre d\u00fbment motiv\u00e9es.<\/p>\n\n\n\n

(85) L'ENISA doit maintenir un site web fournissant des informations sur les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 et les faisant conna\u00eetre, qui doit inclure, entre autres, les demandes de pr\u00e9paration d'un syst\u00e8me candidat ainsi que le retour d'information re\u00e7u lors du processus de consultation men\u00e9 par l'ENISA au cours de la phase de pr\u00e9paration. Le site web doit \u00e9galement fournir des informations sur les certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et les d\u00e9clarations de conformit\u00e9 de l'UE d\u00e9livr\u00e9s en vertu du pr\u00e9sent r\u00e8glement, y compris des informations concernant le retrait et l'expiration de ces certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et d\u00e9clarations de conformit\u00e9 de l'UE. Le site web doit \u00e9galement indiquer les syst\u00e8mes nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9 qui ont \u00e9t\u00e9 remplac\u00e9s par un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(86) Le niveau d'assurance d'un syst\u00e8me europ\u00e9en de certification permet de s'assurer qu'un produit, un service ou un processus TIC satisfait aux exigences de s\u00e9curit\u00e9 d'un syst\u00e8me europ\u00e9en sp\u00e9cifique de certification en mati\u00e8re de cybers\u00e9curit\u00e9. Afin de garantir la coh\u00e9rence du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 doit pouvoir sp\u00e9cifier des niveaux d'assurance pour les certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et les d\u00e9clarations de conformit\u00e9 de l'UE d\u00e9livr\u00e9s dans le cadre de ce syst\u00e8me. Chaque certificat europ\u00e9en de cybers\u00e9curit\u00e9 pourrait faire r\u00e9f\u00e9rence \u00e0 l'un des niveaux d'assurance : \"de base\", \"substantiel\" ou \"\u00e9lev\u00e9\", tandis que la d\u00e9claration de conformit\u00e9 de l'UE pourrait ne faire r\u00e9f\u00e9rence qu'au niveau d'assurance \"de base\". Les niveaux d'assurance correspondraient \u00e0 la rigueur et \u00e0 la profondeur de l'\u00e9valuation du produit, du service ou du processus TIC et seraient caract\u00e9ris\u00e9s par une r\u00e9f\u00e9rence aux sp\u00e9cifications techniques, aux normes et aux proc\u00e9dures y aff\u00e9rentes, y compris les contr\u00f4les techniques, dont l'objectif est d'att\u00e9nuer ou de pr\u00e9venir les incidents. Chaque niveau d'assurance devrait \u00eatre coh\u00e9rent entre les diff\u00e9rents domaines sectoriels dans lesquels la certification est appliqu\u00e9e.<\/p>\n\n\n\n

(87) Un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pourrait pr\u00e9voir plusieurs niveaux d'\u00e9valuation en fonction de la rigueur et de la profondeur de la m\u00e9thode d'\u00e9valuation utilis\u00e9e. Les niveaux d'\u00e9valuation devraient correspondre \u00e0 l'un des niveaux d'assurance et \u00eatre associ\u00e9s \u00e0 une combinaison appropri\u00e9e de composants d'assurance. Pour tous les niveaux d'assurance, le produit TIC, le service TIC ou le processus TIC devrait contenir un certain nombre de fonctions s\u00e9curis\u00e9es, comme sp\u00e9cifi\u00e9 par le sch\u00e9ma, qui peuvent inclure : une configuration s\u00e9curis\u00e9e pr\u00eate \u00e0 l'emploi, un code sign\u00e9, des mises \u00e0 jour s\u00e9curis\u00e9es et des att\u00e9nuations des exploits, ainsi que des protections de la pile compl\u00e8te ou de la m\u00e9moire du tas. Ces fonctions devraient avoir \u00e9t\u00e9 d\u00e9velopp\u00e9es, et \u00eatre maintenues, en utilisant des approches de d\u00e9veloppement ax\u00e9es sur la s\u00e9curit\u00e9 et des outils associ\u00e9s pour garantir que des m\u00e9canismes logiciels et mat\u00e9riels efficaces sont incorpor\u00e9s de mani\u00e8re fiable.<\/p>\n\n\n\n

(88) Pour le niveau d'assurance \"de base\", l'\u00e9valuation doit \u00eatre guid\u00e9e au moins par les \u00e9l\u00e9ments d'assurance suivants : l'\u00e9valuation doit au moins comprendre un examen de la documentation technique du produit TIC, du service TIC ou du processus TIC par l'organisme d'\u00e9valuation de la conformit\u00e9. Lorsque la certification porte sur des processus TIC, le processus utilis\u00e9 pour concevoir, d\u00e9velopper et maintenir un produit ou un service TIC doit \u00e9galement faire l'objet d'un examen technique. Lorsqu'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pr\u00e9voit une auto-\u00e9valuation de la conformit\u00e9, il devrait suffire que le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC ait proc\u00e9d\u00e9 \u00e0 une auto-\u00e9valuation de la conformit\u00e9 du produit TIC, du service TIC ou du processus TIC avec le syst\u00e8me de certification.<\/p>\n\n\n\n

(89) Pour le niveau d'assurance \"substantiel\", l'\u00e9valuation, outre les exigences relatives au niveau d'assurance \"de base\", devrait \u00eatre guid\u00e9e au moins par la v\u00e9rification de la conformit\u00e9 des fonctionnalit\u00e9s de s\u00e9curit\u00e9 du produit, du service ou du processus TIC avec sa documentation technique.<\/p>\n\n\n\n

(90) Pour le niveau d'assurance \"\u00e9lev\u00e9\", l'\u00e9valuation, outre les exigences relatives au niveau d'assurance \"substantiel\", doit \u00eatre guid\u00e9e au moins par un test d'efficacit\u00e9 qui \u00e9value la r\u00e9sistance des fonctionnalit\u00e9s de s\u00e9curit\u00e9 du produit TIC, du service TIC ou du processus TIC \u00e0 des cyberattaques \u00e9labor\u00e9es men\u00e9es par des personnes disposant de comp\u00e9tences et de ressources importantes.<\/p>\n\n\n\n

(91) Le recours \u00e0 la certification europ\u00e9enne en mati\u00e8re de cybers\u00e9curit\u00e9 et aux d\u00e9clarations de conformit\u00e9 de l'Union devrait rester volontaire, sauf disposition contraire du droit de l'Union ou du droit des \u00c9tats membres adopt\u00e9 conform\u00e9ment au droit de l'Union. En l'absence de droit de l'Union harmonis\u00e9, les \u00c9tats membres sont en mesure d'adopter des r\u00e9glementations techniques nationales pr\u00e9voyant une certification obligatoire dans le cadre d'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, conform\u00e9ment \u00e0 la directive (UE) 2015\/1535 du Parlement europ\u00e9en et du Conseil (20). Les \u00c9tats membres ont \u00e9galement recours \u00e0 la certification europ\u00e9enne en mati\u00e8re de cybers\u00e9curit\u00e9 dans le cadre des march\u00e9s publics et de la directive 2014\/24\/UE du Parlement europ\u00e9en et du Conseil (21).<\/p>\n\n\n\n

(92) Dans certains domaines, il pourrait \u00eatre n\u00e9cessaire \u00e0 l'avenir d'imposer des exigences sp\u00e9cifiques en mati\u00e8re de cybers\u00e9curit\u00e9 et de rendre la certification obligatoire pour certains produits, services ou processus TIC, afin d'am\u00e9liorer le niveau de cybers\u00e9curit\u00e9 dans l'Union. La Commission devrait contr\u00f4ler r\u00e9guli\u00e8rement l'incidence des syst\u00e8mes europ\u00e9ens de certification de la cybers\u00e9curit\u00e9 adopt\u00e9s sur la disponibilit\u00e9 de produits, de services et de processus TIC s\u00fbrs dans le march\u00e9 int\u00e9rieur et devrait \u00e9valuer r\u00e9guli\u00e8rement le niveau d'utilisation des syst\u00e8mes de certification par les fabricants ou les fournisseurs de produits, de services ou de processus TIC dans l'Union. L'efficacit\u00e9 des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9, et la question de savoir si certains syst\u00e8mes devraient \u00eatre rendus obligatoires, devraient \u00eatre \u00e9valu\u00e9es \u00e0 la lumi\u00e8re de la l\u00e9gislation de l'Union relative \u00e0 la cybers\u00e9curit\u00e9, en particulier la directive (UE) 2016\/1148, en tenant compte de la s\u00e9curit\u00e9 du r\u00e9seau et des syst\u00e8mes d'information utilis\u00e9s par les op\u00e9rateurs de services essentiels.<\/p>\n\n\n\n

(93) Les certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et les d\u00e9clarations de conformit\u00e9 de l'UE devraient aider les utilisateurs finaux \u00e0 faire des choix en connaissance de cause. Par cons\u00e9quent, les produits, services et processus TIC qui ont \u00e9t\u00e9 certifi\u00e9s ou pour lesquels une d\u00e9claration de conformit\u00e9 de l'UE a \u00e9t\u00e9 d\u00e9livr\u00e9e devraient \u00eatre accompagn\u00e9s d'informations structur\u00e9es adapt\u00e9es au niveau technique attendu de l'utilisateur final. Toutes ces informations doivent \u00eatre disponibles en ligne et, le cas \u00e9ch\u00e9ant, sous forme physique. L'utilisateur final doit avoir acc\u00e8s aux informations concernant le num\u00e9ro de r\u00e9f\u00e9rence du syst\u00e8me de certification, le niveau d'assurance, la description des risques de cybers\u00e9curit\u00e9 associ\u00e9s au produit, au service ou au processus TIC, et l'autorit\u00e9 ou l'organisme \u00e9metteur, ou doit pouvoir obtenir une copie du certificat europ\u00e9en de cybers\u00e9curit\u00e9. En outre, l'utilisateur final devrait \u00eatre inform\u00e9 de la politique d'assistance en mati\u00e8re de cybers\u00e9curit\u00e9, c'est-\u00e0-dire de la dur\u00e9e pendant laquelle il peut s'attendre \u00e0 recevoir des mises \u00e0 jour ou des correctifs de cybers\u00e9curit\u00e9, de la part du fabricant ou du fournisseur de produits TIC, de services TIC ou de processus TIC. Le cas \u00e9ch\u00e9ant, il convient de fournir des orientations sur les actions ou les param\u00e8tres que l'utilisateur final peut mettre en \u0153uvre pour maintenir ou renforcer la cybers\u00e9curit\u00e9 du produit TIC ou du service TIC, ainsi que les coordonn\u00e9es d'un point de contact unique pour signaler et recevoir une assistance en cas de cyberattaque (en plus du signalement automatique). Ces informations devraient \u00eatre r\u00e9guli\u00e8rement mises \u00e0 jour et mises \u00e0 disposition sur un site web fournissant des informations sur les syst\u00e8mes europ\u00e9ens de certification de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(94) Afin d'atteindre les objectifs du pr\u00e9sent r\u00e8glement et d'\u00e9viter la fragmentation du march\u00e9 int\u00e9rieur, les syst\u00e8mes ou proc\u00e9dures nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pour les produits, services ou processus TIC couverts par un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient cesser de produire leurs effets \u00e0 compter d'une date fix\u00e9e par la Commission au moyen d'actes d'ex\u00e9cution. En outre, les \u00c9tats membres ne devraient pas introduire de nouveaux syst\u00e8mes nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pour les produits, services ou processus TIC d\u00e9j\u00e0 couverts par un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 existant. Toutefois, les \u00c9tats membres ne devraient pas \u00eatre emp\u00each\u00e9s d'adopter ou de maintenir des syst\u00e8mes nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9 \u00e0 des fins de s\u00e9curit\u00e9 nationale. Les \u00c9tats membres devraient informer la Commission et le GCEC de toute intention d'\u00e9laborer de nouveaux syst\u00e8mes nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9. La Commission et le CECG devraient \u00e9valuer l'impact des nouveaux syst\u00e8mes nationaux de certification en mati\u00e8re de cybers\u00e9curit\u00e9 sur le bon fonctionnement du march\u00e9 int\u00e9rieur et \u00e0 la lumi\u00e8re de tout int\u00e9r\u00eat strat\u00e9gique \u00e0 demander un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(95) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 sont destin\u00e9s \u00e0 contribuer \u00e0 l'harmonisation des pratiques de cybers\u00e9curit\u00e9 au sein de l'Union. Ils doivent contribuer \u00e0 accro\u00eetre le niveau de cybers\u00e9curit\u00e9 dans l'Union. La conception des syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devrait prendre en compte et permettre le d\u00e9veloppement d'innovations dans le domaine de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(96) Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient tenir compte des m\u00e9thodes actuelles de d\u00e9veloppement des logiciels et du mat\u00e9riel et, en particulier, de l'incidence des mises \u00e0 jour fr\u00e9quentes des logiciels ou des microprogrammes sur les diff\u00e9rents certificats europ\u00e9ens de cybers\u00e9curit\u00e9. Les syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient pr\u00e9ciser les conditions dans lesquelles une mise \u00e0 jour peut exiger qu'un produit, un service ou un processus TIC soit recertifi\u00e9 ou que la port\u00e9e d'un certificat europ\u00e9en de cybers\u00e9curit\u00e9 sp\u00e9cifique soit r\u00e9duite, en tenant compte de tout effet n\u00e9gatif \u00e9ventuel de la mise \u00e0 jour sur le respect des exigences de s\u00e9curit\u00e9 de ce certificat.<\/p>\n\n\n\n

(97) Une fois qu'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 aura \u00e9t\u00e9 adopt\u00e9, les fabricants ou les fournisseurs de produits TIC, de services TIC ou de processus TIC devraient pouvoir pr\u00e9senter des demandes de certification de leurs produits TIC ou services TIC \u00e0 l'organisme d'\u00e9valuation de la conformit\u00e9 de leur choix, n'importe o\u00f9 dans l'Union. Les organismes d'\u00e9valuation de la conformit\u00e9 devraient \u00eatre accr\u00e9dit\u00e9s par un organisme national d'accr\u00e9ditation s'ils satisfont \u00e0 certaines exigences sp\u00e9cifi\u00e9es dans le pr\u00e9sent r\u00e8glement. L'accr\u00e9ditation doit \u00eatre d\u00e9livr\u00e9e pour une dur\u00e9e maximale de cinq ans et \u00eatre renouvelable dans les m\u00eames conditions, \u00e0 condition que l'organisme d'\u00e9valuation de la conformit\u00e9 r\u00e9ponde toujours aux exigences. Les organismes nationaux d'accr\u00e9ditation doivent restreindre, suspendre ou r\u00e9voquer l'accr\u00e9ditation d'un organisme d'\u00e9valuation de la conformit\u00e9 lorsque les conditions d'accr\u00e9ditation n'ont pas \u00e9t\u00e9 remplies ou ne le sont plus, ou lorsque l'organisme d'\u00e9valuation de la conformit\u00e9 enfreint le pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(98) Les r\u00e9f\u00e9rences, dans la l\u00e9gislation nationale, \u00e0 des normes nationales qui ont cess\u00e9 d'\u00eatre efficaces en raison de l'entr\u00e9e en vigueur d'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 peuvent \u00eatre une source de confusion. Par cons\u00e9quent, les \u00c9tats membres devraient tenir compte de l'adoption d'un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 dans leur l\u00e9gislation nationale.<\/p>\n\n\n\n

(99) Afin de parvenir \u00e0 des normes \u00e9quivalentes dans l'ensemble de l'Union, de faciliter la reconnaissance mutuelle et de promouvoir l'acceptation globale des certificats europ\u00e9ens de cybers\u00e9curit\u00e9 et des d\u00e9clarations de conformit\u00e9 de l'UE, il est n\u00e9cessaire de mettre en place un syst\u00e8me d'\u00e9valuation par les pairs entre les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9. L'examen par les pairs devrait couvrir les proc\u00e9dures de supervision de la conformit\u00e9 des produits, services et processus TIC avec les certificats europ\u00e9ens de cybers\u00e9curit\u00e9, de contr\u00f4le des obligations des fabricants ou fournisseurs de produits, services ou processus TIC qui proc\u00e8dent \u00e0 l'auto\u00e9valuation de la conformit\u00e9, de contr\u00f4le des organismes d'\u00e9valuation de la conformit\u00e9, ainsi que de l'ad\u00e9quation des comp\u00e9tences du personnel des organismes d\u00e9livrant des certificats pour le niveau d'assurance \"\u00e9lev\u00e9\". La Commission devrait \u00eatre en mesure, au moyen d'actes d'ex\u00e9cution, d'\u00e9tablir au moins un plan quinquennal pour les \u00e9valuations par les pairs, ainsi que de d\u00e9finir des crit\u00e8res et des m\u00e9thodes pour le fonctionnement du syst\u00e8me d'\u00e9valuation par les pairs.<\/p>\n\n\n\n

(100) Sans pr\u00e9judice du syst\u00e8me g\u00e9n\u00e9ral d'\u00e9valuation par les pairs qui doit \u00eatre mis en place dans toutes les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 au sein du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, certains syst\u00e8mes europ\u00e9ens de certification en mati\u00e8re de cybers\u00e9curit\u00e9 peuvent inclure un m\u00e9canisme d'\u00e9valuation par les pairs pour les organismes qui d\u00e9livrent des certificats europ\u00e9ens de cybers\u00e9curit\u00e9 pour les produits, les services et les processus TIC avec un niveau d'assurance \"\u00e9lev\u00e9\" dans le cadre de ces syst\u00e8mes. L'ECCG devrait soutenir la mise en \u0153uvre de ces m\u00e9canismes d'\u00e9valuation par les pairs. Les \u00e9valuations par les pairs devraient notamment permettre de d\u00e9terminer si les organismes concern\u00e9s s'acquittent de leurs t\u00e2ches de mani\u00e8re harmonis\u00e9e, et peuvent comprendre des m\u00e9canismes d'appel. Les r\u00e9sultats des \u00e9valuations par les pairs devraient \u00eatre rendus publics. Les organismes concern\u00e9s peuvent adopter des mesures appropri\u00e9es pour adapter leurs pratiques et leur expertise en cons\u00e9quence.<\/p>\n\n\n\n

(101) Les \u00c9tats membres devraient d\u00e9signer une ou plusieurs autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 pour superviser le respect des obligations d\u00e9coulant du pr\u00e9sent r\u00e8glement. Une autorit\u00e9 nationale de certification en mati\u00e8re de cybers\u00e9curit\u00e9 peut \u00eatre une autorit\u00e9 existante ou nouvelle. Un \u00c9tat membre devrait \u00e9galement pouvoir d\u00e9signer, apr\u00e8s accord avec un autre \u00c9tat membre, une ou plusieurs autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 sur le territoire de cet autre \u00c9tat membre.<\/p>\n\n\n\n

(102) Les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient notamment contr\u00f4ler et faire respecter les obligations des fabricants ou des fournisseurs de produits, de services ou de processus TIC \u00e9tablis sur leur territoire respectif en ce qui concerne la d\u00e9claration de conformit\u00e9 de l'UE, aider les organismes nationaux d'accr\u00e9ditation \u00e0 contr\u00f4ler et \u00e0 superviser les activit\u00e9s des organismes d'\u00e9valuation de la conformit\u00e9 en leur fournissant des comp\u00e9tences et des informations pertinentes, autoriser les organismes d'\u00e9valuation de la conformit\u00e9 \u00e0 s'acquitter de leurs t\u00e2ches lorsque ces organismes satisfont \u00e0 des exigences suppl\u00e9mentaires \u00e9nonc\u00e9es dans un syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, et suivre les \u00e9volutions pertinentes dans le domaine de la certification en mati\u00e8re de cybers\u00e9curit\u00e9. Les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient \u00e9galement traiter les plaintes d\u00e9pos\u00e9es par des personnes physiques ou morales concernant les certificats europ\u00e9ens de cybers\u00e9curit\u00e9 d\u00e9livr\u00e9s par ces autorit\u00e9s ou les certificats europ\u00e9ens de cybers\u00e9curit\u00e9 d\u00e9livr\u00e9s par des organismes d'\u00e9valuation de la conformit\u00e9, lorsque ces certificats indiquent un niveau d'assurance \"\u00e9lev\u00e9\", enqu\u00eater, dans la mesure appropri\u00e9e, sur l'objet de la plainte et informer le plaignant de l'avancement et du r\u00e9sultat de l'enqu\u00eate dans un d\u00e9lai raisonnable. En outre, les autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devraient coop\u00e9rer avec d'autres autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 ou d'autres autorit\u00e9s publiques, notamment en partageant des informations sur l'\u00e9ventuelle non-conformit\u00e9 de produits, services et processus TIC avec les exigences du pr\u00e9sent r\u00e8glement ou avec des syst\u00e8mes europ\u00e9ens sp\u00e9cifiques de certification en mati\u00e8re de cybers\u00e9curit\u00e9. La Commission devrait faciliter ce partage d'informations en mettant \u00e0 disposition un syst\u00e8me \u00e9lectronique g\u00e9n\u00e9ral d'aide \u00e0 l'information, par exemple le syst\u00e8me d'information et de communication sur la surveillance du march\u00e9 (ICSMS) et le syst\u00e8me d'alerte rapide pour les produits non alimentaires dangereux (RAPEX), d\u00e9j\u00e0 utilis\u00e9s par les autorit\u00e9s de surveillance du march\u00e9 en vertu du r\u00e8glement (CE) n\u00b0 765\/2008.<\/p>\n\n\n\n

(103) Afin d'assurer l'application coh\u00e9rente du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, il convient d'\u00e9tablir un ECCG compos\u00e9 de repr\u00e9sentants des autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 ou d'autres autorit\u00e9s nationales comp\u00e9tentes. Les principales t\u00e2ches de l'ECCG devraient \u00eatre de conseiller et d'assister la Commission dans ses travaux visant \u00e0 assurer la mise en \u0153uvre et l'application coh\u00e9rentes du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, d'assister et de coop\u00e9rer \u00e9troitement avec l'ENISA dans la pr\u00e9paration des syst\u00e8mes candidats de certification en mati\u00e8re de cybers\u00e9curit\u00e9, dans des cas d\u00fbment justifi\u00e9s, de demander \u00e0 l'ENISA de pr\u00e9parer un syst\u00e8me candidat, d'adopter des avis adress\u00e9s \u00e0 l'ENISA sur les syst\u00e8mes candidats et d'adopter des avis adress\u00e9s \u00e0 la Commission sur la maintenance et l'examen des syst\u00e8mes europ\u00e9ens existants de certification en mati\u00e8re de cybers\u00e9curit\u00e9. L'ECCG devrait faciliter l'\u00e9change de bonnes pratiques et d'expertise entre les diff\u00e9rentes autorit\u00e9s nationales de certification en mati\u00e8re de cybers\u00e9curit\u00e9 qui sont responsables de l'autorisation des organismes d'\u00e9valuation de la conformit\u00e9 et de la d\u00e9livrance des certificats europ\u00e9ens de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(104) Afin de sensibiliser le public et de faciliter l'acceptation des futurs syst\u00e8mes europ\u00e9ens de certification de la cybers\u00e9curit\u00e9, la Commission peut publier des lignes directrices g\u00e9n\u00e9rales ou sectorielles en mati\u00e8re de cybers\u00e9curit\u00e9, par exemple sur les bonnes pratiques en mati\u00e8re de cybers\u00e9curit\u00e9 ou le comportement responsable en mati\u00e8re de cybers\u00e9curit\u00e9, en soulignant l'effet positif de l'utilisation de produits, de services et de processus TIC certifi\u00e9s.<\/p>\n\n\n\n

(105) Afin de faciliter davantage les \u00e9changes, et compte tenu du fait que les cha\u00eenes d'approvisionnement en TIC sont mondiales, des accords de reconnaissance mutuelle concernant les certificats de cybers\u00e9curit\u00e9 europ\u00e9ens peuvent \u00eatre conclus par l'Union conform\u00e9ment \u00e0 l'article 218 du trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne (TFUE). La Commission, en tenant compte de l'avis de l'ENISA et du Groupe europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, peut recommander l'ouverture de n\u00e9gociations \u00e0 ce sujet. Chaque syst\u00e8me europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9 devrait pr\u00e9voir des conditions sp\u00e9cifiques pour de tels accords de reconnaissance mutuelle avec des pays tiers.<\/p>\n\n\n\n

(106) Afin d'assurer des conditions uniformes de mise en \u0153uvre du pr\u00e9sent r\u00e8glement, il convient de conf\u00e9rer des comp\u00e9tences d'ex\u00e9cution \u00e0 la Commission. Ces comp\u00e9tences devraient \u00eatre exerc\u00e9es conform\u00e9ment au r\u00e8glement (UE) n\u00b0 182\/2011 du Parlement europ\u00e9en et du Conseil (22).<\/p>\n\n\n\n

(107) La proc\u00e9dure d'examen devrait \u00eatre utilis\u00e9e pour l'adoption d'actes d'ex\u00e9cution sur les syst\u00e8mes europ\u00e9ens de certification de la cybers\u00e9curit\u00e9 pour les produits TIC, les services TIC ou les processus TIC, pour l'adoption d'actes d'ex\u00e9cution sur les modalit\u00e9s de r\u00e9alisation d'enqu\u00eates par l'ENISA, pour l'adoption d'actes d'ex\u00e9cution sur un plan pour l'examen par les pairs des autorit\u00e9s nationales de certification de la cybers\u00e9curit\u00e9, ainsi que pour l'adoption d'actes d'ex\u00e9cution sur les circonstances, les formats et les proc\u00e9dures de notification des organismes d'\u00e9valuation de la conformit\u00e9 accr\u00e9dit\u00e9s par les autorit\u00e9s nationales de certification de la cybers\u00e9curit\u00e9 \u00e0 la Commission.<\/p>\n\n\n\n

(108) Les op\u00e9rations de l'ENISA doivent \u00eatre soumises \u00e0 une \u00e9valuation r\u00e9guli\u00e8re et ind\u00e9pendante. Cette \u00e9valuation devrait tenir compte des objectifs de l'ENISA, de ses pratiques de travail et de la pertinence de ses t\u00e2ches, en particulier ses t\u00e2ches relatives \u00e0 la coop\u00e9ration op\u00e9rationnelle au niveau de l'Union. Cette \u00e9valuation devrait \u00e9galement porter sur l'impact, l'efficacit\u00e9 et l'efficience du cadre europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9. En cas de r\u00e9vision, la Commission devrait \u00e9valuer comment le r\u00f4le de l'ENISA en tant que point de r\u00e9f\u00e9rence pour le conseil et l'expertise peut \u00eatre renforc\u00e9 et devrait \u00e9galement \u00e9valuer la possibilit\u00e9 d'un r\u00f4le pour l'ENISA dans le soutien \u00e0 l'\u00e9valuation des produits TIC, des services TIC et des processus TIC des pays tiers qui ne sont pas conformes aux r\u00e8gles de l'Union, lorsque ces produits, services et processus p\u00e9n\u00e8trent dans l'Union.<\/p>\n\n\n\n

(109) \u00c9tant donn\u00e9 que les objectifs du pr\u00e9sent r\u00e8glement ne peuvent pas \u00eatre r\u00e9alis\u00e9s de mani\u00e8re suffisante par les \u00c9tats membres, mais peuvent plut\u00f4t, en raison de ses dimensions et de ses effets, \u00eatre mieux r\u00e9alis\u00e9s au niveau de l'Union, celle-ci peut prendre des mesures, conform\u00e9ment au principe de subsidiarit\u00e9 consacr\u00e9 \u00e0 l'article 5 du trait\u00e9 sur l'Union europ\u00e9enne (TUE). Conform\u00e9ment au principe de proportionnalit\u00e9 tel qu'\u00e9nonc\u00e9 audit article, le pr\u00e9sent r\u00e8glement n'exc\u00e8de pas ce qui est n\u00e9cessaire pour atteindre ces objectifs.<\/p>\n\n\n\n

(110) Il convient d'abroger le r\u00e8glement (UE) n\u00b0 526\/2013,<\/p>\n\n\n\n

ONT ADOPT\u00c9 CE R\u00c8GLEMENT :<\/p>\n\n\n\n

<\/p>","protected":false},"excerpt":{"rendered":"

LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL DE L'UNION EUROP\u00c9ENNE, vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114, vu la proposition de la Commission europ\u00e9enne, apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux, vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en [...]<\/p>","protected":false},"author":1,"featured_media":0,"parent":1145,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}","footnotes":""},"class_list":["post-1146","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"L\u2019image en vedette devrait \u00eatre au moins 200 par 200 pixels pour \u00eatre utilis\u00e9 par Facebook et d\u2019autres sites de m\u00e9dias sociaux.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/fr\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"identifiant","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/fr","objectID":1146,"objectType":"post","locale":"fr","localeFull":"fr_FR","overlayImages":{"play":{"name":"Ic\u00f4ne de lecture","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Ic\u00f4ne GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Ffr&r=https%3A%2F%2Fnis2resources.eu%2Ffr%2Fwp-json%2Fwp%2Fv2%2Fpages%2F1146%2F%3Fnonce%3D7c2ab2316e&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Mettre \u00e0 niveau","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/comments?post=1146"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1146\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1145"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/media?parent=1146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}