{"id":584,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=584"},"modified":"2024-08-09T05:19:15","modified_gmt":"2024-08-09T05:19:15","slug":"preamble","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/fr\/directive-2022-2555-nis2\/preambule\/","title":{"rendered":"Pr\u00e9ambule"},"content":{"rendered":"
\n

LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL DE L'UNION EUROP\u00c9ENNE,<\/h2>\n\n\n\n
vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114,
Vu la proposition de la Commission europ\u00e9enne,
Apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux,
Vu l'avis de la Banque centrale europ\u00e9enne,
Vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en,
Apr\u00e8s consultation du Comit\u00e9 des r\u00e9gions,
Agissant conform\u00e9ment \u00e0 la proc\u00e9dure l\u00e9gislative ordinaire,<\/div>\n<\/div>\n\n\n\n

Consid\u00e9rant que<\/p>\n\n\n\n

(1) La directive (UE) 2016\/1148 du Parlement europ\u00e9en et du Conseil (4) visait \u00e0 mettre en place un syst\u00e8me de gestion de l'information. cybers\u00e9curit\u00e9Cybers\u00e9curit\u00e9<\/span> \"cybers\u00e9curit\u00e9\", la cybers\u00e9curit\u00e9 telle que d\u00e9finie \u00e0 l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ; - D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a>\r\r\"cybers\u00e9curit\u00e9\" : les activit\u00e9s n\u00e9cessaires pour prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, les utilisateurs de ces syst\u00e8mes et les autres personnes concern\u00e9es par les cybermenaces ; - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ;<\/span><\/span><\/span> dans l'ensemble de l'Union, d'att\u00e9nuer les menaces pesant sur les r\u00e9seaux et les syst\u00e8mes d'information utilis\u00e9s pour fournir des services essentiels dans des secteurs cl\u00e9s et d'assurer la continuit\u00e9 de ces services en cas d'incident, contribuant ainsi \u00e0 la s\u00e9curit\u00e9 de l'Union et au bon fonctionnement de son \u00e9conomie et de sa soci\u00e9t\u00e9.<\/p>\n\n\n\n

(2) Depuis l'entr\u00e9e en vigueur de la directive (UE) 2016\/1148, des progr\u00e8s significatifs ont \u00e9t\u00e9 accomplis pour accro\u00eetre le niveau de cyberr\u00e9silience de l'Union. L'examen de cette directive a montr\u00e9 qu'elle a servi de catalyseur pour l'approche institutionnelle et r\u00e9glementaire de la cybers\u00e9curit\u00e9 dans l'Union, ouvrant la voie \u00e0 un changement significatif d'\u00e9tat d'esprit.<\/p>\n\n\n\n

Cette directive a permis de mettre en place des cadres nationaux sur les th\u00e8mes suivants s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'informationS\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information<\/span> La capacit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information \u00e0 r\u00e9sister, \u00e0 un niveau de confiance donn\u00e9, \u00e0 tout \u00e9v\u00e9nement susceptible de compromettre la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par ces r\u00e9seaux et syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> en \u00e9tablissant des strat\u00e9gies nationales sur la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information et en mettant en place des capacit\u00e9s nationales, ainsi qu'en mettant en \u0153uvre des mesures r\u00e9glementaires couvrant les infrastructures et entit\u00e9s essentielles identifi\u00e9es par chaque \u00c9tat membre.<\/p>\n\n\n\n

La directive (UE) 2016\/1148 a \u00e9galement contribu\u00e9 \u00e0 la coop\u00e9ration au niveau de l'Union par la mise en place du groupe de coop\u00e9ration et du r\u00e9seau des services nationaux de s\u00e9curit\u00e9 informatique. incidentIncident<\/span> Un \u00e9v\u00e9nement compromettant la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> \u00e9quipes d'intervention. Malgr\u00e9 ces r\u00e9alisations, le r\u00e9examen de la directive (UE) 2016\/1148 a r\u00e9v\u00e9l\u00e9 des lacunes inh\u00e9rentes qui l'emp\u00eachent de relever efficacement les d\u00e9fis actuels et \u00e9mergents en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(3) Les r\u00e9seaux et les syst\u00e8mes d'information sont devenus un \u00e9l\u00e9ment central de la vie quotidienne avec la transformation num\u00e9rique rapide et l'interconnexion de la soci\u00e9t\u00e9, y compris dans les \u00e9changes transfrontaliers. Cette \u00e9volution a entra\u00een\u00e9 une expansion des cybermenaceCybermenace<\/span> d\u00e9signe toute circonstance, tout \u00e9v\u00e9nement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre mani\u00e8re aux r\u00e9seaux et aux syst\u00e8mes d'information, aux utilisateurs de ces syst\u00e8mes et \u00e0 d'autres personnes - D\u00e9finition selon l'article 2, point (8), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span> Le paysage de l'Union europ\u00e9enne est en pleine mutation, ce qui entra\u00eene de nouveaux d\u00e9fis qui n\u00e9cessitent des r\u00e9ponses adapt\u00e9es, coordonn\u00e9es et innovantes dans l'ensemble des \u00c9tats membres.<\/p>\n\n\n\n

Le nombre, l'ampleur, la sophistication, la fr\u00e9quence et l'impact des incidents augmentent et constituent une menace majeure pour le fonctionnement des r\u00e9seaux et des syst\u00e8mes d'information. En cons\u00e9quence, les incidents peuvent entraver la poursuite des activit\u00e9s \u00e9conomiques dans le march\u00e9 int\u00e9rieur, g\u00e9n\u00e9rer des pertes financi\u00e8res, saper la confiance des utilisateurs et causer des dommages importants \u00e0 l'\u00e9conomie et \u00e0 la soci\u00e9t\u00e9 de l'Union.<\/p>\n\n\n\n

La pr\u00e9paration et l'efficacit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9 sont donc plus que jamais essentielles au bon fonctionnement du march\u00e9 int\u00e9rieur. En outre, la cybers\u00e9curit\u00e9 est un \u00e9l\u00e9ment cl\u00e9 qui permet \u00e0 de nombreux secteurs critiques de s'engager avec succ\u00e8s dans la transformation num\u00e9rique et de profiter pleinement des avantages \u00e9conomiques, sociaux et durables de la num\u00e9risation.<\/p>\n\n\n\n

(4) La base juridique de la directive (UE) 2016\/1148 \u00e9tait l'article 114 du trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne (TFUE), dont l'objectif est l'\u00e9tablissement et le fonctionnement du march\u00e9 int\u00e9rieur par le renforcement des mesures de rapprochement des r\u00e8gles nationales. Les exigences de cybers\u00e9curit\u00e9 impos\u00e9es aux entit\u00e9s fournissant des services ou exer\u00e7ant des activit\u00e9s \u00e9conomiquement significatives varient consid\u00e9rablement d'un \u00c9tat membre \u00e0 l'autre en termes de type d'exigence, de niveau de d\u00e9tail et de m\u00e9thode de contr\u00f4le. Ces disparit\u00e9s entra\u00eenent des co\u00fbts suppl\u00e9mentaires et cr\u00e9ent des difficult\u00e9s pour les entit\u00e9s qui offrent des biens ou des services au-del\u00e0 des fronti\u00e8res.<\/p>\n\n\n\n

Les exigences impos\u00e9es par un \u00c9tat membre qui sont diff\u00e9rentes de celles impos\u00e9es par un autre \u00c9tat membre, voire en conflit avec elles, peuvent avoir une incidence consid\u00e9rable sur ces activit\u00e9s transfrontali\u00e8res. En outre, l'\u00e9ventualit\u00e9 d'une conception ou d'une mise en \u0153uvre inad\u00e9quate des exigences de cybers\u00e9curit\u00e9 dans un \u00c9tat membre est susceptible d'avoir des r\u00e9percussions sur le niveau de cybers\u00e9curit\u00e9 des autres \u00c9tats membres, notamment en raison de l'intensit\u00e9 des \u00e9changes transfrontaliers.<\/p>\n\n\n\n

L'examen de la directive (UE) 2016\/1148 a montr\u00e9 une grande divergence dans sa mise en \u0153uvre par les \u00c9tats membres, y compris en ce qui concerne son champ d'application, dont la d\u00e9limitation a \u00e9t\u00e9 tr\u00e8s largement laiss\u00e9e \u00e0 la discr\u00e9tion des \u00c9tats membres. La directive (UE) 2016\/1148 a \u00e9galement laiss\u00e9 aux \u00c9tats membres un tr\u00e8s large pouvoir d'appr\u00e9ciation en ce qui concerne la mise en \u0153uvre des obligations en mati\u00e8re de s\u00e9curit\u00e9 et de notification des incidents qu'elle pr\u00e9voit. Ces obligations ont donc \u00e9t\u00e9 mises en \u0153uvre de mani\u00e8re tr\u00e8s diff\u00e9rente au niveau national. Il existe des divergences similaires dans la mise en \u0153uvre des dispositions de la directive (UE) 2016\/1148 relatives \u00e0 la surveillance et \u00e0 l'ex\u00e9cution.<\/p>\n\n\n\n

(5) Toutes ces divergences entra\u00eenent une fragmentation du march\u00e9 int\u00e9rieur et peuvent avoir un effet pr\u00e9judiciable sur son fonctionnement, en affectant notamment la prestation transfrontali\u00e8re de services et le niveau de cyber-r\u00e9silience en raison de l'application d'une s\u00e9rie de mesures. En fin de compte, ces divergences pourraient conduire \u00e0 l'augmentation de la valeur de l'imp\u00f4t sur le revenu des personnes physiques. vuln\u00e9rabilit\u00e9Vuln\u00e9rabilit\u00e9<\/span> Faiblesse, susceptibilit\u00e9 ou d\u00e9faut des produits ou services TIC pouvant \u00eatre exploit\u00e9s par une cybermenace. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> de certains \u00c9tats membres aux cybermenaces, avec des retomb\u00e9es potentielles dans l'ensemble de l'Union.<\/p>\n\n\n\n

La pr\u00e9sente directive vise \u00e0 supprimer ces grandes divergences entre les \u00c9tats membres, notamment en fixant des r\u00e8gles minimales concernant le fonctionnement d'un cadre r\u00e9glementaire coordonn\u00e9, en \u00e9tablissant des m\u00e9canismes de coop\u00e9ration efficace entre les autorit\u00e9s responsables dans chaque \u00c9tat membre, en mettant \u00e0 jour la liste des secteurs et des activit\u00e9s soumis \u00e0 des obligations en mati\u00e8re de cybers\u00e9curit\u00e9 et en pr\u00e9voyant des voies de recours et des mesures d'ex\u00e9cution efficaces qui sont essentielles \u00e0 la mise en \u0153uvre effective de ces obligations. Par cons\u00e9quent, il convient d'abroger la directive (UE) 2016\/1148 et de la remplacer par la pr\u00e9sente directive.<\/p>\n\n\n\n

(6) Avec l'abrogation de la directive (UE) 2016\/1148, le champ d'application par secteur devrait \u00eatre \u00e9tendu \u00e0 une plus grande partie de l'\u00e9conomie afin d'assurer une couverture compl\u00e8te des secteurs et des services d'importance vitale pour les activit\u00e9s soci\u00e9tales et \u00e9conomiques cl\u00e9s dans le march\u00e9 int\u00e9rieur. En particulier, la pr\u00e9sente directive vise \u00e0 combler les lacunes de la diff\u00e9renciation entre les op\u00e9rateurs de services essentiels et les op\u00e9rateurs de services d'int\u00e9r\u00eat \u00e9conomique g\u00e9n\u00e9ral. service num\u00e9riqueService num\u00e9rique<\/span> d\u00e9signe tout service de la soci\u00e9t\u00e9 de l'information, c'est-\u00e0-dire tout service prest\u00e9 normalement contre r\u00e9mun\u00e9ration, \u00e0 distance, par voie \u00e9lectronique et \u00e0 la demande individuelle d'un destinataire de services.\r\rAux fins de la pr\u00e9sente d\u00e9finition : i) \"\u00e0 distance\" signifie que le service est fourni sans que les parties soient simultan\u00e9ment pr\u00e9sentes ; ii) \"par voie \u00e9lectronique\" signifie que le service est envoy\u00e9 initialement et re\u00e7u \u00e0 destination au moyen d'\u00e9quipements \u00e9lectroniques de traitement (y compris la compression num\u00e9rique) et de stockage de donn\u00e9es, et qu'il est enti\u00e8rement transmis, achemin\u00e9 et re\u00e7u par fils, par radio, par moyens optiques ou par d'autres moyens \u00e9lectromagn\u00e9tiques ; iii) \"\u00e0 la demande individuelle d'un destinataire de services\" signifie que le service est fourni par la transmission de donn\u00e9es sur demande individuelle.\r\r- D\u00e9finition selon l'article 1, paragraphe 1, point b), de la directive (UE) 2015\/1535 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span> qui s'est av\u00e9r\u00e9e obsol\u00e8te, car elle ne refl\u00e8te pas l'importance des secteurs ou des services pour les activit\u00e9s soci\u00e9tales et \u00e9conomiques dans le march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(7) En vertu de la directive (UE) 2016\/1148, les \u00c9tats membres \u00e9taient charg\u00e9s d'identifier les entit\u00e9s qui remplissaient les crit\u00e8res pour \u00eatre qualifi\u00e9es d'op\u00e9rateurs de services essentiels. Afin d'\u00e9liminer les grandes divergences entre les \u00c9tats membres \u00e0 cet \u00e9gard et d'assurer la s\u00e9curit\u00e9 juridique en ce qui concerne la cybers\u00e9curit\u00e9. risqueRisque<\/span> d\u00e9signe le potentiel de perte ou de perturbation caus\u00e9 par un incident et doit \u00eatre exprim\u00e9 comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilit\u00e9 d'occurrence de l'incident. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>-En ce qui concerne les mesures de gestion et les obligations de d\u00e9claration pour toutes les entit\u00e9s concern\u00e9es, il convient d'\u00e9tablir un crit\u00e8re uniforme pour d\u00e9terminer les entit\u00e9s entrant dans le champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

Ce crit\u00e8re devrait consister en l'application d'une r\u00e8gle de plafonnement en fonction de la taille, en vertu de laquelle toutes les entit\u00e9s qui sont consid\u00e9r\u00e9es comme des entreprises moyennes au sens de l'article 2 de l'annexe de la recommandation 2003\/361\/CE de la Commission, ou qui d\u00e9passent les plafonds fix\u00e9s pour les entreprises moyennes au paragraphe 1 dudit article, et qui op\u00e8rent dans les secteurs et fournissent les types de services ou exercent les activit\u00e9s couverts par la pr\u00e9sente directive, entrent dans son champ d'application. Les \u00c9tats membres devraient \u00e9galement pr\u00e9voir que certaines petites entreprises et microentreprises, telles que d\u00e9finies \u00e0 l'article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent des crit\u00e8res sp\u00e9cifiques indiquant un r\u00f4le cl\u00e9 pour la soci\u00e9t\u00e9, l'\u00e9conomie ou des secteurs ou types de services particuliers, rel\u00e8vent du champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

(8) L'exclusion des entit\u00e9s de l'administration publique du champ d'application de la pr\u00e9sente directive devrait s'appliquer aux entit\u00e9s dont les activit\u00e9s sont principalement exerc\u00e9es dans les domaines de la s\u00e9curit\u00e9 nationale, de la s\u00e9curit\u00e9 publique, de la d\u00e9fense ou de l'application de la loi, y compris la pr\u00e9vention, la recherche, la d\u00e9tection et la poursuite d'infractions p\u00e9nales. Toutefois, les entit\u00e9s de l'administration publique dont les activit\u00e9s ne sont que marginalement li\u00e9es \u00e0 ces domaines ne devraient pas \u00eatre exclues du champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

Aux fins de la pr\u00e9sente directive, les entit\u00e9s dot\u00e9es de comp\u00e9tences r\u00e9glementaires ne sont pas consid\u00e9r\u00e9es comme exer\u00e7ant des activit\u00e9s dans le domaine de l'application de la loi et ne sont donc pas exclues pour ce motif du champ d'application de la pr\u00e9sente directive. Les entit\u00e9s de l'administration publique qui sont \u00e9tablies conjointement avec un pays tiers conform\u00e9ment \u00e0 un accord international sont exclues du champ d'application de la pr\u00e9sente directive. La pr\u00e9sente directive ne s'applique pas aux missions diplomatiques et consulaires des \u00c9tats membres dans les pays tiers ni \u00e0 leurs r\u00e9seaux et syst\u00e8mes d'information, dans la mesure o\u00f9 ces syst\u00e8mes sont situ\u00e9s dans les locaux de la mission ou sont exploit\u00e9s pour des utilisateurs dans un pays tiers.<\/p>\n\n\n\n

(9) Les \u00c9tats membres doivent pouvoir prendre les mesures n\u00e9cessaires pour assurer la protection des int\u00e9r\u00eats essentiels de la s\u00e9curit\u00e9 nationale, pour sauvegarder l'ordre public et la s\u00e9curit\u00e9 publique et pour permettre la pr\u00e9vention, la recherche, la d\u00e9tection et la poursuite des infractions p\u00e9nales.<\/p>\n\n\n\n

\u00c0 cette fin, les \u00c9tats membres devraient pouvoir exempter des entit\u00e9s sp\u00e9cifiques qui exercent des activit\u00e9s dans les domaines de la s\u00e9curit\u00e9 nationale, de la s\u00e9curit\u00e9 publique, de la d\u00e9fense ou de l'application de la loi, y compris la pr\u00e9vention, la recherche, la d\u00e9tection et la poursuite d'infractions p\u00e9nales, de certaines obligations pr\u00e9vues par la pr\u00e9sente directive en ce qui concerne ces activit\u00e9s.<\/p>\n\n\n\n

O\u00f9 un entit\u00e9Entit\u00e9<\/span> Une personne physique ou morale cr\u00e9\u00e9e et reconnue comme telle par le droit national de son lieu d'\u00e9tablissement, qui peut, en agissant sous son propre nom, exercer des droits et \u00eatre soumise \u00e0 des obligations. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> fournit des services exclusivement \u00e0 un entit\u00e9 de l'administration publiqueEntit\u00e9 de l'administration publique<\/span> d\u00e9signe une entit\u00e9 reconnue comme telle dans un \u00c9tat membre conform\u00e9ment au droit national, \u00e0 l'exclusion du pouvoir judiciaire, des parlements et des banques centrales, qui satisfait aux crit\u00e8res suivants :\r(a) elle est cr\u00e9\u00e9e pour satisfaire des besoins d'int\u00e9r\u00eat g\u00e9n\u00e9ral et n'a pas de caract\u00e8re industriel ou commercial ; (b) elle a la personnalit\u00e9 juridique ou est habilit\u00e9e par la loi \u00e0 agir au nom d'une autre entit\u00e9 dot\u00e9e de la personnalit\u00e9 juridique ; (c) elle est financ\u00e9e, pour l'essentiel, par des fonds publics ;\r(c) elle est financ\u00e9e majoritairement par l'\u00c9tat, les collectivit\u00e9s territoriales ou d'autres organismes de droit public, elle est soumise au contr\u00f4le de gestion de ces autorit\u00e9s ou organismes, ou elle est dot\u00e9e d'un organe d'administration, de direction ou de surveillance dont plus de la moiti\u00e9 des membres sont d\u00e9sign\u00e9s par l'\u00c9tat, les collectivit\u00e9s territoriales ou d'autres organismes de droit public ; d) elle a le pouvoir d'adresser \u00e0 des personnes physiques ou morales des d\u00e9cisions administratives ou r\u00e9glementaires affectant leurs droits en mati\u00e8re de circulation transfrontali\u00e8re des personnes, des biens, des services ou des capitaux.\r- D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> qui est exclue du champ d'application de la pr\u00e9sente directive, les \u00c9tats membres devraient pouvoir exempter cette entit\u00e9 de certaines obligations pr\u00e9vues par la pr\u00e9sente directive en ce qui concerne ces services. En outre, aucun \u00c9tat membre ne devrait \u00eatre tenu de fournir des informations dont la divulgation serait contraire aux int\u00e9r\u00eats essentiels de sa s\u00e9curit\u00e9 nationale, de sa s\u00e9curit\u00e9 publique ou de sa d\u00e9fense.<\/p>\n\n\n\n

Les r\u00e8gles nationales ou de l'Union relatives \u00e0 la protection des informations classifi\u00e9es, les accords de non-divulgation et les accords informels de non-divulgation tels que le protocole sur les feux de signalisation doivent \u00eatre pris en compte dans ce contexte. Le protocole des feux tricolores doit \u00eatre compris comme un moyen de fournir des informations sur les limitations \u00e9ventuelles concernant la diffusion ult\u00e9rieure des informations. Il est utilis\u00e9 dans presque toutes les \u00e9quipes de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (CSIRT) et dans certains centres d'analyse et de partage de l'information.<\/p>\n\n\n\n

(10) Bien que la pr\u00e9sente directive s'applique aux entit\u00e9s exer\u00e7ant des activit\u00e9s de production d'\u00e9lectricit\u00e9 \u00e0 partir de centrales nucl\u00e9aires, certaines de ces activit\u00e9s peuvent \u00eatre li\u00e9es \u00e0 la s\u00e9curit\u00e9 nationale. Dans ce cas, un \u00c9tat membre devrait pouvoir exercer sa responsabilit\u00e9 en mati\u00e8re de sauvegarde de la s\u00e9curit\u00e9 nationale en ce qui concerne ces activit\u00e9s, y compris les activit\u00e9s au sein de la cha\u00eene de valeur nucl\u00e9aire, conform\u00e9ment aux trait\u00e9s.<\/p>\n\n\n\n

(11) Certaines entit\u00e9s exercent des activit\u00e9s dans les domaines de la s\u00e9curit\u00e9 nationale, de la s\u00e9curit\u00e9 publique, de la d\u00e9fense ou de l'application de la loi, y compris la pr\u00e9vention, la recherche, la d\u00e9tection et la poursuite d'infractions p\u00e9nales, tout en fournissant des services fiduciaires. Service de confianceService de confiance<\/span> D\u00e9signe un service \u00e9lectronique normalement fourni contre r\u00e9mun\u00e9ration qui consiste en : a) la cr\u00e9ation, la v\u00e9rification et la validation de signatures \u00e9lectroniques, de cachets \u00e9lectroniques ou d'horodatages \u00e9lectroniques, de services d'envoi recommand\u00e9 \u00e9lectronique et de certificats li\u00e9s \u00e0 ces services, ou b) la cr\u00e9ation, la v\u00e9rification et la validation de certificats pour l'authentification de sites web ; ou c) la conservation de signatures \u00e9lectroniques, de cachets ou de certificats li\u00e9s \u00e0 ces services. - D\u00e9finition selon l'article 3, point (16), du r\u00e8glement (UE) n\u00b0 910\/2014.<\/span><\/span><\/span> qui rel\u00e8vent du champ d'application du r\u00e8glement (UE) n\u00b0 910\/2014 du Parlement europ\u00e9en et du Conseil (6) devraient relever du champ d'application de la pr\u00e9sente directive afin de garantir le m\u00eame niveau d'exigences de s\u00e9curit\u00e9 et de surveillance que celui qui \u00e9tait pr\u00e9c\u00e9demment pr\u00e9vu par ledit r\u00e8glement en ce qui concerne les prestataires de services de confiance. Conform\u00e9ment \u00e0 l'exclusion de certains services sp\u00e9cifiques du r\u00e8glement (UE) n\u00b0 910\/2014, la pr\u00e9sente directive ne devrait pas s'appliquer \u00e0 la fourniture de services de confiance qui sont utilis\u00e9s exclusivement dans le cadre de syst\u00e8mes ferm\u00e9s r\u00e9sultant du droit national ou d'accords entre un ensemble d\u00e9fini de participants.<\/p>\n\n\n\n

(12) Les prestataires de services postaux tels que d\u00e9finis dans la directive 97\/67\/CE du Parlement europ\u00e9en et du Conseil, y compris les prestataires de services de courrier, devraient \u00eatre soumis \u00e0 la pr\u00e9sente directive s'ils fournissent au moins une des \u00e9tapes de la cha\u00eene de distribution postale, notamment la lev\u00e9e, le tri, le transport ou la distribution des envois postaux, y compris les services de collecte, tout en tenant compte de leur degr\u00e9 de d\u00e9pendance \u00e0 l'\u00e9gard des r\u00e9seaux et des syst\u00e8mes d'information. Les services de transport qui ne sont pas fournis en liaison avec l'une de ces \u00e9tapes devraient \u00eatre exclus du champ d'application des services postaux.<\/p>\n\n\n\n

(13) Compte tenu de l'intensification et de la sophistication croissante des cybermenaces, les \u00c9tats membres devraient s'efforcer de veiller \u00e0 ce que les entit\u00e9s exclues du champ d'application de la pr\u00e9sente directive atteignent un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 et de soutenir la mise en \u0153uvre de mesures \u00e9quivalentes de gestion du risque de cybers\u00e9curit\u00e9 qui tiennent compte de la nature sensible de ces entit\u00e9s.<\/p>\n\n\n\n

(14) Le droit de l'Union en mati\u00e8re de protection des donn\u00e9es et le droit de l'Union en mati\u00e8re de respect de la vie priv\u00e9e s'appliquent \u00e0 tout traitement de donn\u00e9es \u00e0 caract\u00e8re personnel en vertu de la pr\u00e9sente directive. En particulier, la pr\u00e9sente directive est sans pr\u00e9judice du r\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil et de la directive 2002\/58\/CE du Parlement europ\u00e9en et du Conseil. La pr\u00e9sente directive ne devrait donc pas affecter, entre autres, les t\u00e2ches et les pouvoirs des autorit\u00e9s comp\u00e9tentes pour contr\u00f4ler le respect du droit de l'Union applicable en mati\u00e8re de protection des donn\u00e9es et du droit de l'Union en mati\u00e8re de protection de la vie priv\u00e9e.<\/p>\n\n\n\n

(15) Les entit\u00e9s relevant du champ d'application de la pr\u00e9sente directive aux fins du respect des mesures de gestion des risques de cybers\u00e9curit\u00e9 et des obligations de d\u00e9claration devraient \u00eatre class\u00e9es en deux cat\u00e9gories, \u00e0 savoir les entit\u00e9s essentielles et les entit\u00e9s importantes, en fonction de leur criticit\u00e9 pour leur secteur ou le type de service qu'elles fournissent, ainsi que de leur taille. \u00c0 cet \u00e9gard, il convient de tenir d\u00fbment compte de toute \u00e9valuation des risques sectoriels ou de toute orientation des autorit\u00e9s comp\u00e9tentes, le cas \u00e9ch\u00e9ant. Les r\u00e9gimes de surveillance et d'ex\u00e9cution applicables \u00e0 ces deux cat\u00e9gories d'entit\u00e9s devraient \u00eatre diff\u00e9renci\u00e9s afin d'assurer un juste \u00e9quilibre entre, d'une part, les exigences et obligations fond\u00e9es sur le risque et, d'autre part, la charge administrative d\u00e9coulant de la surveillance du respect de ces exigences et obligations.<\/p>\n\n\n\n

(16) Afin d'\u00e9viter que les entit\u00e9s qui ont des entreprises partenaires ou qui sont des entreprises li\u00e9es soient consid\u00e9r\u00e9es comme des entit\u00e9s essentielles ou importantes lorsque cela serait disproportionn\u00e9, les \u00c9tats membres peuvent tenir compte du degr\u00e9 d'ind\u00e9pendance dont jouit une entit\u00e9 par rapport \u00e0 ses entreprises partenaires ou li\u00e9es lorsqu'ils appliquent l'article 6, paragraphe 2, de l'annexe de la recommandation 2003\/361\/CE. En particulier, les \u00c9tats membres peuvent tenir compte du fait qu'une entit\u00e9 est ind\u00e9pendante de ses entreprises partenaires ou li\u00e9es en ce qui concerne le r\u00e9seau et les syst\u00e8mes d'information qu'elle utilise pour la prestation de ses services et en ce qui concerne les services qu'elle fournit.<\/p>\n\n\n\n

Sur cette base, les \u00c9tats membres peuvent, le cas \u00e9ch\u00e9ant, consid\u00e9rer qu'une telle entit\u00e9 ne remplit pas les conditions requises pour \u00eatre consid\u00e9r\u00e9e comme une moyenne entreprise au sens de l'article 2 de l'annexe de la recommandation 2003\/361\/CE, ou ne d\u00e9passe pas les plafonds fix\u00e9s pour une moyenne entreprise au paragraphe 1 de cet article, si, apr\u00e8s avoir pris en compte le degr\u00e9 d'ind\u00e9pendance de cette entit\u00e9, celle-ci n'aurait pas \u00e9t\u00e9 consid\u00e9r\u00e9e comme une moyenne entreprise ou comme d\u00e9passant ces plafonds si seules ses propres donn\u00e9es avaient \u00e9t\u00e9 prises en compte. Ceci n'affecte pas les obligations pr\u00e9vues par la pr\u00e9sente directive pour les entreprises partenaires et li\u00e9es qui rel\u00e8vent du champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

(17) Les \u00c9tats membres devraient pouvoir d\u00e9cider que les entit\u00e9s identifi\u00e9es avant l'entr\u00e9e en vigueur de la pr\u00e9sente directive comme op\u00e9rateurs de services essentiels conform\u00e9ment \u00e0 la directive (UE) 2016\/1148 doivent \u00eatre consid\u00e9r\u00e9es comme des entit\u00e9s essentielles.<\/p>\n\n\n\n

(18) Afin d'avoir une vue d'ensemble claire des entit\u00e9s relevant du champ d'application de la pr\u00e9sente directive, les \u00c9tats membres doivent \u00e9tablir une liste des entit\u00e9s essentielles et importantes ainsi que des entit\u00e9s fournissant des services d'enregistrement de noms de domaine. \u00c0 cette fin, les \u00c9tats membres doivent exiger des entit\u00e9s qu'elles soumettent au moins les informations suivantes aux autorit\u00e9s comp\u00e9tentes, \u00e0 savoir le nom, l'adresse et les coordonn\u00e9es \u00e0 jour, y compris les adresses \u00e9lectroniques, les plages IP et les num\u00e9ros de t\u00e9l\u00e9phone de l'entit\u00e9 et, le cas \u00e9ch\u00e9ant, le secteur et le sous-secteur concern\u00e9s vis\u00e9s dans les annexes, ainsi que, le cas \u00e9ch\u00e9ant, une liste des \u00c9tats membres dans lesquels elles fournissent des services entrant dans le champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

\u00c0 cette fin, la Commission, avec l'aide de l'Agence de l'Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA), devrait, dans les meilleurs d\u00e9lais, fournir des lignes directrices et des mod\u00e8les concernant l'obligation de fournir des informations. Pour faciliter l'\u00e9tablissement et la mise \u00e0 jour de la liste des entit\u00e9s essentielles et importantes ainsi que des entit\u00e9s fournissant des services d'enregistrement de noms de domaine, les \u00c9tats membres devraient pouvoir mettre en place des m\u00e9canismes nationaux permettant aux entit\u00e9s de s'enregistrer elles-m\u00eames. Lorsque des registres existent au niveau national, les \u00c9tats membres peuvent d\u00e9cider des m\u00e9canismes appropri\u00e9s permettant l'identification des entit\u00e9s relevant du champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

(19) Les \u00c9tats membres devraient \u00eatre charg\u00e9s de communiquer \u00e0 la Commission au moins le nombre d'entit\u00e9s essentielles et importantes pour chaque secteur et sous-secteur vis\u00e9 dans les annexes, ainsi que des informations pertinentes sur le nombre d'entit\u00e9s identifi\u00e9es et la disposition, parmi celles pr\u00e9vues par la pr\u00e9sente directive, sur la base de laquelle elles ont \u00e9t\u00e9 identifi\u00e9es, ainsi que le type de service qu'elles fournissent. Les \u00c9tats membres sont encourag\u00e9s \u00e0 \u00e9changer avec la Commission des informations sur les entit\u00e9s essentielles et importantes et, dans le cas d'un sous-secteur, sur le nombre d'entit\u00e9s identifi\u00e9es. incident de cybers\u00e9curit\u00e9 \u00e0 grande \u00e9chelleIncident de cybers\u00e9curit\u00e9 de grande ampleur<\/span> Un incident qui provoque un niveau de perturbation d\u00e9passant la capacit\u00e9 de r\u00e9action d'un \u00c9tat membre ou qui a un impact significatif sur au moins deux \u00c9tats membres. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>Les informations sur l'identit\u00e9 de l'entit\u00e9 concern\u00e9e doivent \u00eatre fournies dans le formulaire de demande d'asile, qui contient des informations pertinentes telles que le nom de l'entit\u00e9 concern\u00e9e.<\/p>\n\n\n\n

(20) La Commission devrait, en coop\u00e9ration avec le groupe de coop\u00e9ration et apr\u00e8s avoir consult\u00e9 les parties prenantes concern\u00e9es, fournir des lignes directrices sur la mise en \u0153uvre des crit\u00e8res applicables aux microentreprises et aux petites entreprises pour d\u00e9terminer si elles rel\u00e8vent du champ d'application de la pr\u00e9sente directive. La Commission devrait \u00e9galement veiller \u00e0 ce que des orientations appropri\u00e9es soient donn\u00e9es aux microentreprises et aux petites entreprises relevant du champ d'application de la pr\u00e9sente directive. La Commission devrait, avec l'aide des \u00c9tats membres, mettre des informations \u00e0 la disposition des microentreprises et des petites entreprises \u00e0 cet \u00e9gard.<\/p>\n\n\n\n

(21) La Commission pourrait fournir des orientations pour aider les \u00c9tats membres \u00e0 mettre en \u0153uvre les dispositions de la pr\u00e9sente directive relatives au champ d'application et \u00e0 \u00e9valuer la proportionnalit\u00e9 des mesures \u00e0 prendre en vertu de la pr\u00e9sente directive, notamment en ce qui concerne les entit\u00e9s ayant des mod\u00e8les d'entreprise ou des environnements op\u00e9rationnels complexes, dans lesquels une entit\u00e9 peut remplir simultan\u00e9ment les crit\u00e8res attribu\u00e9s aux entit\u00e9s essentielles et importantes ou peut mener simultan\u00e9ment des activit\u00e9s dont certaines entrent dans le champ d'application de la pr\u00e9sente directive et d'autres en sont exclues.<\/p>\n\n\n\n

(22) La pr\u00e9sente directive d\u00e9finit les bases des mesures de gestion du risque de cybers\u00e9curit\u00e9 et des obligations de d\u00e9claration dans les secteurs qui rel\u00e8vent de son champ d'application. Afin d'\u00e9viter la fragmentation des dispositions relatives \u00e0 la cybers\u00e9curit\u00e9 dans les actes juridiques de l'Union, lorsque d'autres actes juridiques sectoriels de l'Union relatifs aux mesures de gestion du risque de cybers\u00e9curit\u00e9 et aux obligations de d\u00e9claration sont jug\u00e9s n\u00e9cessaires pour assurer un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 dans l'ensemble de l'Union, la Commission devrait d\u00e9terminer si ces dispositions suppl\u00e9mentaires pourraient \u00eatre stipul\u00e9es dans un acte d'ex\u00e9cution au titre de la pr\u00e9sente directive.<\/p>\n\n\n\n

Si un tel acte d'ex\u00e9cution ne convenait pas \u00e0 cette fin, des actes juridiques de l'Union sectoriels pourraient contribuer \u00e0 assurer un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 dans l'ensemble de l'Union, tout en tenant pleinement compte des sp\u00e9cificit\u00e9s et des complexit\u00e9s des secteurs concern\u00e9s. \u00c0 cette fin, la pr\u00e9sente directive n'exclut pas l'adoption d'autres actes juridiques de l'Union sectoriels portant sur des mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et des obligations d'information qui tiennent d\u00fbment compte de la n\u00e9cessit\u00e9 d'un cadre de cybers\u00e9curit\u00e9 complet et coh\u00e9rent. La pr\u00e9sente directive est sans pr\u00e9judice des comp\u00e9tences d'ex\u00e9cution existantes qui ont \u00e9t\u00e9 conf\u00e9r\u00e9es \u00e0 la Commission dans un certain nombre de secteurs, notamment les transports et l'\u00e9nergie.<\/p>\n\n\n\n

(23) Lorsqu'un acte juridique sectoriel de l'Union contient des dispositions exigeant des entit\u00e9s essentielles ou importantes qu'elles adoptent des mesures de gestion des risques de cybers\u00e9curit\u00e9 ou qu'elles notifient les incidents significatifs, et que ces exigences sont au moins \u00e9quivalentes, dans leurs effets, aux obligations pr\u00e9vues par la pr\u00e9sente directive, ces dispositions, y compris en mati\u00e8re de surveillance et d'ex\u00e9cution, devraient s'appliquer \u00e0 ces entit\u00e9s. Si un acte juridique sectoriel de l'Union ne couvre pas toutes les entit\u00e9s d'un secteur sp\u00e9cifique relevant du champ d'application de la pr\u00e9sente directive, les dispositions pertinentes de la pr\u00e9sente directive devraient continuer \u00e0 s'appliquer aux entit\u00e9s non couvertes par cet acte.<\/p>\n\n\n\n

(24) Lorsque les dispositions d'un acte juridique sectoriel de l'Union imposent aux entit\u00e9s essentielles ou importantes de se conformer \u00e0 des obligations de notification qui sont au moins \u00e9quivalentes, dans leurs effets, aux obligations de notification pr\u00e9vues par la pr\u00e9sente directive, il convient de veiller \u00e0 la coh\u00e9rence et \u00e0 l'efficacit\u00e9 du traitement des notifications d'incidents. \u00c0 cette fin, les dispositions relatives aux notifications d'incidents de l'acte juridique sectoriel de l'Union devraient permettre aux CSIRT, aux autorit\u00e9s comp\u00e9tentes ou aux points de contact uniques en mati\u00e8re de cybers\u00e9curit\u00e9 (points de contact uniques) au titre de la pr\u00e9sente directive d'acc\u00e9der imm\u00e9diatement aux notifications d'incidents soumises conform\u00e9ment \u00e0 l'acte juridique sectoriel de l'Union.<\/p>\n\n\n\n

En particulier, cet acc\u00e8s imm\u00e9diat peut \u00eatre assur\u00e9 si les notifications d'incidents sont transmises sans retard injustifi\u00e9 au CSIRT, \u00e0 l'autorit\u00e9 comp\u00e9tente ou au point de contact unique en vertu de la pr\u00e9sente directive. Le cas \u00e9ch\u00e9ant, les \u00c9tats membres devraient mettre en place un m\u00e9canisme de notification automatique et directe qui assure un partage syst\u00e9matique et imm\u00e9diat des informations avec les CSIRT, les autorit\u00e9s comp\u00e9tentes ou les points de contact uniques concernant le traitement de ces notifications d'incidents. Afin de simplifier la notification et de mettre en \u0153uvre le m\u00e9canisme de notification automatique et directe, les \u00c9tats membres pourraient, conform\u00e9ment \u00e0 l'acte juridique sectoriel de l'Union, utiliser un point d'entr\u00e9e unique.<\/p>\n\n\n\n

(25) Les actes juridiques sectoriels de l'Union qui pr\u00e9voient des mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 ou des obligations d'information au moins \u00e9quivalentes \u00e0 celles pr\u00e9vues par la pr\u00e9sente directive pourraient pr\u00e9voir que les autorit\u00e9s comp\u00e9tentes en vertu de ces actes exercent leurs pouvoirs de surveillance et d'ex\u00e9cution en ce qui concerne ces mesures ou obligations avec l'assistance des autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive.<\/p>\n\n\n\n

Les autorit\u00e9s comp\u00e9tentes concern\u00e9es pourraient \u00e9tablir des accords de coop\u00e9ration \u00e0 cette fin. Ces accords de coop\u00e9ration pourraient pr\u00e9ciser, entre autres, les proc\u00e9dures relatives \u00e0 la coordination des activit\u00e9s de surveillance, y compris les proc\u00e9dures d'enqu\u00eate et d'inspection sur place conform\u00e9ment au droit national, et un m\u00e9canisme d'\u00e9change d'informations pertinentes sur la surveillance et l'ex\u00e9cution entre les autorit\u00e9s comp\u00e9tentes, y compris l'acc\u00e8s aux informations relatives \u00e0 la cybern\u00e9tique demand\u00e9es par les autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive.<\/p>\n\n\n\n

(26) Lorsque des actes juridiques sectoriels de l'Union exigent des entit\u00e9s qu'elles notifient les cybermenaces importantes ou les incitent \u00e0 le faire, les \u00c9tats membres devraient \u00e9galement encourager le partage des cybermenaces importantes avec les CSIRT, les autorit\u00e9s comp\u00e9tentes ou les points de contact uniques au titre de la pr\u00e9sente directive, afin que ces organismes aient une meilleure connaissance du paysage des cybermenaces et qu'ils puissent r\u00e9agir efficacement et en temps utile si les cybermenaces importantes se concr\u00e9tisent.<\/p>\n\n\n\n

(27) Les futurs actes juridiques sectoriels de l'Union devraient tenir d\u00fbment compte des d\u00e9finitions et du cadre de surveillance et d'ex\u00e9cution pr\u00e9vus par la pr\u00e9sente directive.<\/p>\n\n\n\n

(28) Le r\u00e8glement (UE) 2022\/2554 du Parlement europ\u00e9en et du Conseil (10) devrait \u00eatre consid\u00e9r\u00e9 comme un acte juridique de l'Union sectoriel en rapport avec la pr\u00e9sente directive en ce qui concerne les entit\u00e9s financi\u00e8res. Les dispositions du r\u00e8glement (UE) 2022\/2554 relatives \u00e0 la gestion des risques li\u00e9s aux technologies de l'information et de la communication (TIC), \u00e0 la gestion des incidents li\u00e9s aux TIC et, en particulier, \u00e0 la notification des incidents majeurs li\u00e9s aux TIC, ainsi qu'aux tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, aux accords de partage d'informations et aux risques li\u00e9s aux TIC pour les tiers devraient s'appliquer en lieu et place de celles pr\u00e9vues par la pr\u00e9sente directive. Les \u00c9tats membres ne devraient donc pas appliquer les dispositions de la pr\u00e9sente directive relatives aux obligations de gestion du risque de cybers\u00e9curit\u00e9 et de d\u00e9claration, ainsi qu'\u00e0 la surveillance et \u00e0 l'ex\u00e9cution, aux entit\u00e9s financi\u00e8res couvertes par le r\u00e8glement (UE) n\u00b0 2022\/2554. Dans le m\u00eame temps, il est important de maintenir une relation forte et un \u00e9change d'informations avec le secteur financier au titre de la pr\u00e9sente directive.<\/p>\n\n\n\n

\u00c0 cette fin, le r\u00e8glement (UE) 2022\/2554 autorise les autorit\u00e9s europ\u00e9ennes de surveillance (AES) et les autorit\u00e9s comp\u00e9tentes en vertu de ce r\u00e8glement \u00e0 participer aux activit\u00e9s du groupe de coop\u00e9ration, \u00e0 \u00e9changer des informations et \u00e0 coop\u00e9rer avec les points de contact uniques, ainsi qu'avec les CSIRT et les autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive. Les autorit\u00e9s comp\u00e9tentes en vertu du r\u00e8glement (UE) n\u00b0 2022\/2554 devraient \u00e9galement transmettre les d\u00e9tails des incidents majeurs li\u00e9s aux TIC et, le cas \u00e9ch\u00e9ant, des cybermenaces importantes aux CSIRT, aux autorit\u00e9s comp\u00e9tentes ou aux points de contact uniques en vertu de la pr\u00e9sente directive. Pour ce faire, il convient de fournir un acc\u00e8s imm\u00e9diat aux notifications d'incidents et de les transmettre soit directement, soit par l'interm\u00e9diaire d'un point d'entr\u00e9e unique. En outre, les \u00c9tats membres devraient continuer \u00e0 inclure le secteur financier dans leurs strat\u00e9gies de cybers\u00e9curit\u00e9 et les CSIRT peuvent couvrir le secteur financier dans leurs activit\u00e9s.<\/p>\n\n\n\n

(29) Afin d'\u00e9viter les \u00e9carts entre les obligations en mati\u00e8re de cybers\u00e9curit\u00e9 impos\u00e9es aux entit\u00e9s du secteur de l'aviation ou les doubles emplois, les autorit\u00e9s nationales au titre des r\u00e8glements (CE) n\u00b0 300\/2008 et (UE) 2018\/1139 du Parlement europ\u00e9en et du Conseil et les autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive devraient coop\u00e9rer en ce qui concerne la mise en \u0153uvre de mesures de gestion des risques de cybers\u00e9curit\u00e9 et la surveillance du respect de ces mesures au niveau national. La conformit\u00e9 d'une entit\u00e9 aux exigences de s\u00e9curit\u00e9 \u00e9nonc\u00e9es dans les r\u00e8glements (CE) n\u00b0 300\/2008 et (UE) 2018\/1139 et dans les actes d\u00e9l\u00e9gu\u00e9s et d'ex\u00e9cution pertinents adopt\u00e9s en vertu de ces r\u00e8glements pourrait \u00eatre consid\u00e9r\u00e9e par les autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive comme constituant une conformit\u00e9 aux exigences correspondantes \u00e9nonc\u00e9es dans la pr\u00e9sente directive.<\/p>\n\n\n\n

(30) Compte tenu des liens entre la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 physique des entit\u00e9s, il convient d'assurer une approche coh\u00e9rente entre la directive (UE) 2022\/2557 du Parlement europ\u00e9en et du Conseil et la pr\u00e9sente directive. \u00c0 cette fin, les entit\u00e9s consid\u00e9r\u00e9es comme des entit\u00e9s critiques au titre de la directive (UE) 2022\/2557 devraient \u00eatre consid\u00e9r\u00e9es comme des entit\u00e9s essentielles au titre de la pr\u00e9sente directive.<\/p>\n\n\n\n

En outre, chaque \u00c9tat membre devrait veiller \u00e0 ce que ses strat\u00e9gie nationale de cybers\u00e9curit\u00e9Strat\u00e9gie nationale de cybers\u00e9curit\u00e9<\/span> d\u00e9signe un cadre coh\u00e9rent d'un \u00c9tat membre fournissant des objectifs strat\u00e9giques et des priorit\u00e9s dans le domaine de la cybers\u00e9curit\u00e9 ainsi que la gouvernance n\u00e9cessaire pour les atteindre dans cet \u00c9tat membre. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> pr\u00e9voit un cadre politique pour une coordination renforc\u00e9e dans cet \u00c9tat membre entre ses autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive et celles au titre de la directive (UE) 2022\/2557 dans le contexte du partage d'informations sur les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non li\u00e9s au cyberespace, et de l'exercice des missions de surveillance. Les autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive et celles en vertu de la directive (UE) 2022\/2557 devraient coop\u00e9rer et \u00e9changer des informations sans retard excessif, en particulier en ce qui concerne l'identification des entit\u00e9s critiques, des risques, des cybermenaces et des incidents, ainsi que des risques, menaces et incidents non li\u00e9s au cyberespace qui affectent les entit\u00e9s critiques, y compris les mesures de cybers\u00e9curit\u00e9 et les mesures physiques prises par les entit\u00e9s critiques, ainsi que les r\u00e9sultats des activit\u00e9s de surveillance exerc\u00e9es \u00e0 l'\u00e9gard de ces entit\u00e9s.<\/p>\n\n\n\n

En outre, afin de rationaliser les activit\u00e9s de surveillance entre les autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive et celles au titre de la directive (UE) 2022\/2557 et de r\u00e9duire au minimum la charge administrative pour les entit\u00e9s concern\u00e9es, ces autorit\u00e9s comp\u00e9tentes devraient s'efforcer d'harmoniser les mod\u00e8les de notification d'incidents et les processus de surveillance. Le cas \u00e9ch\u00e9ant, les autorit\u00e9s comp\u00e9tentes en vertu de la directive (UE) 2022\/2557 devraient pouvoir demander aux autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive d'exercer leurs pouvoirs de surveillance et d'ex\u00e9cution \u00e0 l'\u00e9gard d'une entit\u00e9 consid\u00e9r\u00e9e comme une entit\u00e9 critique en vertu de la directive (UE) 2022\/2557. Les autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive et celles au titre de la directive (UE) 2022\/2557 devraient, si possible en temps r\u00e9el, coop\u00e9rer et \u00e9changer des informations \u00e0 cette fin.<\/p>\n\n\n\n

(31) Les entit\u00e9s appartenant au secteur de l'infrastructure num\u00e9rique reposent essentiellement sur des syst\u00e8mes de r\u00e9seau et d'information et, par cons\u00e9quent, les obligations impos\u00e9es \u00e0 ces entit\u00e9s en vertu de la pr\u00e9sente directive devraient porter de mani\u00e8re globale sur la s\u00e9curit\u00e9 physique de ces syst\u00e8mes dans le cadre de leurs mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et de leurs obligations de d\u00e9claration. \u00c9tant donn\u00e9 que ces questions sont couvertes par la pr\u00e9sente directive, les obligations pr\u00e9vues aux chapitres III, IV et VI de la directive (UE) 2022\/2557 ne s'appliquent pas \u00e0 ces entit\u00e9s.

<\/p>\n\n\n\n

(32) Le maintien et la pr\u00e9servation d'un syst\u00e8me de noms de domaine (DNS) fiable, r\u00e9silient et s\u00fbr sont des facteurs cl\u00e9s du maintien de l'int\u00e9grit\u00e9 de l'internet et sont essentiels \u00e0 son fonctionnement continu et stable, dont d\u00e9pendent l'\u00e9conomie et la soci\u00e9t\u00e9 num\u00e9riques. Par cons\u00e9quent, la pr\u00e9sente directive devrait s'appliquer aux registres de noms de domaines de premier niveau (TLD) et aux prestataires de services DNS, c'est-\u00e0-dire aux entit\u00e9s fournissant des services de r\u00e9solution r\u00e9cursive de noms de domaines accessibles au public pour les utilisateurs finaux de l'internet ou des services de r\u00e9solution de noms de domaines faisant autorit\u00e9 pour une utilisation par des tiers. La pr\u00e9sente directive ne devrait pas s'appliquer aux serveurs de noms racine.

<\/p>\n\n\n\n

(33) Les services d'informatique en nuage doivent couvrir les services num\u00e9riques qui permettent l'administration \u00e0 la demande et un large acc\u00e8s \u00e0 distance \u00e0 un ensemble \u00e9volutif et \u00e9lastique de ressources informatiques partageables, y compris lorsque ces ressources sont r\u00e9parties sur plusieurs sites. Les ressources informatiques comprennent des ressources telles que des r\u00e9seaux, des serveurs ou d'autres infrastructures, des syst\u00e8mes d'exploitation, des logiciels, du stockage, des applications et des services. Les mod\u00e8les de service de l'informatique en nuage comprennent, entre autres, l'infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS), le logiciel en tant que service (SaaS) et le r\u00e9seau en tant que service (NaaS).
<\/p>\n\n\n\n

Les mod\u00e8les de d\u00e9ploiement de l'informatique en nuage devraient inclure les nuages priv\u00e9s, communautaires, publics et hybrides. Les service d'informatique en nuageService d'informatique en nuage<\/span> d\u00e9signe un service num\u00e9rique qui permet l'administration \u00e0 la demande et un large acc\u00e8s \u00e0 distance \u00e0 un pool \u00e9volutif et \u00e9lastique de ressources informatiques partageables, y compris lorsque ces ressources sont r\u00e9parties sur plusieurs sites. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> et les mod\u00e8les de d\u00e9ploiement ont la m\u00eame signification que les termes de service et les mod\u00e8les de d\u00e9ploiement d\u00e9finis dans la norme ISO\/IEC 17788:2014. standardStandard<\/span> Une sp\u00e9cification technique, adopt\u00e9e par un organisme de normalisation reconnu, pour une application r\u00e9p\u00e9t\u00e9e ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes :\r(a) \"norme internationale\", une norme adopt\u00e9e par un organisme international de normalisation ; b) \"norme europ\u00e9enne\", une norme adopt\u00e9e par un organisme europ\u00e9en de normalisation ; c) \"norme harmonis\u00e9e\", une norme europ\u00e9enne adopt\u00e9e sur la base d'une demande d'application de la l\u00e9gislation d'harmonisation de l'Union formul\u00e9e par la Commission ; d) \"norme nationale\", une norme adopt\u00e9e par un organisme national de normalisation - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) n\u00b0 1025\/2012 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span>. La capacit\u00e9 de l'utilisateur de l'informatique en nuage \u00e0 fournir unilat\u00e9ralement des capacit\u00e9s informatiques, telles que du temps de serveur ou du stockage en r\u00e9seau, sans aucune interaction humaine de la part du fournisseur de services d'informatique en nuage peut \u00eatre d\u00e9crite comme une administration \u00e0 la demande.
<\/p>\n\n\n\n

L'expression \"large acc\u00e8s \u00e0 distance\" est utilis\u00e9e pour d\u00e9crire le fait que les capacit\u00e9s de l'informatique en nuage sont fournies sur le r\u00e9seau et accessibles par des m\u00e9canismes favorisant l'utilisation de plates-formes clients h\u00e9t\u00e9rog\u00e8nes fines ou \u00e9paisses, y compris les t\u00e9l\u00e9phones mobiles, les tablettes, les ordinateurs portables et les postes de travail. Le terme \"\u00e9volutif\" fait r\u00e9f\u00e9rence aux ressources informatiques qui sont allou\u00e9es de mani\u00e8re flexible par le fournisseur de services en nuage, ind\u00e9pendamment de la localisation g\u00e9ographique des ressources, afin de g\u00e9rer les fluctuations de la demande.
<\/p>\n\n\n\n

Le terme \"pool \u00e9lastique\" est utilis\u00e9 pour d\u00e9crire les ressources informatiques qui sont fournies et lib\u00e9r\u00e9es en fonction de la demande afin d'augmenter et de r\u00e9duire rapidement les ressources disponibles en fonction de la charge de travail. Le terme \"partageable\" est utilis\u00e9 pour d\u00e9crire les ressources informatiques fournies \u00e0 plusieurs utilisateurs qui partagent un acc\u00e8s commun au service, mais o\u00f9 le traitement est effectu\u00e9 s\u00e9par\u00e9ment pour chaque utilisateur, bien que le service soit fourni \u00e0 partir du m\u00eame \u00e9quipement \u00e9lectronique. Le terme \"distribu\u00e9\" est utilis\u00e9 pour d\u00e9crire les ressources informatiques qui sont situ\u00e9es sur diff\u00e9rents ordinateurs ou dispositifs en r\u00e9seau et qui communiquent et se coordonnent entre elles par le passage de messages.

<\/p>\n\n\n\n

(34) Compte tenu de l'\u00e9mergence de technologies innovantes et de nouveaux mod\u00e8les commerciaux, de nouveaux mod\u00e8les de services et de d\u00e9ploiement de l'informatique en nuage devraient appara\u00eetre sur le march\u00e9 int\u00e9rieur en r\u00e9ponse \u00e0 l'\u00e9volution des besoins des clients. Dans ce contexte, les services d'informatique en nuage peuvent \u00eatre fournis sous une forme hautement distribu\u00e9e, encore plus pr\u00e8s de l'endroit o\u00f9 les donn\u00e9es sont g\u00e9n\u00e9r\u00e9es ou collect\u00e9es, passant ainsi du mod\u00e8le traditionnel \u00e0 un mod\u00e8le hautement distribu\u00e9 (edge computing).

<\/p>\n\n\n\n

(35) Services offerts par service de centre de donn\u00e9esService de centre de donn\u00e9es<\/span> <\/b>Un service qui englobe des structures, ou groupes de structures, d\u00e9di\u00e9es \u00e0 l'h\u00e9bergement centralis\u00e9, \u00e0 l'interconnexion et \u00e0 l'exploitation d'\u00e9quipements informatiques et de r\u00e9seaux fournissant des services de stockage, de traitement et de transport de donn\u00e9es, ainsi que tous les \u00e9quipements et infrastructures de distribution d'\u00e9nergie et de contr\u00f4le de l'environnement. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> ne sont pas toujours fournis sous la forme d'un service d'informatique en nuage. En cons\u00e9quence, les centres de donn\u00e9es ne font pas toujours partie de l'infrastructure d'informatique en nuage. Afin de g\u00e9rer tous les risques li\u00e9s \u00e0 la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information, la pr\u00e9sente directive devrait donc couvrir les fournisseurs de services de centres de donn\u00e9es qui ne sont pas des services d'informatique en nuage.
<\/p>\n\n\n\n

Aux fins de la pr\u00e9sente directive, l'expression \"service de centre de donn\u00e9es\" devrait couvrir la fourniture d'un service qui englobe des structures, ou groupes de structures, d\u00e9di\u00e9es \u00e0 l'h\u00e9bergement, \u00e0 l'interconnexion et \u00e0 l'exploitation centralis\u00e9s d'\u00e9quipements de technologies de l'information (TI) et de r\u00e9seaux fournissant des services de stockage, de traitement et de transport de donn\u00e9es, ainsi que toutes les installations et infrastructures de distribution d'\u00e9nergie et de contr\u00f4le de l'environnement. L'expression \"service de centre de donn\u00e9es\" ne doit pas s'appliquer aux centres de donn\u00e9es d'entreprise internes d\u00e9tenus et exploit\u00e9s par l'entit\u00e9 concern\u00e9e pour ses propres besoins.

<\/p>\n\n\n\n

(36) Les activit\u00e9s de recherche jouent un r\u00f4le essentiel dans le d\u00e9veloppement de nouveaux produits et proc\u00e9d\u00e9s. Nombre de ces activit\u00e9s sont men\u00e9es par des entit\u00e9s qui partagent, diffusent ou exploitent les r\u00e9sultats de leurs recherches \u00e0 des fins commerciales. Ces entit\u00e9s peuvent donc \u00eatre des acteurs importants dans les cha\u00eenes de valeur, ce qui fait de la s\u00e9curit\u00e9 de leurs r\u00e9seaux et syst\u00e8mes d'information une partie int\u00e9grante de la cybers\u00e9curit\u00e9 globale du march\u00e9 int\u00e9rieur.
<\/p>\n\n\n\n

Par organismes de recherche, il faut entendre les entit\u00e9s qui consacrent l'essentiel de leurs activit\u00e9s \u00e0 la conduite de travaux de recherche appliqu\u00e9e ou de d\u00e9veloppement exp\u00e9rimental, au sens du Manuel de Frascati 2015 de l'Organisation de coop\u00e9ration et de d\u00e9veloppement \u00e9conomiques : Lignes directrices pour la collecte et la communication de donn\u00e9es sur la recherche et le d\u00e9veloppement exp\u00e9rimental de l'Organisation de coop\u00e9ration et de d\u00e9veloppement \u00e9conomiques, en vue d'exploiter leurs r\u00e9sultats \u00e0 des fins commerciales, telles que la fabrication ou le d\u00e9veloppement d'un produit ou d'un proc\u00e9d\u00e9, la fourniture d'un service ou la commercialisation de celui-ci.

<\/p>\n\n\n\n

(37) Les interd\u00e9pendances croissantes sont le r\u00e9sultat d'un r\u00e9seau de plus en plus transfrontalier et interd\u00e9pendant de fourniture de services utilisant des infrastructures cl\u00e9s dans l'ensemble de l'Union dans des secteurs tels que l'\u00e9nergie, les transports, l'infrastructure num\u00e9rique, l'eau potable et les eaux us\u00e9es, la sant\u00e9, certains aspects de l'administration publique, ainsi que l'espace en ce qui concerne la fourniture de certains services d\u00e9pendant d'infrastructures terrestres d\u00e9tenues, g\u00e9r\u00e9es et exploit\u00e9es soit par les \u00c9tats membres, soit par des parties priv\u00e9es, ce qui ne couvre donc pas les infrastructures d\u00e9tenues, g\u00e9r\u00e9es ou exploit\u00e9es par l'Union ou en son nom dans le cadre de son programme spatial.
<\/p>\n\n\n\n

Ces interd\u00e9pendances signifient que toute perturbation, m\u00eame si elle est initialement limit\u00e9e \u00e0 une entit\u00e9 ou \u00e0 un secteur, peut avoir des effets en cascade plus larges, pouvant entra\u00eener des cons\u00e9quences n\u00e9gatives profondes et durables sur la fourniture de services dans l'ensemble du march\u00e9 int\u00e9rieur. L'intensification des cyberattaques pendant la pand\u00e9mie COVID-19 a montr\u00e9 la vuln\u00e9rabilit\u00e9 de soci\u00e9t\u00e9s de plus en plus interd\u00e9pendantes face \u00e0 des risques \u00e0 faible probabilit\u00e9.

<\/p>\n\n\n\n

(38) Compte tenu des diff\u00e9rences entre les structures de gouvernance nationales et afin de pr\u00e9server les dispositifs sectoriels ou les organes de surveillance et de r\u00e9glementation de l'Union d\u00e9j\u00e0 existants, les \u00c9tats membres devraient pouvoir d\u00e9signer ou \u00e9tablir une ou plusieurs autorit\u00e9s comp\u00e9tentes charg\u00e9es de la cybers\u00e9curit\u00e9 et des t\u00e2ches de surveillance pr\u00e9vues par la pr\u00e9sente directive.

<\/p>\n\n\n\n

(39) Afin de faciliter la coop\u00e9ration et la communication transfrontali\u00e8res entre les autorit\u00e9s et de permettre une mise en \u0153uvre efficace de la pr\u00e9sente directive, il est n\u00e9cessaire que chaque \u00c9tat membre d\u00e9signe un point de contact unique charg\u00e9 de coordonner les questions li\u00e9es \u00e0 la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information et \u00e0 la coop\u00e9ration transfrontali\u00e8re au niveau de l'Union.

<\/p>\n\n\n\n

(40) Les points de contact uniques doivent assurer une coop\u00e9ration transfrontali\u00e8re efficace avec les autorit\u00e9s comp\u00e9tentes des autres \u00c9tats membres et, le cas \u00e9ch\u00e9ant, avec la Commission et l'ENISA. Les points de contact uniques devraient donc \u00eatre charg\u00e9s de transmettre les notifications d'incidents importants ayant une incidence transfrontali\u00e8re aux points de contact uniques des autres \u00c9tats membres concern\u00e9s, \u00e0 la demande du CSIRT ou de l'autorit\u00e9 comp\u00e9tente. Au niveau national, les points de contact uniques devraient permettre une coop\u00e9ration intersectorielle harmonieuse avec d'autres autorit\u00e9s comp\u00e9tentes. Les points de contact uniques pourraient \u00e9galement \u00eatre les destinataires des informations pertinentes sur les incidents concernant des entit\u00e9s financi\u00e8res fournies par les autorit\u00e9s comp\u00e9tentes au titre du r\u00e8glement (UE) n\u00b0 2022\/2554, qu'ils devraient \u00eatre en mesure de transmettre, le cas \u00e9ch\u00e9ant, aux CSIRT ou aux autorit\u00e9s comp\u00e9tentes au titre de la pr\u00e9sente directive.
<\/p>\n\n\n\n

(41) Les \u00c9tats membres devraient \u00eatre convenablement \u00e9quip\u00e9s, en termes de capacit\u00e9s techniques et organisationnelles, pour pr\u00e9venir, d\u00e9tecter et att\u00e9nuer les incidents et les risques, ainsi que pour y r\u00e9pondre. Les \u00c9tats membres devraient donc cr\u00e9er ou d\u00e9signer un ou plusieurs CSIRT en vertu de la pr\u00e9sente directive et veiller \u00e0 ce qu'ils disposent de ressources et de capacit\u00e9s techniques ad\u00e9quates. Les CSIRT devraient se conformer aux exigences \u00e9nonc\u00e9es dans la pr\u00e9sente directive afin de garantir des capacit\u00e9s efficaces et compatibles pour faire face aux incidents et aux risques et d'assurer une coop\u00e9ration efficace au niveau de l'Union.<\/p>\n\n\n\n

Les \u00c9tats membres devraient pouvoir d\u00e9signer les \u00e9quipes d'intervention en cas d'urgence informatique (CERT) existantes comme CSIRT. Afin de renforcer la relation de confiance entre les entit\u00e9s et les CSIRT, lorsqu'un CSIRT fait partie d'une autorit\u00e9 comp\u00e9tente, les \u00c9tats membres devraient pouvoir envisager une s\u00e9paration fonctionnelle entre les t\u00e2ches op\u00e9rationnelles assur\u00e9es par les CSIRT, notamment en ce qui concerne le partage d'informations et l'assistance fournie aux entit\u00e9s, et les activit\u00e9s de surveillance des autorit\u00e9s comp\u00e9tentes.<\/p>\n\n\n\n

(42) Les CSIRT sont charg\u00e9s de traitement des incidentsTraitement des incidents<\/span> Toute action et proc\u00e9dure visant \u00e0 pr\u00e9venir, d\u00e9tecter, analyser et contenir un incident, ou \u00e0 y r\u00e9pondre et \u00e0 s'en remettre. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>. Il s'agit notamment de traiter de grands volumes de donn\u00e9es parfois sensibles. Les \u00c9tats membres devraient veiller \u00e0 ce que les CSIRT disposent d'une infrastructure pour le partage et le traitement des informations, ainsi que d'un personnel bien \u00e9quip\u00e9, qui garantisse la confidentialit\u00e9 et la fiabilit\u00e9 de leurs op\u00e9rations. Les CSIRT pourraient \u00e9galement adopter des codes de conduite \u00e0 cet \u00e9gard.<\/p>\n\n\n\n

(43) En ce qui concerne les donn\u00e9es \u00e0 caract\u00e8re personnel, les CSIRT devraient \u00eatre en mesure de fournir, conform\u00e9ment au r\u00e8glement (UE) 2016\/679, \u00e0 la demande d'une entit\u00e9 essentielle ou importante, un balayage proactif du r\u00e9seau et des syst\u00e8mes d'information utilis\u00e9s pour la fourniture des services de l'entit\u00e9. Le cas \u00e9ch\u00e9ant, les \u00c9tats membres devraient s'efforcer de garantir un niveau \u00e9gal de capacit\u00e9s techniques pour tous les CSIRT sectoriels. Les \u00c9tats membres devraient pouvoir demander l'assistance de l'ENISA pour d\u00e9velopper leurs CSIRT.<\/p>\n\n\n\n

(44) Les CSIRT devraient avoir la capacit\u00e9, \u00e0 la demande d'une entit\u00e9 essentielle ou importante, de surveiller les actifs de l'entit\u00e9 connect\u00e9s \u00e0 l'internet, tant dans ses locaux qu'\u00e0 l'ext\u00e9rieur, afin d'identifier, de comprendre et de g\u00e9rer les risques organisationnels globaux de l'entit\u00e9 en ce qui concerne les compromissions de la cha\u00eene d'approvisionnement ou les vuln\u00e9rabilit\u00e9s critiques nouvellement identifi\u00e9es. L'entit\u00e9 doit \u00eatre encourag\u00e9e \u00e0 indiquer au CSIRT si elle utilise une interface de gestion privil\u00e9gi\u00e9e, car cela pourrait influer sur la rapidit\u00e9 de mise en \u0153uvre des mesures d'att\u00e9nuation.<\/p>\n\n\n\n

(45) Compte tenu de l'importance de la coop\u00e9ration internationale en mati\u00e8re de cybers\u00e9curit\u00e9, les CSIRT devraient pouvoir participer \u00e0 des r\u00e9seaux de coop\u00e9ration internationale en plus du r\u00e9seau des CSIRT \u00e9tabli par la pr\u00e9sente directive. Par cons\u00e9quent, aux fins de l'ex\u00e9cution de leurs missions, les CSIRT et les autorit\u00e9s comp\u00e9tentes devraient pouvoir \u00e9changer des informations, y compris des donn\u00e9es \u00e0 caract\u00e8re personnel, avec les \u00e9quipes nationales de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique ou les autorit\u00e9s comp\u00e9tentes de pays tiers, pour autant que les conditions pr\u00e9vues par le droit de l'Union en mati\u00e8re de protection des donn\u00e9es pour les transferts de donn\u00e9es \u00e0 caract\u00e8re personnel vers des pays tiers, entre autres celles de l'article 49 du r\u00e8glement (UE) 2016\/679, soient remplies.<\/p>\n\n\n\n

(46) Il est essentiel de garantir des ressources ad\u00e9quates pour atteindre les objectifs de la pr\u00e9sente directive et permettre aux autorit\u00e9s comp\u00e9tentes et aux CSIRT d'accomplir les t\u00e2ches qui y sont d\u00e9finies. Les \u00c9tats membres peuvent mettre en place, au niveau national, un m\u00e9canisme de financement destin\u00e9 \u00e0 couvrir les d\u00e9penses n\u00e9cessaires \u00e0 l'ex\u00e9cution des t\u00e2ches des entit\u00e9s publiques responsables de la cybers\u00e9curit\u00e9 dans l'\u00c9tat membre en vertu de la pr\u00e9sente directive. Ce m\u00e9canisme devrait \u00eatre conforme au droit de l'Union, proportionn\u00e9 et non discriminatoire, et tenir compte des diff\u00e9rentes approches en mati\u00e8re de fourniture de services s\u00e9curis\u00e9s.<\/p>\n\n\n\n

(47) Le r\u00e9seau des CSIRT devrait continuer \u00e0 contribuer au renforcement de la confiance et \u00e0 promouvoir une coop\u00e9ration op\u00e9rationnelle rapide et efficace entre les \u00c9tats membres. Afin de renforcer la coop\u00e9ration op\u00e9rationnelle au niveau de l'Union, le r\u00e9seau des CSIRT devrait envisager d'inviter les organes et agences de l'Union participant \u00e0 la politique de cybers\u00e9curit\u00e9, tels qu'Europol, \u00e0 participer \u00e0 ses travaux.<\/p>\n\n\n\n

(48) Afin d'atteindre et de maintenir un niveau \u00e9lev\u00e9 de cybers\u00e9curit\u00e9, les strat\u00e9gies nationales de cybers\u00e9curit\u00e9 requises en vertu de la pr\u00e9sente directive devraient consister en des cadres coh\u00e9rents d\u00e9finissant des objectifs strat\u00e9giques et des priorit\u00e9s dans le domaine de la cybers\u00e9curit\u00e9, ainsi que la gouvernance permettant de les atteindre. Ces strat\u00e9gies peuvent \u00eatre compos\u00e9es d'un ou de plusieurs instruments l\u00e9gislatifs ou non l\u00e9gislatifs.<\/p>\n\n\n\n

(49) Les politiques de cyberhygi\u00e8ne constituent les fondements de la protection r\u00e9seau et syst\u00e8me d'informationR\u00e9seau et syst\u00e8me d'information<\/span> (a) un r\u00e9seau de communications \u00e9lectroniques tel que d\u00e9fini \u00e0 l'article 2, point 1), de la directive (UE) 2018\/1972 ; b) tout dispositif ou groupe de dispositifs interconnect\u00e9s ou apparent\u00e9s, dont un ou plusieurs effectuent, en application d'un programme, un traitement automatique de donn\u00e9es num\u00e9riques ; ou c) les donn\u00e9es num\u00e9riques stock\u00e9es, trait\u00e9es, r\u00e9cup\u00e9r\u00e9es ou transmises par les \u00e9l\u00e9ments vis\u00e9s aux points a) et b) aux fins de leur fonctionnement, de leur utilisation, de leur protection et de leur maintenance ; -. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> les infrastructures, le mat\u00e9riel, les logiciels et la s\u00e9curit\u00e9 des applications en ligne, ainsi que les donn\u00e9es des entreprises ou des utilisateurs finaux sur lesquels les entit\u00e9s s'appuient. Les politiques de cyber-hygi\u00e8ne comprenant un ensemble de pratiques de base communes, y compris les mises \u00e0 jour des logiciels et du mat\u00e9riel, les changements de mots de passe, la gestion des nouvelles installations, la limitation des comptes d'acc\u00e8s au niveau administrateur, et la sauvegarde des donn\u00e9es, permettent un cadre proactif de pr\u00e9paration et de s\u00e9curit\u00e9 globale en cas d'incidents ou de cyber-menaces. L'ENISA devrait surveiller et analyser les politiques d'hygi\u00e8ne cybern\u00e9tique des \u00c9tats membres.<\/p>\n\n\n\n

(50) La sensibilisation \u00e0 la cybers\u00e9curit\u00e9 et la cyberhygi\u00e8ne sont essentielles pour am\u00e9liorer le niveau de cybers\u00e9curit\u00e9 dans l'Union, compte tenu notamment du nombre croissant de dispositifs connect\u00e9s qui sont de plus en plus utilis\u00e9s dans les cyberattaques. Des efforts devraient \u00eatre d\u00e9ploy\u00e9s pour am\u00e9liorer la sensibilisation g\u00e9n\u00e9rale aux risques li\u00e9s \u00e0 ces dispositifs, tandis que des \u00e9valuations au niveau de l'Union pourraient contribuer \u00e0 garantir une compr\u00e9hension commune de ces risques au sein du march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(51) Les \u00c9tats membres devraient encourager l'utilisation de toute technologie innovante, y compris l'intelligence artificielle, dont l'utilisation pourrait am\u00e9liorer la d\u00e9tection et la pr\u00e9vention des cyberattaques, ce qui permettrait de r\u00e9orienter plus efficacement les ressources vers les cyberattaques. Les \u00c9tats membres devraient donc encourager, dans le cadre de leur strat\u00e9gie nationale de cybers\u00e9curit\u00e9, les activit\u00e9s de recherche et de d\u00e9veloppement visant \u00e0 faciliter l'utilisation de ces technologies, en particulier celles relatives aux outils automatis\u00e9s ou semi-automatis\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9, et, le cas \u00e9ch\u00e9ant, le partage des donn\u00e9es n\u00e9cessaires \u00e0 la formation des utilisateurs de ces technologies et \u00e0 l'am\u00e9lioration de celles-ci.<\/p>\n\n\n\n

L'utilisation de toute technologie innovante, y compris l'intelligence artificielle, devrait \u00eatre conforme au droit de l'Union en mati\u00e8re de protection des donn\u00e9es, y compris les principes de protection des donn\u00e9es que sont l'exactitude, la minimisation, la loyaut\u00e9 et la transparence des donn\u00e9es, ainsi que la s\u00e9curit\u00e9 des donn\u00e9es, comme le chiffrement \u00e0 la pointe de la technologie. Les exigences de la protection des donn\u00e9es d\u00e8s la conception et par d\u00e9faut \u00e9nonc\u00e9es dans le r\u00e8glement (UE) 2016\/679 devraient \u00eatre pleinement exploit\u00e9es.<\/p>\n\n\n\n

(52) Les outils et applications de cybers\u00e9curit\u00e9 \u00e0 code source ouvert peuvent contribuer \u00e0 un degr\u00e9 d'ouverture plus \u00e9lev\u00e9 et avoir un impact positif sur l'efficacit\u00e9 de l'innovation industrielle. Les normes ouvertes facilitent l'interop\u00e9rabilit\u00e9 entre les outils de s\u00e9curit\u00e9, au b\u00e9n\u00e9fice de la s\u00e9curit\u00e9 des acteurs industriels. Les outils et applications de cybers\u00e9curit\u00e9 \u00e0 code source ouvert peuvent tirer parti d'une communaut\u00e9 de d\u00e9veloppeurs plus large, ce qui permet de diversifier les fournisseurs. Les logiciels libres peuvent conduire \u00e0 un processus de v\u00e9rification plus transparent des outils li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et \u00e0 un processus de d\u00e9couverte des vuln\u00e9rabilit\u00e9s pilot\u00e9 par la communaut\u00e9.<\/p>\n\n\n\n

Les \u00c9tats membres devraient donc \u00eatre en mesure de promouvoir l'utilisation de logiciels libres et de normes ouvertes en menant des politiques relatives \u00e0 l'utilisation de donn\u00e9es ouvertes et de logiciels libres dans le cadre de la s\u00e9curit\u00e9 par la transparence. Les politiques favorisant l'introduction et l'utilisation durable d'outils de cybers\u00e9curit\u00e9 \u00e0 code source ouvert rev\u00eatent une importance particuli\u00e8re pour les petites et moyennes entreprises confront\u00e9es \u00e0 des co\u00fbts de mise en \u0153uvre importants, qui pourraient \u00eatre minimis\u00e9s en r\u00e9duisant le besoin d'applications ou d'outils sp\u00e9cifiques.<\/p>\n\n\n\n

(53) Les services publics sont de plus en plus connect\u00e9s aux r\u00e9seaux num\u00e9riques dans les villes, afin d'am\u00e9liorer les r\u00e9seaux de transport urbain, de moderniser les installations d'approvisionnement en eau et d'\u00e9limination des d\u00e9chets et d'accro\u00eetre l'efficacit\u00e9 de l'\u00e9clairage et du chauffage des b\u00e2timents. Ces services publics num\u00e9ris\u00e9s sont vuln\u00e9rables aux cyberattaques et risquent, en cas de cyberattaque r\u00e9ussie, de nuire aux citoyens \u00e0 grande \u00e9chelle en raison de leur interconnexion. Les \u00c9tats membres devraient \u00e9laborer une politique concernant le d\u00e9veloppement de ces villes connect\u00e9es ou intelligentes et leurs effets potentiels sur la soci\u00e9t\u00e9, dans le cadre de leur strat\u00e9gie nationale de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(54) Ces derni\u00e8res ann\u00e9es, l'Union a \u00e9t\u00e9 confront\u00e9e \u00e0 une augmentation exponentielle des attaques par ransomware, dans lesquelles des logiciels malveillants cryptent des donn\u00e9es et des syst\u00e8mes et exigent le paiement d'une ran\u00e7on pour les lib\u00e9rer. La fr\u00e9quence et la gravit\u00e9 croissantes des attaques par ransomware peuvent \u00eatre dues \u00e0 plusieurs facteurs, tels que les diff\u00e9rents sch\u00e9mas d'attaque, les mod\u00e8les commerciaux criminels autour du \"ransomware en tant que service\" et des crypto-monnaies, les demandes de ran\u00e7on et l'augmentation des attaques de la cha\u00eene d'approvisionnement. Les \u00c9tats membres devraient \u00e9laborer une politique relative \u00e0 l'augmentation des attaques par ransomware dans le cadre de leur strat\u00e9gie nationale de cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

(55) Les partenariats public-priv\u00e9 (PPP) dans le domaine de la cybers\u00e9curit\u00e9 peuvent constituer un cadre appropri\u00e9 pour l'\u00e9change de connaissances, le partage des meilleures pratiques et l'\u00e9tablissement d'un niveau de compr\u00e9hension commun entre les parties prenantes. Les \u00c9tats membres devraient promouvoir des politiques favorisant la mise en place de PPP sp\u00e9cifiques \u00e0 la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

Ces politiques devraient pr\u00e9ciser, entre autres, le champ d'application et les parties prenantes concern\u00e9es, le mod\u00e8le de gouvernance, les options de financement disponibles et l'interaction entre les parties prenantes participantes en ce qui concerne les PPP. Les PPP peuvent tirer parti de l'expertise des entit\u00e9s du secteur priv\u00e9 pour aider les autorit\u00e9s comp\u00e9tentes \u00e0 mettre en place des services et des processus de pointe, notamment en mati\u00e8re d'\u00e9change d'informations, d'alerte pr\u00e9coce, d'exercices de lutte contre les cybermenaces et les incidents, de gestion de crise et de planification de la r\u00e9silience.<\/p>\n\n\n\n

(56) Les \u00c9tats membres devraient, dans leurs strat\u00e9gies nationales de cybers\u00e9curit\u00e9, r\u00e9pondre aux besoins sp\u00e9cifiques des petites et moyennes entreprises en mati\u00e8re de cybers\u00e9curit\u00e9. Les petites et moyennes entreprises repr\u00e9sentent, dans l'ensemble de l'Union, un pourcentage important du march\u00e9 industriel et commercial et ont souvent du mal \u00e0 s'adapter aux nouvelles pratiques commerciales dans un monde plus connect\u00e9 et \u00e0 l'environnement num\u00e9rique, o\u00f9 les employ\u00e9s travaillent \u00e0 domicile et o\u00f9 les affaires sont de plus en plus men\u00e9es en ligne.<\/p>\n\n\n\n

Certaines petites et moyennes entreprises sont confront\u00e9es \u00e0 des d\u00e9fis sp\u00e9cifiques en mati\u00e8re de cybers\u00e9curit\u00e9, tels qu'une faible sensibilisation \u00e0 l'informatique, un manque de s\u00e9curit\u00e9 informatique \u00e0 distance, le co\u00fbt \u00e9lev\u00e9 des solutions de cybers\u00e9curit\u00e9 et un niveau de menace accru, comme les ransomwares, pour lesquels elles devraient recevoir des conseils et une assistance. Les petites et moyennes entreprises sont de plus en plus souvent la cible d'attaques contre la cha\u00eene d'approvisionnement en raison de leurs mesures moins rigoureuses de gestion des risques de cybers\u00e9curit\u00e9 et de gestion des attaques, et du fait qu'elles disposent de ressources limit\u00e9es en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Ces attaques contre la cha\u00eene d'approvisionnement n'ont pas seulement un impact sur les petites et moyennes entreprises et leurs op\u00e9rations isol\u00e9es, mais peuvent \u00e9galement avoir un effet en cascade sur des attaques plus importantes contre des entit\u00e9s auxquelles elles ont fourni des fournitures. Les \u00c9tats membres devraient, par le biais de leurs strat\u00e9gies nationales de cybers\u00e9curit\u00e9, aider les petites et moyennes entreprises \u00e0 relever les d\u00e9fis auxquels elles sont confront\u00e9es dans leurs cha\u00eenes d'approvisionnement.<\/p>\n\n\n\n

Les \u00c9tats membres devraient disposer d'un point de contact pour les petites et moyennes entreprises au niveau national ou r\u00e9gional, qui fournisse des conseils et une assistance aux petites et moyennes entreprises ou les oriente vers les organismes appropri\u00e9s pour obtenir des conseils et une assistance en ce qui concerne les questions li\u00e9es \u00e0 la cybers\u00e9curit\u00e9. Les \u00c9tats membres sont \u00e9galement encourag\u00e9s \u00e0 offrir des services tels que la configuration de sites web et la journalisation aux microentreprises et aux petites entreprises qui ne disposent pas de ces capacit\u00e9s.<\/p>\n\n\n\n

(57) Dans le cadre de leurs strat\u00e9gies nationales de cybers\u00e9curit\u00e9, les \u00c9tats membres devraient adopter des politiques visant \u00e0 promouvoir la cyberprotection active dans le cadre d'une strat\u00e9gie d\u00e9fensive plus large. Plut\u00f4t que de r\u00e9agir de mani\u00e8re r\u00e9active, la cyberprotection active consiste \u00e0 pr\u00e9venir, d\u00e9tecter, surveiller, analyser et att\u00e9nuer les atteintes \u00e0 la s\u00e9curit\u00e9 des r\u00e9seaux de mani\u00e8re active, en recourant \u00e0 des moyens d\u00e9ploy\u00e9s \u00e0 l'int\u00e9rieur et \u00e0 l'ext\u00e9rieur du r\u00e9seau de la victime.<\/p>\n\n\n\n

Les \u00c9tats membres pourraient ainsi proposer des services ou des outils gratuits \u00e0 certaines entit\u00e9s, notamment des contr\u00f4les en libre-service, des outils de d\u00e9tection et des services de d\u00e9mant\u00e8lement. La capacit\u00e9 de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes sur les cyberactivit\u00e9s et les mesures de r\u00e9action est essentielle pour permettre une unit\u00e9 d'effort dans la pr\u00e9vention, la d\u00e9tection, le traitement et le blocage des attaques contre les r\u00e9seaux et les syst\u00e8mes d'information. La cyberprotection active repose sur une strat\u00e9gie d\u00e9fensive qui exclut les mesures offensives.<\/p>\n\n\n\n

(58) L'exploitation des vuln\u00e9rabilit\u00e9s des r\u00e9seaux et des syst\u00e8mes d'information pouvant entra\u00eener des perturbations et des dommages importants, l'identification et la correction rapides de ces vuln\u00e9rabilit\u00e9s constituent un facteur important de r\u00e9duction des risques. Les entit\u00e9s qui d\u00e9veloppent ou administrent des r\u00e9seaux et des syst\u00e8mes d'information devraient donc \u00e9tablir des proc\u00e9dures appropri\u00e9es pour traiter les vuln\u00e9rabilit\u00e9s lorsqu'elles sont d\u00e9couvertes. \u00c9tant donn\u00e9 que les vuln\u00e9rabilit\u00e9s sont souvent d\u00e9couvertes et divulgu\u00e9es par des tiers, le fabricant ou le fournisseur de produits ou de services TIC devrait \u00e9galement mettre en place les proc\u00e9dures n\u00e9cessaires pour recevoir des informations sur les vuln\u00e9rabilit\u00e9s de la part de tiers.<\/p>\n\n\n\n

\u00c0 cet \u00e9gard, les normes internationales ISO\/IEC 30111 et ISO\/IEC 29147 fournissent des orientations sur le traitement et la divulgation des vuln\u00e9rabilit\u00e9s. Le renforcement de la coordination entre les personnes physiques et morales d\u00e9clarantes et les fabricants ou fournisseurs de produits ou de services TIC est particuli\u00e8rement important pour faciliter le cadre volontaire de divulgation des vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

La divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s sp\u00e9cifie un processus structur\u00e9 par lequel les vuln\u00e9rabilit\u00e9s sont signal\u00e9es au fabricant ou au fournisseur des produits ou services TIC potentiellement vuln\u00e9rables d'une mani\u00e8re qui lui permette de diagnostiquer la vuln\u00e9rabilit\u00e9 et d'y rem\u00e9dier avant que des informations d\u00e9taill\u00e9es sur la vuln\u00e9rabilit\u00e9 ne soient divulgu\u00e9es \u00e0 des tiers ou au public. La divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s devrait \u00e9galement inclure une coordination entre la personne physique ou morale qui signale les vuln\u00e9rabilit\u00e9s et le fabricant ou le fournisseur des produits ou services TIC potentiellement vuln\u00e9rables en ce qui concerne le calendrier de rem\u00e9diation et de publication des vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

(59) La Commission, l'ENISA et les \u00c9tats membres doivent continuer \u00e0 favoriser l'alignement sur les normes internationales et les meilleures pratiques du secteur dans le domaine de la gestion des risques de cybers\u00e9curit\u00e9, par exemple dans les domaines de l'\u00e9valuation de la s\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement, du partage de l'information et de la divulgation des vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n

(60) Les \u00c9tats membres, en coop\u00e9ration avec l'ENISA, devraient prendre des mesures pour faciliter la divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s en \u00e9tablissant une politique nationale pertinente. Dans le cadre de leur politique nationale, les \u00c9tats membres devraient s'efforcer de relever, dans la mesure du possible, les d\u00e9fis auxquels sont confront\u00e9s les chercheurs de vuln\u00e9rabilit\u00e9s, y compris leur exposition potentielle \u00e0 la responsabilit\u00e9 p\u00e9nale, conform\u00e9ment au droit national. \u00c9tant donn\u00e9 que les personnes physiques et morales qui recherchent des vuln\u00e9rabilit\u00e9s pourraient, dans certains \u00c9tats membres, \u00eatre expos\u00e9es \u00e0 une responsabilit\u00e9 p\u00e9nale et civile, les \u00c9tats membres sont encourag\u00e9s \u00e0 adopter des lignes directrices concernant la non-poursuite des chercheurs en s\u00e9curit\u00e9 de l'information et l'exon\u00e9ration de la responsabilit\u00e9 civile pour leurs activit\u00e9s.<\/p>\n\n\n\n

(61) Les \u00c9tats membres devraient d\u00e9signer l'un de leurs CSIRT comme coordinateur, agissant en tant qu'interm\u00e9diaire de confiance entre les personnes physiques ou morales d\u00e9clarantes et les fabricants ou fournisseurs de produits ou de services TIC susceptibles d'\u00eatre affect\u00e9s par la vuln\u00e9rabilit\u00e9, le cas \u00e9ch\u00e9ant.<\/p>\n\n\n\n

Les t\u00e2ches du CSIRT d\u00e9sign\u00e9 comme coordinateur devraient comprendre l'identification et la prise de contact avec les entit\u00e9s concern\u00e9es, l'assistance aux personnes physiques ou morales qui signalent une vuln\u00e9rabilit\u00e9, la n\u00e9gociation des d\u00e9lais de divulgation et la gestion des vuln\u00e9rabilit\u00e9s qui affectent plusieurs entit\u00e9s (divulgation coordonn\u00e9e et multipartite des vuln\u00e9rabilit\u00e9s). Lorsque la vuln\u00e9rabilit\u00e9 signal\u00e9e peut avoir un impact significatif sur des entit\u00e9s situ\u00e9es dans plusieurs \u00c9tats membres, les CSIRT d\u00e9sign\u00e9s comme coordinateurs devraient coop\u00e9rer au sein du r\u00e9seau des CSIRT, le cas \u00e9ch\u00e9ant.<\/p>\n\n\n\n

(62) L'acc\u00e8s \u00e0 des informations correctes et opportunes sur les vuln\u00e9rabilit\u00e9s affectant les produits et services TIC contribue \u00e0 am\u00e9liorer la gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9. Les sources d'informations publiques sur les vuln\u00e9rabilit\u00e9s sont un outil important pour les entit\u00e9s et les utilisateurs de leurs services, mais aussi pour les autorit\u00e9s comp\u00e9tentes et les CSIRT. Pour cette raison, l'ENISA devrait \u00e9tablir une base de donn\u00e9es europ\u00e9enne des vuln\u00e9rabilit\u00e9s o\u00f9 les entit\u00e9s, qu'elles rel\u00e8vent ou non du champ d'application de la pr\u00e9sente directive, et leurs fournisseurs de r\u00e9seaux et de syst\u00e8mes d'information, ainsi que les autorit\u00e9s comp\u00e9tentes et les CSIRT, peuvent divulguer et enregistrer, sur une base volontaire, les vuln\u00e9rabilit\u00e9s connues du public afin de permettre aux utilisateurs de prendre les mesures d'att\u00e9nuation qui s'imposent.<\/p>\n\n\n\n

L'objectif de cette base de donn\u00e9es est de r\u00e9pondre aux d\u00e9fis uniques pos\u00e9s par les risques pour les entit\u00e9s de l'Union. En outre, l'ENISA devrait \u00e9tablir une proc\u00e9dure appropri\u00e9e concernant le processus de publication afin de donner aux entit\u00e9s le temps de prendre des mesures d'att\u00e9nuation en ce qui concerne leurs vuln\u00e9rabilit\u00e9s et d'utiliser des mesures de gestion des risques de cybers\u00e9curit\u00e9 de pointe ainsi que des ensembles de donn\u00e9es lisibles par machine et des interfaces correspondantes. Pour encourager une culture de divulgation des vuln\u00e9rabilit\u00e9s, la divulgation ne doit pas avoir d'effets pr\u00e9judiciables sur la personne physique ou morale qui fait la d\u00e9claration.<\/p>\n\n\n\n

(63) Bien qu'il existe des registres ou des bases de donn\u00e9es similaires sur les vuln\u00e9rabilit\u00e9s, ils sont h\u00e9berg\u00e9s et g\u00e9r\u00e9s par des entit\u00e9s qui ne sont pas \u00e9tablies dans l'Union. Une base de donn\u00e9es europ\u00e9enne sur les vuln\u00e9rabilit\u00e9s g\u00e9r\u00e9e par l'ENISA permettrait d'am\u00e9liorer la transparence du processus de publication avant que la vuln\u00e9rabilit\u00e9 ne soit divulgu\u00e9e publiquement, ainsi que la r\u00e9silience en cas de perturbation ou d'interruption de la fourniture de services similaires.<\/p>\n\n\n\n

Afin d'\u00e9viter, dans la mesure du possible, la duplication des efforts et de rechercher la compl\u00e9mentarit\u00e9, l'ENISA devrait explorer la possibilit\u00e9 de conclure des accords de coop\u00e9ration structur\u00e9s avec des registres ou des bases de donn\u00e9es similaires qui rel\u00e8vent de la juridiction de pays tiers. En particulier, l'ENISA devrait explorer la possibilit\u00e9 d'une coop\u00e9ration \u00e9troite avec les op\u00e9rateurs du syst\u00e8me CVE (Common Vulnerabilities and Exposures).<\/p>\n\n\n\n

(64) Le groupe de coop\u00e9ration devrait soutenir et faciliter la coop\u00e9ration strat\u00e9gique et l'\u00e9change d'informations, ainsi que renforcer la confiance entre les \u00c9tats membres. Le groupe de coop\u00e9ration devrait \u00e9tablir un programme de travail tous les deux ans. Ce programme de travail devrait comprendre les actions \u00e0 entreprendre par le groupe de coop\u00e9ration pour mettre en \u0153uvre ses objectifs et ses t\u00e2ches. Le calendrier de l'\u00e9tablissement du premier programme de travail au titre de la pr\u00e9sente directive devrait \u00eatre align\u00e9 sur celui du dernier programme de travail \u00e9tabli au titre de la directive (UE) 2016\/1148 afin d'\u00e9viter d'\u00e9ventuelles perturbations dans les travaux du groupe de coop\u00e9ration.<\/p>\n\n\n\n

(65) Lors de l'\u00e9laboration des documents d'orientation, le groupe de coop\u00e9ration devrait syst\u00e9matiquement recenser les solutions et les exp\u00e9riences nationales, \u00e9valuer l'incidence des r\u00e9sultats obtenus par le groupe de coop\u00e9ration sur les approches nationales, examiner les probl\u00e8mes de mise en \u0153uvre et formuler des recommandations sp\u00e9cifiques, notamment en ce qui concerne la facilitation de l'alignement de la transposition de la pr\u00e9sente directive entre les \u00c9tats membres, qui doit passer par une meilleure mise en \u0153uvre des r\u00e8gles existantes. Le groupe de coop\u00e9ration pourrait \u00e9galement recenser les solutions nationales afin de promouvoir la compatibilit\u00e9 des solutions de cybers\u00e9curit\u00e9 appliqu\u00e9es \u00e0 chaque secteur sp\u00e9cifique dans l'ensemble de l'Union. Cela est particuli\u00e8rement important pour les secteurs qui ont un caract\u00e8re international ou transfrontalier.<\/p>\n\n\n\n

(66) Le groupe de coop\u00e9ration doit rester un forum flexible et \u00eatre en mesure de r\u00e9agir \u00e0 l'\u00e9volution des priorit\u00e9s et des d\u00e9fis politiques, tout en tenant compte de la disponibilit\u00e9 des ressources. Il pourrait organiser r\u00e9guli\u00e8rement des r\u00e9unions conjointes avec les acteurs priv\u00e9s concern\u00e9s de l'ensemble de l'Union afin de discuter des activit\u00e9s men\u00e9es par le groupe de coop\u00e9ration et de recueillir des donn\u00e9es et des contributions sur les nouveaux d\u00e9fis politiques. En outre, le groupe de coop\u00e9ration devrait proc\u00e9der \u00e0 une \u00e9valuation r\u00e9guli\u00e8re de l'\u00e9tat d'avancement des cybermenaces ou des incidents, tels que les ransomwares.<\/p>\n\n\n\n

Afin de renforcer la coop\u00e9ration au niveau de l'Union, le groupe de coop\u00e9ration devrait envisager d'inviter les institutions, organes, bureaux et agences de l'Union concern\u00e9s par la politique de cybers\u00e9curit\u00e9, tels que le Parlement europ\u00e9en, Europol, le Comit\u00e9 europ\u00e9en de protection des donn\u00e9es, l'Agence de la s\u00e9curit\u00e9 a\u00e9rienne de l'Union europ\u00e9enne, institu\u00e9e par le r\u00e8glement (UE) 2018\/1139, et l'Agence de l'Union europ\u00e9enne pour le programme spatial, institu\u00e9e par le r\u00e8glement (UE) 2021\/696 du Parlement europ\u00e9en et du Conseil (14), \u00e0 participer \u00e0 ses travaux.<\/p>\n\n\n\n

(67) Les autorit\u00e9s comp\u00e9tentes et les CSIRT devraient pouvoir participer \u00e0 des programmes d'\u00e9change de fonctionnaires d'autres \u00c9tats membres, dans un cadre sp\u00e9cifique et, le cas \u00e9ch\u00e9ant, sous r\u00e9serve de l'habilitation de s\u00e9curit\u00e9 requise des fonctionnaires participant \u00e0 ces programmes d'\u00e9change, afin d'am\u00e9liorer la coop\u00e9ration et de renforcer la confiance entre les \u00c9tats membres. Les autorit\u00e9s comp\u00e9tentes devraient prendre les mesures n\u00e9cessaires pour permettre aux agents d'autres \u00c9tats membres de jouer un r\u00f4le efficace dans les activit\u00e9s de l'autorit\u00e9 comp\u00e9tente h\u00f4te ou du CSIRT h\u00f4te.<\/p>\n\n\n\n

(68) Les \u00c9tats membres devraient contribuer \u00e0 la mise en place du cadre de r\u00e9action aux crises de cybers\u00e9curit\u00e9 de l'Union, tel qu'il est d\u00e9fini dans la recommandation (UE) 2017\/1584 de la Commission (15), par l'interm\u00e9diaire des r\u00e9seaux de coop\u00e9ration existants, en particulier le r\u00e9seau europ\u00e9en d'organisations de liaison en cas de cybercrise (EU-CyCLONe), le r\u00e9seau des CSIRT et le groupe de coop\u00e9ration. EU-CyCLONe et le r\u00e9seau des CSIRT devraient coop\u00e9rer sur la base de dispositions proc\u00e9durales qui pr\u00e9cisent les d\u00e9tails de cette coop\u00e9ration et \u00e9vitent toute duplication des t\u00e2ches.<\/p>\n\n\n\n

Le r\u00e8glement int\u00e9rieur d'EU-CyCLONe devrait pr\u00e9ciser les modalit\u00e9s de fonctionnement de ce r\u00e9seau, y compris ses r\u00f4les, ses moyens de coop\u00e9ration, ses interactions avec d'autres acteurs concern\u00e9s et ses mod\u00e8les de partage d'informations, ainsi que ses moyens de communication. Pour la gestion des crises au niveau de l'Union, les parties concern\u00e9es devraient s'appuyer sur les dispositifs de r\u00e9action politique int\u00e9gr\u00e9e aux crises de l'UE pr\u00e9vus par la d\u00e9cision d'ex\u00e9cution (UE) 2018\/1993 du Conseil (16) (dispositifs IPCR). La Commission devrait utiliser \u00e0 cette fin le processus ARGUS de coordination intersectorielle de haut niveau en cas de crise. Si la crise comporte une dimension ext\u00e9rieure importante ou une dimension li\u00e9e \u00e0 la politique de s\u00e9curit\u00e9 et de d\u00e9fense commune, le m\u00e9canisme de r\u00e9action aux crises du Service europ\u00e9en pour l'action ext\u00e9rieure devrait \u00eatre activ\u00e9.<\/p>\n\n\n\n

(69) Conform\u00e9ment \u00e0 l'annexe de la recommandation (UE) 2017\/1584, il convient d'entendre par incident de cybers\u00e9curit\u00e9 \u00e0 grande \u00e9chelle un incident qui provoque un niveau de perturbation d\u00e9passant la capacit\u00e9 de r\u00e9action d'un \u00c9tat membre ou qui a une incidence significative sur au moins deux \u00c9tats membres. En fonction de leur cause et de leur impact, les incidents de cybers\u00e9curit\u00e9 de grande ampleur peuvent s'aggraver et se transformer en v\u00e9ritables crises ne permettant pas le bon fonctionnement du march\u00e9 int\u00e9rieur ou posant de graves risques de s\u00e9curit\u00e9 publique et de s\u00fbret\u00e9 pour des entit\u00e9s ou des citoyens dans plusieurs \u00c9tats membres ou dans l'ensemble de l'Union.<\/p>\n\n\n\n

Compte tenu de la port\u00e9e \u00e9tendue et, dans la plupart des cas, de la nature transfrontali\u00e8re de ces incidents, les \u00c9tats membres et les institutions, organes et organismes comp\u00e9tents de l'Union devraient coop\u00e9rer aux niveaux technique, op\u00e9rationnel et politique afin de coordonner correctement la r\u00e9ponse dans l'ensemble de l'Union.<\/p>\n\n\n\n

(70) Les incidents et crises de cybers\u00e9curit\u00e9 de grande ampleur au niveau de l'Union n\u00e9cessitent une action coordonn\u00e9e pour garantir une r\u00e9action rapide et efficace en raison du degr\u00e9 \u00e9lev\u00e9 d'interd\u00e9pendance entre les secteurs et les \u00c9tats membres. La disponibilit\u00e9 de r\u00e9seaux et de syst\u00e8mes d'information cyberr\u00e9sistants et la disponibilit\u00e9, la confidentialit\u00e9 et l'int\u00e9grit\u00e9 des donn\u00e9es sont essentielles pour la s\u00e9curit\u00e9 de l'Union et pour la protection de ses citoyens, entreprises et institutions contre les incidents et les cybermenaces, ainsi que pour renforcer la confiance des particuliers et des organisations dans la capacit\u00e9 de l'Union \u00e0 promouvoir et \u00e0 prot\u00e9ger un cyberespace mondial, ouvert, libre, stable et s\u00fbr, fond\u00e9 sur les droits de l'homme, les libert\u00e9s fondamentales, la d\u00e9mocratie et l'\u00c9tat de droit.<\/p>\n\n\n\n

(71) L'EU-CyCLONe devrait servir d'interm\u00e9diaire entre le niveau technique et le niveau politique lors d'incidents et de crises de cybers\u00e9curit\u00e9 de grande ampleur et devrait renforcer la coop\u00e9ration au niveau op\u00e9rationnel et soutenir la prise de d\u00e9cision au niveau politique. En coop\u00e9ration avec la Commission et compte tenu des comp\u00e9tences de cette derni\u00e8re dans le domaine de la gestion des crises, l'EU-CyCLONe devrait s'appuyer sur les conclusions du r\u00e9seau des CSIRT et utiliser ses propres capacit\u00e9s pour r\u00e9aliser une analyse d'impact des incidents et des crises de cybers\u00e9curit\u00e9 de grande ampleur.<\/p>\n\n\n\n

(72) Les cyberattaques sont de nature transfrontali\u00e8re et un incident important peut perturber et endommager les infrastructures d'information critiques dont d\u00e9pend le bon fonctionnement du march\u00e9 int\u00e9rieur. La recommandation (UE) 2017\/1584 traite du r\u00f4le de tous les acteurs concern\u00e9s. En outre, la Commission est responsable, dans le cadre du m\u00e9canisme de protection civile de l'Union, \u00e9tabli par la d\u00e9cision n\u00b0 1313\/2013\/UE du Parlement europ\u00e9en et du Conseil, des actions g\u00e9n\u00e9rales de pr\u00e9paration, y compris la gestion du centre de coordination des interventions d'urgence et du syst\u00e8me commun de communication et d'information d'urgence, le maintien et le d\u00e9veloppement de la capacit\u00e9 de connaissance et d'analyse de la situation, ainsi que la mise en place et la gestion de la capacit\u00e9 de mobiliser et d'envoyer des \u00e9quipes d'experts en cas de demande d'assistance \u00e9manant d'un \u00c9tat membre ou d'un pays tiers.<\/p>\n\n\n\n

La Commission est \u00e9galement charg\u00e9e de fournir des rapports analytiques pour les arrangements IPCR au titre de la d\u00e9cision d'ex\u00e9cution (UE) 2018\/1993, notamment en ce qui concerne la connaissance de la situation et la pr\u00e9paration en mati\u00e8re de cybers\u00e9curit\u00e9, ainsi que la connaissance de la situation et la r\u00e9ponse aux crises dans les domaines de l'agriculture, des conditions m\u00e9t\u00e9orologiques d\u00e9favorables, de la cartographie et des pr\u00e9visions des conflits, des syst\u00e8mes d'alerte pr\u00e9coce pour les catastrophes naturelles, des urgences sanitaires, de la surveillance des maladies infectieuses, de la sant\u00e9 des v\u00e9g\u00e9taux, des incidents chimiques, de la s\u00e9curit\u00e9 des denr\u00e9es alimentaires et des aliments pour animaux, de la sant\u00e9 animale, des migrations, des douanes, des urgences nucl\u00e9aires et radiologiques, et de l'\u00e9nergie.<\/p>\n\n\n\n

(73) L'Union peut, le cas \u00e9ch\u00e9ant, conclure des accords internationaux, conform\u00e9ment \u00e0 l'article 218 du TFUE, avec des pays tiers ou des organisations internationales, permettant et organisant leur participation \u00e0 des activit\u00e9s particuli\u00e8res du groupe de coop\u00e9ration, du r\u00e9seau des CSIRT et de l'EU-CyCLONe. Ces accords devraient garantir les int\u00e9r\u00eats de l'Union et la protection ad\u00e9quate des donn\u00e9es. Cela ne devrait pas emp\u00eacher les \u00c9tats membres de coop\u00e9rer avec les pays tiers en mati\u00e8re de gestion des vuln\u00e9rabilit\u00e9s et de gestion des risques de cybers\u00e9curit\u00e9, en facilitant l'\u00e9tablissement de rapports et le partage g\u00e9n\u00e9ral d'informations conform\u00e9ment au droit de l'Union.<\/p>\n\n\n\n

(74) Afin de faciliter la mise en \u0153uvre effective de la pr\u00e9sente directive en ce qui concerne, entre autres, la gestion des vuln\u00e9rabilit\u00e9s, les mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9, les obligations de d\u00e9claration et les dispositifs d'\u00e9change d'informations sur la cybers\u00e9curit\u00e9, les \u00c9tats membres peuvent coop\u00e9rer avec des pays tiers et entreprendre des activit\u00e9s jug\u00e9es appropri\u00e9es \u00e0 cette fin, y compris l'\u00e9change d'informations sur les cybermenaces, les incidents, les vuln\u00e9rabilit\u00e9s, les outils et m\u00e9thodes, les tactiques, les techniques et les proc\u00e9dures, la pr\u00e9paration et les exercices de gestion des crises li\u00e9es \u00e0 la cybers\u00e9curit\u00e9, la formation, l'instauration d'un climat de confiance et les dispositifs structur\u00e9s d'\u00e9change d'informations.<\/p>\n\n\n\n

(75) Des \u00e9valuations par les pairs devraient \u00eatre introduites pour aider \u00e0 tirer des enseignements des exp\u00e9riences partag\u00e9es, \u00e0 renforcer la confiance mutuelle et \u00e0 atteindre un niveau commun \u00e9lev\u00e9 de cybers\u00e9curit\u00e9. Les \u00e9valuations par les pairs peuvent d\u00e9boucher sur des id\u00e9es et des recommandations pr\u00e9cieuses renfor\u00e7ant les capacit\u00e9s globales de cybers\u00e9curit\u00e9, cr\u00e9ant une autre voie fonctionnelle pour le partage des meilleures pratiques entre les \u00c9tats membres et contribuant \u00e0 am\u00e9liorer les niveaux de maturit\u00e9 des \u00c9tats membres en mati\u00e8re de cybers\u00e9curit\u00e9. En outre, les \u00e9valuations par les pairs devraient tenir compte des r\u00e9sultats de m\u00e9canismes similaires, tels que le syst\u00e8me d'\u00e9valuation par les pairs du r\u00e9seau des CSIRT, et devraient apporter une valeur ajout\u00e9e et \u00e9viter les doubles emplois. La mise en \u0153uvre des \u00e9valuations par les pairs ne devrait pas porter atteinte au droit de l'Union ou au droit national en mati\u00e8re de protection des informations confidentielles ou classifi\u00e9es.<\/p>\n\n\n\n

(76) Le groupe de coop\u00e9ration devrait \u00e9tablir une m\u00e9thode d'auto-\u00e9valuation pour les \u00c9tats membres, visant \u00e0 couvrir des facteurs tels que le niveau de mise en \u0153uvre des mesures de gestion des risques de cybers\u00e9curit\u00e9 et des obligations de d\u00e9claration, le niveau des capacit\u00e9s et l'efficacit\u00e9 de l'exercice des t\u00e2ches des autorit\u00e9s comp\u00e9tentes, les capacit\u00e9s op\u00e9rationnelles des CSIRT, le niveau de mise en \u0153uvre de l'assistance mutuelle, le niveau de mise en \u0153uvre des accords de partage d'informations en mati\u00e8re de cybers\u00e9curit\u00e9, ou des questions sp\u00e9cifiques de nature transfrontali\u00e8re ou transsectorielle. Les \u00c9tats membres devraient \u00eatre encourag\u00e9s \u00e0 proc\u00e9der r\u00e9guli\u00e8rement \u00e0 des auto-\u00e9valuations et \u00e0 pr\u00e9senter et examiner les r\u00e9sultats de leur auto-\u00e9valuation au sein du groupe de coop\u00e9ration.<\/p>\n\n\n\n

(77) La responsabilit\u00e9 d'assurer la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information incombe, dans une large mesure, aux entit\u00e9s essentielles et importantes. Il convient de promouvoir et de d\u00e9velopper une culture de la gestion des risques, impliquant des \u00e9valuations des risques et la mise en \u0153uvre de mesures de gestion des risques de cybers\u00e9curit\u00e9 adapt\u00e9es aux risques encourus.<\/p>\n\n\n\n

(78) Les mesures de gestion du risque de cybers\u00e9curit\u00e9 devraient tenir compte du degr\u00e9 de d\u00e9pendance de l'entit\u00e9 essentielle ou importante \u00e0 l'\u00e9gard des r\u00e9seaux et des syst\u00e8mes d'information et comprendre des mesures visant \u00e0 identifier tout risque d'incident, \u00e0 pr\u00e9venir et \u00e0 d\u00e9tecter les incidents, \u00e0 y r\u00e9agir et \u00e0 s'en remettre, ainsi qu'\u00e0 en att\u00e9nuer l'impact. La s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information devrait inclure la s\u00e9curit\u00e9 des donn\u00e9es stock\u00e9es, transmises et trait\u00e9es. Les mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 devraient pr\u00e9voir une analyse syst\u00e9mique, tenant compte du facteur humain, afin d'obtenir une image compl\u00e8te de la s\u00e9curit\u00e9 du r\u00e9seau et du syst\u00e8me d'information.<\/p>\n\n\n\n

(79) Les menaces pour la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information pouvant avoir diff\u00e9rentes origines, les mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 devraient \u00eatre fond\u00e9es sur une approche tous risques, qui vise \u00e0 prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, ainsi que l'environnement physique de ces syst\u00e8mes, contre des \u00e9v\u00e9nements tels que le vol, l'incendie, l'inondation, les pannes de t\u00e9l\u00e9communication ou d'\u00e9lectricit\u00e9, ou l'acc\u00e8s physique non autoris\u00e9 aux installations d'information et de traitement de l'information d'une entit\u00e9 essentielle ou importante, les dommages caus\u00e9s \u00e0 ces installations et les interf\u00e9rences avec celles-ci, qui pourraient compromettre la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es, ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire.<\/p>\n\n\n\n

Les mesures de gestion du risque de cybers\u00e9curit\u00e9 devraient donc \u00e9galement porter sur la s\u00e9curit\u00e9 physique et environnementale des r\u00e9seaux et des syst\u00e8mes d'information, en incluant des mesures visant \u00e0 prot\u00e9ger ces syst\u00e8mes contre les d\u00e9faillances, les erreurs humaines, les actes de malveillance ou les ph\u00e9nom\u00e8nes naturels, conform\u00e9ment aux normes europ\u00e9ennes et internationales, telles que celles figurant dans la s\u00e9rie ISO\/IEC 27000. \u00c0 cet \u00e9gard, les entit\u00e9s essentielles et importantes devraient, dans le cadre de leurs mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9, s'occuper \u00e9galement de la s\u00e9curit\u00e9 des ressources humaines et mettre en place des politiques appropri\u00e9es de contr\u00f4le d'acc\u00e8s. Ces mesures devraient \u00eatre conformes \u00e0 la directive (UE) 2022\/2557.<\/p>\n\n\n\n

(80) Afin de d\u00e9montrer le respect des mesures de gestion des risques de cybers\u00e9curit\u00e9 et en l'absence de syst\u00e8mes europ\u00e9ens appropri\u00e9s de certification en mati\u00e8re de cybers\u00e9curit\u00e9 adopt\u00e9s conform\u00e9ment au r\u00e8glement (UE) 2019\/881 du Parlement europ\u00e9en et du Conseil (18), les \u00c9tats membres devraient, en consultation avec le groupe de coop\u00e9ration et le groupe europ\u00e9en de certification en mati\u00e8re de cybers\u00e9curit\u00e9, promouvoir l'utilisation des normes europ\u00e9ennes et internationales pertinentes par les entit\u00e9s essentielles et importantes ou peuvent exiger des entit\u00e9s qu'elles utilisent des produits TIC, des services TIC et des processus TIC certifi\u00e9s.<\/p>\n\n\n\n

\n\n\n\n

(81) Afin d'\u00e9viter d'imposer une charge financi\u00e8re et administrative disproportionn\u00e9e aux entit\u00e9s essentielles et importantes, les mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 devraient \u00eatre proportionn\u00e9es aux risques encourus par le r\u00e9seau et le syst\u00e8me d'information concern\u00e9s, en tenant compte de l'\u00e9tat d'avancement de ces mesures et, le cas \u00e9ch\u00e9ant, des normes europ\u00e9ennes et internationales pertinentes, ainsi que du co\u00fbt de leur mise en \u0153uvre.<\/p>\n\n\n\n

(82) Les mesures de gestion du risque de cybers\u00e9curit\u00e9 devraient \u00eatre proportionn\u00e9es au degr\u00e9 d'exposition de l'entit\u00e9 essentielle ou importante aux risques et \u00e0 l'impact soci\u00e9tal et \u00e9conomique qu'aurait un incident. Lors de l'\u00e9tablissement de mesures de gestion du risque de cybers\u00e9curit\u00e9 adapt\u00e9es aux entit\u00e9s essentielles et importantes, il convient de tenir d\u00fbment compte de l'exposition divergente aux risques des entit\u00e9s essentielles et importantes, telle que la criticit\u00e9 de l'entit\u00e9, les risques, y compris les risques soci\u00e9taux, auxquels elle est expos\u00e9e, la taille de l'entit\u00e9 et la probabilit\u00e9 d'occurrence d'incidents et leur gravit\u00e9, y compris leur impact soci\u00e9tal et \u00e9conomique.<\/p>\n\n\n\n

(83) Les entit\u00e9s essentielles et importantes devraient assurer la s\u00e9curit\u00e9 du r\u00e9seau et des syst\u00e8mes d'information qu'elles utilisent dans le cadre de leurs activit\u00e9s. Ces syst\u00e8mes sont principalement des r\u00e9seaux et des syst\u00e8mes d'information priv\u00e9s g\u00e9r\u00e9s par le personnel informatique interne des entit\u00e9s essentielles et importantes ou dont la s\u00e9curit\u00e9 a \u00e9t\u00e9 externalis\u00e9e. Les mesures de gestion du risque de cybers\u00e9curit\u00e9 et les obligations de d\u00e9claration pr\u00e9vues par la pr\u00e9sente directive devraient s'appliquer aux entit\u00e9s essentielles et importantes concern\u00e9es, que ces entit\u00e9s assurent la maintenance de leur r\u00e9seau et de leurs syst\u00e8mes d'information en interne ou qu'elles l'externalisent.<\/p>\n\n\n\n

(84) Compte tenu de leur nature transfrontali\u00e8re, les prestataires de services DNS, les registres de noms TLD, les prestataires de services d'informatique en nuage, les prestataires de services de centres de donn\u00e9es, r\u00e9seau de diffusion de contenuR\u00e9seau de diffusion de contenu<\/span> d\u00e9signe un r\u00e9seau de serveurs r\u00e9partis g\u00e9ographiquement dans le but d'assurer la haute disponibilit\u00e9, l'accessibilit\u00e9 ou la fourniture rapide de contenus et de services num\u00e9riques aux utilisateurs de l'internet pour le compte de fournisseurs de contenus et de services. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> les prestataires de services g\u00e9r\u00e9s, les prestataires de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, les prestataires de march\u00e9s en ligne, de moteurs de recherche en ligne et de plateformes de services de r\u00e9seaux sociaux, ainsi que les prestataires de services de confiance devraient faire l'objet d'un degr\u00e9 \u00e9lev\u00e9 d'harmonisation au niveau de l'Union. La mise en \u0153uvre de mesures de gestion des risques de cybers\u00e9curit\u00e9 concernant ces entit\u00e9s devrait donc \u00eatre facilit\u00e9e par un acte d'ex\u00e9cution.<\/p>\n\n\n\n

(85) Il est particuli\u00e8rement important de traiter les risques d\u00e9coulant de la cha\u00eene d'approvisionnement d'une entit\u00e9 et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des donn\u00e9es ou les fournisseurs de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s et les \u00e9diteurs de logiciels, compte tenu de la fr\u00e9quence des incidents au cours desquels des entit\u00e9s ont \u00e9t\u00e9 victimes de cyberattaques et o\u00f9 des auteurs malveillants ont pu compromettre la s\u00e9curit\u00e9 du r\u00e9seau et des syst\u00e8mes d'information d'une entit\u00e9 en exploitant des vuln\u00e9rabilit\u00e9s affectant des produits et des services de tiers.<\/p>\n\n\n\n

Les entit\u00e9s essentielles et importantes devraient donc \u00e9valuer et prendre en compte la qualit\u00e9 et la r\u00e9silience globales des produits et services, les mesures de gestion du risque de cybers\u00e9curit\u00e9 qui y sont int\u00e9gr\u00e9es, ainsi que les pratiques de cybers\u00e9curit\u00e9 de leurs fournisseurs et prestataires de services, y compris leurs proc\u00e9dures de d\u00e9veloppement s\u00e9curis\u00e9. Les entit\u00e9s essentielles et importantes devraient en particulier \u00eatre encourag\u00e9es \u00e0 int\u00e9grer des mesures de gestion du risque de cybers\u00e9curit\u00e9 dans les accords contractuels conclus avec leurs fournisseurs directs et leurs prestataires de services. Ces entit\u00e9s pourraient prendre en compte les risques provenant d'autres niveaux de fournisseurs et de prestataires de services.<\/p>\n\n\n\n

(86) Parmi les prestataires de services, les prestataires de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s dans des domaines tels que la r\u00e9ponse aux incidents, les tests de p\u00e9n\u00e9tration, les audits de s\u00e9curit\u00e9 et le conseil jouent un r\u00f4le particuli\u00e8rement important en aidant les entit\u00e9s dans leurs efforts de pr\u00e9vention, de d\u00e9tection, de r\u00e9ponse ou de r\u00e9tablissement \u00e0 la suite d'incidents. Toutefois, les prestataires de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s ont \u00e9galement \u00e9t\u00e9 la cible de cyberattaques et, en raison de leur int\u00e9gration \u00e9troite dans les op\u00e9rations des entit\u00e9s, ils pr\u00e9sentent un risque particulier. Les entit\u00e9s essentielles et importantes devraient donc faire preuve d'une diligence accrue lors de la s\u00e9lection d'un fournisseur de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s. fournisseur de services de s\u00e9curit\u00e9 g\u00e9r\u00e9sFournisseur de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s<\/span> d\u00e9signe un prestataire de services g\u00e9r\u00e9s qui r\u00e9alise des activit\u00e9s li\u00e9es \u00e0 la gestion du risque de cybers\u00e9curit\u00e9 ou qui fournit une assistance \u00e0 cet \u00e9gard. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>.<\/p>\n\n\n\n

(87) Les autorit\u00e9s comp\u00e9tentes, dans le cadre de leurs missions de surveillance, peuvent \u00e9galement b\u00e9n\u00e9ficier de services de cybers\u00e9curit\u00e9 tels que des audits de s\u00e9curit\u00e9, des tests de p\u00e9n\u00e9tration ou des r\u00e9ponses aux incidents.<\/p>\n\n\n\n

(88) Les entit\u00e9s essentielles et importantes devraient \u00e9galement se pr\u00e9occuper des risques d\u00e9coulant de leurs interactions et de leurs relations avec d'autres parties prenantes au sein d'un \u00e9cosyst\u00e8me plus large, notamment en ce qui concerne la lutte contre l'espionnage industriel et la protection des secrets commerciaux.<\/p>\n\n\n\n

En particulier, ces entit\u00e9s devraient prendre des mesures appropri\u00e9es pour veiller \u00e0 ce que leur coop\u00e9ration avec les \u00e9tablissements universitaires et de recherche soit conforme \u00e0 leurs politiques en mati\u00e8re de cybers\u00e9curit\u00e9 et suive les bonnes pratiques en ce qui concerne l'acc\u00e8s s\u00e9curis\u00e9 et la diffusion de l'information en g\u00e9n\u00e9ral et la protection de la propri\u00e9t\u00e9 intellectuelle en particulier. De m\u00eame, compte tenu de l'importance et de la valeur des donn\u00e9es pour les activit\u00e9s des entit\u00e9s essentielles et importantes, ces entit\u00e9s devraient prendre toutes les mesures appropri\u00e9es de gestion des risques de cybers\u00e9curit\u00e9 lorsqu'elles font appel \u00e0 des services de transformation et d'analyse des donn\u00e9es fournis par des tiers.<\/p>\n\n\n\n

(89) Les entit\u00e9s essentielles et importantes devraient adopter un large \u00e9ventail de pratiques de base en mati\u00e8re de cyberhygi\u00e8ne, telles que les principes de confiance z\u00e9ro, les mises \u00e0 jour de logiciels, la configuration des appareils, la segmentation des r\u00e9seaux, la gestion des identit\u00e9s et des acc\u00e8s ou la sensibilisation des utilisateurs, organiser des formations pour leur personnel et le sensibiliser aux cybermenaces et aux techniques d'hame\u00e7onnage ou d'ing\u00e9nierie sociale. En outre, ces entit\u00e9s devraient \u00e9valuer leurs propres capacit\u00e9s en mati\u00e8re de cybers\u00e9curit\u00e9 et, le cas \u00e9ch\u00e9ant, poursuivre l'int\u00e9gration de technologies am\u00e9liorant la cybers\u00e9curit\u00e9, telles que l'intelligence artificielle ou les syst\u00e8mes d'apprentissage automatique, afin de renforcer leurs capacit\u00e9s et la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information.<\/p>\n\n\n\n

(90) Afin de mieux prendre en compte les principaux risques li\u00e9s \u00e0 la cha\u00eene d'approvisionnement et d'aider les entit\u00e9s essentielles et importantes op\u00e9rant dans les secteurs couverts par la pr\u00e9sente directive \u00e0 g\u00e9rer de mani\u00e8re appropri\u00e9e les risques li\u00e9s \u00e0 la cha\u00eene d'approvisionnement et aux fournisseurs, le groupe de coop\u00e9ration, en coop\u00e9ration avec la Commission et l'ENISA et, le cas \u00e9ch\u00e9ant, apr\u00e8s avoir consult\u00e9 les parties prenantes concern\u00e9es, y compris celles du secteur, devrait proc\u00e9der \u00e0 des \u00e9valuations coordonn\u00e9es des risques de s\u00e9curit\u00e9 des cha\u00eenes d'approvisionnement critiques, comme cela a \u00e9t\u00e9 fait pour les r\u00e9seaux 5G conform\u00e9ment \u00e0 la recommandation (UE) 2019\/534 de la Commission, dans le but de recenser, par secteur, les services, les syst\u00e8mes ou les produits TIC critiques, ainsi que les menaces et les vuln\u00e9rabilit\u00e9s pertinentes.<\/p>\n\n\n\n

Ces \u00e9valuations coordonn\u00e9es des risques de s\u00e9curit\u00e9 devraient recenser les mesures, les plans d'att\u00e9nuation et les meilleures pratiques pour contrer les d\u00e9pendances critiques, les points de d\u00e9faillance uniques potentiels, les menaces, les vuln\u00e9rabilit\u00e9s et les autres risques associ\u00e9s \u00e0 la cha\u00eene d'approvisionnement, et devraient \u00e9tudier les moyens d'encourager leur adoption plus large par les entit\u00e9s essentielles et importantes. Les facteurs de risque non techniques potentiels, tels que l'influence indue d'un pays tiers sur les fournisseurs et les prestataires de services, en particulier dans le cas de mod\u00e8les de gouvernance alternatifs, comprennent les vuln\u00e9rabilit\u00e9s dissimul\u00e9es ou les portes d\u00e9rob\u00e9es et les perturbations syst\u00e9miques potentielles de l'approvisionnement, en particulier dans le cas d'un verrouillage technologique ou d'une d\u00e9pendance \u00e0 l'\u00e9gard d'un fournisseur.<\/p>\n\n\n\n

(91) Les \u00e9valuations coordonn\u00e9es des risques de s\u00e9curit\u00e9 des cha\u00eenes d'approvisionnement critiques, \u00e0 la lumi\u00e8re des caract\u00e9ristiques du secteur concern\u00e9, devraient tenir compte de facteurs techniques et, le cas \u00e9ch\u00e9ant, non techniques, y compris ceux d\u00e9finis dans la recommandation (UE) 2019\/534, dans l'\u00e9valuation coordonn\u00e9e des risques de l'UE concernant la cybers\u00e9curit\u00e9 des r\u00e9seaux 5G et dans la bo\u00eete \u00e0 outils de l'UE sur la cybers\u00e9curit\u00e9 de la 5G approuv\u00e9e par le groupe de coop\u00e9ration.<\/p>\n\n\n\n

Pour identifier les cha\u00eenes d'approvisionnement qui devraient faire l'objet d'une \u00e9valuation coordonn\u00e9e des risques de s\u00e9curit\u00e9, il convient de tenir compte des crit\u00e8res suivants :<\/p>\n\n\n\n

(i) la mesure dans laquelle les entit\u00e9s essentielles et importantes utilisent et d\u00e9pendent de services, syst\u00e8mes ou produits TIC critiques sp\u00e9cifiques ;<\/p>\n\n\n\n

(ii) la pertinence de services TIC critiques sp\u00e9cifiques, de syst\u00e8mes TIC ou de produits TIC pour l'ex\u00e9cution de fonctions critiques ou sensibles, y compris le traitement de donn\u00e9es \u00e0 caract\u00e8re personnel ;<\/p>\n\n\n\n

(iii) la disponibilit\u00e9 d'autres services, syst\u00e8mes ou produits TIC ;<\/p>\n\n\n\n

(iv) la r\u00e9silience de l'ensemble de la cha\u00eene d'approvisionnement des services TIC, des syst\u00e8mes TIC ou des produits TIC tout au long de leur cycle de vie face \u00e0 des \u00e9v\u00e9nements perturbateurs ; et<\/p>\n\n\n\n

(v) pour les services, syst\u00e8mes ou produits TIC \u00e9mergents, leur importance potentielle future pour les activit\u00e9s des entit\u00e9s.<\/p>\n\n\n\n

En outre, il convient de mettre l'accent sur les services, les syst\u00e8mes ou les produits TIC qui sont soumis \u00e0 des exigences sp\u00e9cifiques de la part de pays tiers.<\/p>\n\n\n\n

(92) Afin de rationaliser les obligations impos\u00e9es aux fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques ou de services de communications \u00e9lectroniques accessibles au public, ainsi qu'aux prestataires de services de confiance, en ce qui concerne la s\u00e9curit\u00e9 de leur r\u00e9seau et de leurs syst\u00e8mes d'information, ainsi que pour permettre \u00e0 ces entit\u00e9s et aux autorit\u00e9s comp\u00e9tentes en vertu de la directive (UE) 2018\/1972 du Parlement europ\u00e9en et du Conseil et du r\u00e8glement (UE) n\u00b0 910\/2014, respectivement, de b\u00e9n\u00e9ficier du cadre juridique \u00e9tabli par la pr\u00e9sente directive, y compris la d\u00e9signation d'un CSIRT charg\u00e9 du traitement des incidents, la participation des autorit\u00e9s comp\u00e9tentes concern\u00e9es aux activit\u00e9s du groupe de coop\u00e9ration et le r\u00e9seau des CSIRT, ces entit\u00e9s devraient relever du champ d'application de la pr\u00e9sente directive.<\/p>\n\n\n\n

Les dispositions correspondantes pr\u00e9vues par le r\u00e8glement (UE) n\u00b0 910\/2014 et la directive (UE) 2018\/1972 relatives \u00e0 l'imposition d'exigences en mati\u00e8re de s\u00e9curit\u00e9 et de notification \u00e0 ces types d'entit\u00e9s devraient donc \u00eatre supprim\u00e9es. Les r\u00e8gles relatives aux obligations de notification \u00e9tablies dans la pr\u00e9sente directive devraient \u00eatre sans pr\u00e9judice du r\u00e8glement (UE) 2016\/679 et de la directive 2002\/58\/CE.<\/p>\n\n\n\n

(93) Les obligations en mati\u00e8re de cybers\u00e9curit\u00e9 pr\u00e9vues par la pr\u00e9sente directive devraient \u00eatre consid\u00e9r\u00e9es comme compl\u00e9mentaires des exigences impos\u00e9es aux prestataires de services de confiance en vertu du r\u00e8glement (UE) n\u00b0 910\/2014. Les prestataires de services de confiance devraient \u00eatre tenus de prendre toutes les mesures appropri\u00e9es et proportionn\u00e9es pour g\u00e9rer les risques li\u00e9s \u00e0 leurs services, y compris en ce qui concerne les clients et les tiers qui se fient \u00e0 eux, et de signaler les incidents en vertu de la pr\u00e9sente directive. Ces obligations en mati\u00e8re de cybers\u00e9curit\u00e9 et de d\u00e9claration devraient \u00e9galement concerner la protection physique des services fournis. Les exigences en mati\u00e8re de service fiduciaire qualifi\u00e9Service fiduciaire qualifi\u00e9<\/span> Un service de confiance qui satisfait aux exigences applicables \u00e9nonc\u00e9es dans le pr\u00e9sent r\u00e8glement - D\u00e9finition conform\u00e9ment \u00e0 l'article 3, point (17), du r\u00e8glement (UE) n\u00b0 910\/2014.<\/span><\/span><\/span> prestataires pr\u00e9vus \u00e0 l'article 24 du r\u00e8glement (UE) n\u00b0 910\/2014 continuent de s'appliquer.<\/p>\n\n\n\n

(94) Les \u00c9tats membres peuvent confier le r\u00f4le des autorit\u00e9s comp\u00e9tentes en mati\u00e8re de services de confiance aux organes de surveillance en vertu du r\u00e8glement (UE) n\u00b0 910\/2014 afin d'assurer la poursuite des pratiques actuelles et de tirer parti des connaissances et de l'exp\u00e9rience acquises dans le cadre de l'application dudit r\u00e8glement. Dans ce cas, les autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive devraient coop\u00e9rer \u00e9troitement et en temps utile avec ces organes de surveillance en \u00e9changeant des informations pertinentes afin d'assurer une surveillance efficace et le respect, par les prestataires de services de confiance, des exigences \u00e9nonc\u00e9es dans la pr\u00e9sente directive et dans le r\u00e8glement (UE) n\u00b0 910\/2014.<\/p>\n\n\n\n

Le cas \u00e9ch\u00e9ant, le CSIRT ou l'autorit\u00e9 comp\u00e9tente en vertu de la pr\u00e9sente directive devrait imm\u00e9diatement informer l'organe de surveillance en vertu du r\u00e8glement (UE) n\u00b0 910\/2014 de toute notification. une cybermenace importanteMenace cybern\u00e9tique importante<\/span> d\u00e9signe une cybermenace dont on peut supposer, sur la base de ses caract\u00e9ristiques techniques, qu'elle est susceptible d'avoir une incidence grave sur le r\u00e9seau et les syst\u00e8mes d'information d'une entit\u00e9 ou sur les utilisateurs des services de l'entit\u00e9 en causant des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables ; - d\u00e9signe une cybermenace dont on peut supposer, sur la base de ses caract\u00e9ristiques techniques, qu'elle est susceptible de causer des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> ou incident affectant les services fiduciaires, ainsi que sur toute infraction commise par une personne ou un groupe de personnes. prestataire de services fiduciairesPrestataire de services fiduciaires<\/span> d\u00e9signe une personne physique ou morale qui fournit un ou plusieurs services de confiance en tant que prestataire de services de confiance qualifi\u00e9 ou non qualifi\u00e9 - D\u00e9finition selon l'article 3, point (19), du r\u00e8glement (UE) n\u00b0 910\/2014.<\/span><\/span><\/span> de la pr\u00e9sente directive. Aux fins de la d\u00e9claration, les \u00c9tats membres peuvent, le cas \u00e9ch\u00e9ant, utiliser le point d'entr\u00e9e unique \u00e9tabli pour r\u00e9aliser une d\u00e9claration d'incident commune et automatique \u00e0 la fois \u00e0 l'organe de contr\u00f4le en vertu du r\u00e8glement (UE) n\u00b0 910\/2014 et au CSIRT ou \u00e0 l'autorit\u00e9 comp\u00e9tente en vertu de la pr\u00e9sente directive.<\/p>\n\n\n\n

(95) Le cas \u00e9ch\u00e9ant et afin d'\u00e9viter toute perturbation inutile, les lignes directrices nationales existantes adopt\u00e9es pour la transposition des r\u00e8gles relatives aux mesures de s\u00fbret\u00e9 \u00e9nonc\u00e9es aux articles 40 et 41 de la directive (UE) 2018\/1972 devraient \u00eatre prises en compte dans la transposition de la pr\u00e9sente directive, en s'appuyant ainsi sur les connaissances et les comp\u00e9tences d\u00e9j\u00e0 acquises au titre de la directive (UE) 2018\/1972 en ce qui concerne les mesures de s\u00fbret\u00e9 et les notifications d'incidents.<\/p>\n\n\n\n

L'ENISA peut \u00e9galement \u00e9laborer des orientations sur les exigences en mati\u00e8re de s\u00e9curit\u00e9 et sur les obligations de d\u00e9claration pour les fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques ou de services de communications \u00e9lectroniques accessibles au public afin de faciliter l'harmonisation et la transition et de minimiser les perturbations. Les \u00c9tats membres peuvent confier le r\u00f4le d'autorit\u00e9s comp\u00e9tentes en mati\u00e8re de communications \u00e9lectroniques aux autorit\u00e9s r\u00e9glementaires nationales en vertu de la directive (UE) 2018\/1972 afin d'assurer la poursuite des pratiques actuelles et de s'appuyer sur les connaissances et l'exp\u00e9rience acquises \u00e0 la suite de la mise en \u0153uvre de cette directive.<\/p>\n\n\n\n

(96) Compte tenu de l'importance croissante des services de communications interpersonnelles ind\u00e9pendants du num\u00e9ro, tels que d\u00e9finis dans la directive (UE) 2018\/1972, il est n\u00e9cessaire de veiller \u00e0 ce que ces services soient \u00e9galement soumis \u00e0 des exigences de s\u00e9curit\u00e9 appropri\u00e9es, eu \u00e9gard \u00e0 leur nature sp\u00e9cifique et \u00e0 leur importance \u00e9conomique. Alors que la surface d'attaque continue de s'\u00e9tendre, les services de communications interpersonnelles ind\u00e9pendants du num\u00e9ro, tels que les services de messagerie, deviennent des vecteurs d'attaque tr\u00e8s r\u00e9pandus.<\/p>\n\n\n\n

Les auteurs d'actes malveillants utilisent des plateformes pour communiquer et inciter les victimes \u00e0 ouvrir des pages web compromises, augmentant ainsi la probabilit\u00e9 d'incidents impliquant l'exploitation de donn\u00e9es \u00e0 caract\u00e8re personnel et, par extension, la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information. Les fournisseurs de services de communications interpersonnelles ind\u00e9pendants du num\u00e9ro devraient garantir un niveau de s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d'information adapt\u00e9 aux risques encourus.<\/p>\n\n\n\n

\u00c9tant donn\u00e9 que les fournisseurs de services de communications interpersonnelles ind\u00e9pendants du num\u00e9ro n'exercent normalement pas de contr\u00f4le effectif sur la transmission des signaux sur les r\u00e9seaux, le degr\u00e9 de risque pos\u00e9 \u00e0 ces services peut \u00eatre consid\u00e9r\u00e9, \u00e0 certains \u00e9gards, comme plus faible que pour les services de communications \u00e9lectroniques traditionnels. Il en va de m\u00eame pour les services de communications interpersonnelles tels que d\u00e9finis dans la directive (UE) 2018\/1972, qui utilisent des num\u00e9ros et n'exercent pas de contr\u00f4le effectif sur la transmission des signaux.<\/p>\n\n\n\n

(97) Le march\u00e9 int\u00e9rieur d\u00e9pend plus que jamais du fonctionnement de l'internet. Les services de presque toutes les entit\u00e9s essentielles et importantes d\u00e9pendent des services fournis sur l'internet. Afin d'assurer la bonne prestation des services fournis par les entit\u00e9s essentielles et importantes, il importe que tous les fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques mettent en place des mesures appropri\u00e9es de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et qu'ils signalent les incidents significatifs qui s'y rapportent.<\/p>\n\n\n\n

Les \u00c9tats membres devraient veiller \u00e0 ce que la s\u00e9curit\u00e9 des r\u00e9seaux publics de communications \u00e9lectroniques soit maintenue et \u00e0 ce que leurs int\u00e9r\u00eats vitaux en mati\u00e8re de s\u00e9curit\u00e9 soient prot\u00e9g\u00e9s contre le sabotage et l'espionnage. \u00c9tant donn\u00e9 que la connectivit\u00e9 internationale renforce et acc\u00e9l\u00e8re la num\u00e9risation comp\u00e9titive de l'Union et de son \u00e9conomie, les incidents affectant les c\u00e2bles de communication sous-marins devraient \u00eatre signal\u00e9s au CSIRT ou, le cas \u00e9ch\u00e9ant, \u00e0 l'autorit\u00e9 comp\u00e9tente. La strat\u00e9gie nationale de cybers\u00e9curit\u00e9 devrait, le cas \u00e9ch\u00e9ant, tenir compte de la cybers\u00e9curit\u00e9 des c\u00e2bles de communication sous-marins et inclure une cartographie des risques potentiels en mati\u00e8re de cybers\u00e9curit\u00e9 et des mesures d'att\u00e9nuation afin d'assurer le niveau de protection le plus \u00e9lev\u00e9 possible.<\/p>\n\n\n\n

(98) Afin de pr\u00e9server la s\u00e9curit\u00e9 des r\u00e9seaux publics de communications \u00e9lectroniques et des services de communications \u00e9lectroniques accessibles au public, il convient de promouvoir l'utilisation des technologies de chiffrement, en particulier le chiffrement de bout en bout, ainsi que les concepts de s\u00e9curit\u00e9 centr\u00e9s sur les donn\u00e9es, tels que la cartographie, la segmentation, le marquage, la politique et la gestion d'acc\u00e8s, et les d\u00e9cisions d'acc\u00e8s automatis\u00e9es. Le cas \u00e9ch\u00e9ant, l'utilisation du chiffrement, en particulier le chiffrement de bout en bout, devrait \u00eatre obligatoire pour les fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques ou de services de communications \u00e9lectroniques accessibles au public, conform\u00e9ment aux principes de s\u00e9curit\u00e9 et de respect de la vie priv\u00e9e par d\u00e9faut et d\u00e8s la conception aux fins de la pr\u00e9sente directive.<\/p>\n\n\n\n

L'utilisation du chiffrement de bout en bout devrait \u00eatre concili\u00e9e avec les comp\u00e9tences des \u00c9tats membres pour assurer la protection de leurs int\u00e9r\u00eats essentiels en mati\u00e8re de s\u00e9curit\u00e9 et de la s\u00e9curit\u00e9 publique, et pour permettre la pr\u00e9vention, la recherche, la d\u00e9tection et la poursuite des infractions p\u00e9nales conform\u00e9ment au droit de l'Union. Toutefois, cela ne devrait pas affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour la protection efficace des donn\u00e9es et de la vie priv\u00e9e et la s\u00e9curit\u00e9 des communications.<\/p>\n\n\n\n

(99) Afin de pr\u00e9server la s\u00e9curit\u00e9 des r\u00e9seaux publics de communications \u00e9lectroniques et des services de communications \u00e9lectroniques accessibles au public, et d'emp\u00eacher les abus et les manipulations, il convient de promouvoir l'utilisation de normes de routage s\u00e9curis\u00e9es pour garantir l'int\u00e9grit\u00e9 et la robustesse des fonctions de routage dans l'\u00e9cosyst\u00e8me des fournisseurs d'acc\u00e8s \u00e0 l'internet.<\/p>\n\n\n\n

(100) Afin de pr\u00e9server la fonctionnalit\u00e9 et l'int\u00e9grit\u00e9 de l'internet et de promouvoir la s\u00e9curit\u00e9 et la r\u00e9silience du DNS, les parties prenantes concern\u00e9es, y compris les entit\u00e9s du secteur priv\u00e9 de l'Union, les fournisseurs de services de communications \u00e9lectroniques accessibles au public, en particulier les fournisseurs de services d'acc\u00e8s \u00e0 l'internet, et les fournisseurs de moteurs de recherche en ligne, devraient \u00eatre encourag\u00e9s \u00e0 adopter une strat\u00e9gie de diversification des r\u00e9solutions DNS. En outre, les \u00c9tats membres devraient encourager le d\u00e9veloppement et l'utilisation d'un service de r\u00e9solution DNS europ\u00e9en public et s\u00e9curis\u00e9.<\/p>\n\n\n\n

(101) La pr\u00e9sente directive d\u00e9finit une approche en plusieurs \u00e9tapes pour la notification des incidents significatifs afin de trouver un juste \u00e9quilibre entre, d'une part, une notification rapide qui contribue \u00e0 att\u00e9nuer la propagation potentielle des incidents significatifs et permet aux entit\u00e9s essentielles et importantes de demander de l'aide et, d'autre part, une notification approfondie qui tire des enseignements pr\u00e9cieux des incidents individuels et am\u00e9liore au fil du temps la cyber-r\u00e9silience des entit\u00e9s individuelles et de secteurs entiers.<\/p>\n\n\n\n

\u00c0 cet \u00e9gard, la pr\u00e9sente directive devrait inclure la notification des incidents qui, sur la base d'une \u00e9valuation initiale effectu\u00e9e par l'entit\u00e9 concern\u00e9e, pourraient causer une grave perturbation op\u00e9rationnelle des services ou une perte financi\u00e8re pour cette entit\u00e9 ou affecter d'autres personnes physiques ou morales en causant des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables.<\/p>\n\n\n\n

Cette \u00e9valuation initiale devrait tenir compte, entre autres, du r\u00e9seau et des syst\u00e8mes d'information touch\u00e9s, en particulier de leur importance pour la fourniture des services de l'entit\u00e9, de la gravit\u00e9 et des caract\u00e9ristiques techniques d'une cybermenace et de toute vuln\u00e9rabilit\u00e9 sous-jacente exploit\u00e9e, ainsi que de l'exp\u00e9rience de l'entit\u00e9 en mati\u00e8re d'incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affect\u00e9, la dur\u00e9e d'un incident ou le nombre de b\u00e9n\u00e9ficiaires de services affect\u00e9s pourraient jouer un r\u00f4le important pour d\u00e9terminer si l'interruption op\u00e9rationnelle du service est grave.<\/p>\n\n\n\n

(102) Lorsque des entit\u00e9s essentielles ou importantes ont connaissance d'un incident significatif, elles doivent \u00eatre tenues de pr\u00e9senter une alerte rapide sans d\u00e9lai excessif et, en tout \u00e9tat de cause, dans les 24 heures. Cette alerte rapide devrait \u00eatre suivie d'une notification d'incident. Les entit\u00e9s concern\u00e9es devraient soumettre une notification d'incident sans d\u00e9lai excessif et, en tout \u00e9tat de cause, dans les 72 heures suivant la prise de connaissance de l'incident significatif, dans le but, notamment, de mettre \u00e0 jour les informations fournies dans le cadre de l'alerte rapide et d'indiquer une premi\u00e8re \u00e9valuation de l'incident significatif, y compris sa gravit\u00e9 et son impact, ainsi que des indicateurs de compromission, lorsqu'ils sont disponibles.<\/p>\n\n\n\n

Un rapport final doit \u00eatre soumis au plus tard un mois apr\u00e8s la notification de l'incident. L'alerte rapide ne doit contenir que les informations n\u00e9cessaires pour que le CSIRT ou, le cas \u00e9ch\u00e9ant, l'autorit\u00e9 comp\u00e9tente, soit inform\u00e9 de l'incident significatif et permette \u00e0 l'entit\u00e9 concern\u00e9e de demander de l'aide, si n\u00e9cessaire. Le cas \u00e9ch\u00e9ant, l'alerte rapide doit indiquer si l'incident significatif est suspect\u00e9 d'\u00eatre caus\u00e9 par des actes illicites ou malveillants et s'il est susceptible d'avoir une incidence transfrontali\u00e8re.<\/p>\n\n\n\n

Les \u00c9tats membres devraient veiller \u00e0 ce que l'obligation de pr\u00e9senter cette alerte rapide ou la notification d'incident qui s'ensuit ne d\u00e9tourne pas les ressources de l'entit\u00e9 notifiante des activit\u00e9s li\u00e9es au traitement de l'incident qui devraient \u00eatre prioritaires, afin d'\u00e9viter que les obligations de d\u00e9claration d'incident ne d\u00e9tournent les ressources du traitement de la r\u00e9ponse \u00e0 l'incident significatif ou ne compromettent d'une autre mani\u00e8re les efforts de l'entit\u00e9 \u00e0 cet \u00e9gard. En cas d'incident en cours au moment de la pr\u00e9sentation du rapport final, les \u00c9tats membres devraient veiller \u00e0 ce que les entit\u00e9s concern\u00e9es fournissent un rapport d'avancement \u00e0 ce moment-l\u00e0 et un rapport final dans un d\u00e9lai d'un mois \u00e0 compter de la date \u00e0 laquelle elles ont trait\u00e9 l'incident significatif.<\/p>\n\n\n\n

(103) Le cas \u00e9ch\u00e9ant, les entit\u00e9s essentielles et importantes devraient communiquer, sans retard injustifi\u00e9, \u00e0 leurs destinataires de services les mesures ou les rem\u00e8des qu'elles peuvent prendre pour att\u00e9nuer les risques r\u00e9sultant d'une cybermenace importante. Ces entit\u00e9s devraient, le cas \u00e9ch\u00e9ant et en particulier lorsque la cybermenace importante est susceptible de se concr\u00e9tiser, informer \u00e9galement leurs destinataires de services de la menace elle-m\u00eame.<\/p>\n\n\n\n

L'obligation d'informer ces destinataires des cybermenaces graves devrait \u00eatre remplie sur la base des meilleurs efforts possibles, mais ne devrait pas dispenser ces entit\u00e9s de l'obligation de prendre, \u00e0 leurs propres frais, des mesures appropri\u00e9es et imm\u00e9diates pour pr\u00e9venir ces menaces ou y rem\u00e9dier et r\u00e9tablir le niveau de s\u00e9curit\u00e9 normal du service. La fourniture de ces informations sur les cybermenaces graves aux destinataires du service devrait \u00eatre gratuite et r\u00e9dig\u00e9e dans un langage facilement compr\u00e9hensible.<\/p>\n\n\n\n

(104) Les fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques ou de services de communications \u00e9lectroniques accessibles au public devraient mettre en \u0153uvre la s\u00e9curit\u00e9 d\u00e8s la conception et par d\u00e9faut, et informer les destinataires de leurs services des cybermenaces importantes et des mesures qu'ils peuvent prendre pour prot\u00e9ger la s\u00e9curit\u00e9 de leurs appareils et de leurs communications, par exemple en utilisant des types sp\u00e9cifiques de logiciels ou de technologies de cryptage.<\/p>\n\n\n\n

(105) Une approche proactive des cybermenaces est un \u00e9l\u00e9ment essentiel de la gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9, qui devrait permettre aux autorit\u00e9s comp\u00e9tentes d'emp\u00eacher efficacement les cybermenaces de se mat\u00e9rialiser en incidents susceptibles de causer des dommages mat\u00e9riels ou immat\u00e9riels consid\u00e9rables. \u00c0 cette fin, la notification des cybermenaces rev\u00eat une importance capitale. \u00c0 cette fin, les entit\u00e9s sont encourag\u00e9es \u00e0 signaler volontairement les cybermenaces.<\/p>\n\n\n\n

(106) Afin de simplifier la communication des informations requises au titre de la pr\u00e9sente directive et de r\u00e9duire la charge administrative pesant sur les entit\u00e9s, les \u00c9tats membres devraient fournir des moyens techniques tels qu'un point d'entr\u00e9e unique, des syst\u00e8mes automatis\u00e9s, des formulaires en ligne, des interfaces conviviales, des mod\u00e8les, des plateformes d\u00e9di\u00e9es \u00e0 l'usage des entit\u00e9s, qu'elles rel\u00e8vent ou non du champ d'application de la pr\u00e9sente directive, pour la soumission des informations pertinentes \u00e0 communiquer.<\/p>\n\n\n\n

Le financement de l'Union pour la mise en \u0153uvre de la pr\u00e9sente directive, en particulier dans le cadre du programme \"Europe num\u00e9rique\" \u00e9tabli par le r\u00e8glement (UE) 2021\/694 du Parlement europ\u00e9en et du Conseil (21), pourrait inclure un soutien aux points d'entr\u00e9e uniques. En outre, les entit\u00e9s se trouvent souvent dans une situation o\u00f9 un incident particulier, en raison de ses caract\u00e9ristiques, doit \u00eatre signal\u00e9 \u00e0 diff\u00e9rentes autorit\u00e9s en raison des obligations de notification pr\u00e9vues par divers instruments juridiques. Ces cas cr\u00e9ent une charge administrative suppl\u00e9mentaire et peuvent \u00e9galement entra\u00eener des incertitudes quant au format et aux proc\u00e9dures de ces notifications.<\/p>\n\n\n\n

Lorsqu'un point d'entr\u00e9e unique est \u00e9tabli, les \u00c9tats membres sont encourag\u00e9s \u00e0 utiliser \u00e9galement ce point d'entr\u00e9e unique pour les notifications d'incidents de s\u00e9curit\u00e9 requises en vertu d'autres dispositions du droit de l'Union, telles que le r\u00e8glement (UE) 2016\/679 et la directive 2002\/58\/CE. L'utilisation de ce point d'entr\u00e9e unique pour la notification des incidents de s\u00e9curit\u00e9 en vertu du r\u00e8glement (UE) 2016\/679 et de la directive 2002\/58\/CE ne devrait pas affecter l'application des dispositions du r\u00e8glement (UE) 2016\/679 et de la directive 2002\/58\/CE, en particulier celles relatives \u00e0 l'ind\u00e9pendance des autorit\u00e9s qui y sont vis\u00e9es. L'ENISA, en coop\u00e9ration avec le groupe de coop\u00e9ration, devrait \u00e9laborer des mod\u00e8les de notification communs au moyen de lignes directrices afin de simplifier et de rationaliser les informations \u00e0 communiquer en vertu du droit de l'Union et de r\u00e9duire la charge administrative pesant sur les entit\u00e9s notifiantes.<\/p>\n\n\n\n

(107) Lorsque l'on soup\u00e7onne qu'un incident est li\u00e9 \u00e0 des activit\u00e9s criminelles graves au regard du droit de l'Union ou du droit national, les \u00c9tats membres devraient encourager les entit\u00e9s essentielles et importantes, sur la base des r\u00e8gles de proc\u00e9dure p\u00e9nale applicables conform\u00e9ment au droit de l'Union, \u00e0 signaler aux services r\u00e9pressifs comp\u00e9tents les incidents dont on soup\u00e7onne qu'ils sont de nature criminelle grave. Le cas \u00e9ch\u00e9ant, et sans pr\u00e9judice des r\u00e8gles de protection des donn\u00e9es \u00e0 caract\u00e8re personnel applicables \u00e0 Europol, il est souhaitable que la coordination entre les autorit\u00e9s comp\u00e9tentes et les services r\u00e9pressifs des diff\u00e9rents \u00c9tats membres soit facilit\u00e9e par le Centre europ\u00e9en de lutte contre la cybercriminalit\u00e9 (EC3) et l'ENISA.<\/p>\n\n\n\n

(108) Les donn\u00e9es \u00e0 caract\u00e8re personnel sont dans de nombreux cas compromises \u00e0 la suite d'incidents. Dans ce contexte, les autorit\u00e9s comp\u00e9tentes devraient coop\u00e9rer et \u00e9changer des informations sur toutes les questions pertinentes avec les autorit\u00e9s vis\u00e9es par le r\u00e8glement (UE) 2016\/679 et la directive 2002\/58\/CE.<\/p>\n\n\n\n

(109) Il est essentiel de maintenir des bases de donn\u00e9es exactes et compl\u00e8tes sur les donn\u00e9es d'enregistrement des noms de domaine (donn\u00e9es WHOIS) et de fournir un acc\u00e8s l\u00e9gal \u00e0 ces donn\u00e9es pour garantir la s\u00e9curit\u00e9, la stabilit\u00e9 et la r\u00e9silience du DNS, qui contribue \u00e0 son tour \u00e0 un niveau commun \u00e9lev\u00e9 de cybers\u00e9curit\u00e9 dans l'ensemble de l'Union. \u00c0 cette fin sp\u00e9cifique, les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient \u00eatre tenus de traiter certaines donn\u00e9es n\u00e9cessaires pour atteindre cet objectif.<\/p>\n\n\n\n

Ce traitement devrait constituer une obligation l\u00e9gale au sens de l'article 6, paragraphe 1, point c), du r\u00e8glement (UE) 2016\/679. Cette obligation est sans pr\u00e9judice de la possibilit\u00e9 de collecter des donn\u00e9es d'enregistrement de noms de domaine \u00e0 d'autres fins, par exemple sur la base d'accords contractuels ou d'exigences l\u00e9gales \u00e9tablies dans d'autres l\u00e9gislations de l'Union ou nationales. Cette obligation vise \u00e0 obtenir un ensemble complet et pr\u00e9cis de donn\u00e9es d'enregistrement et ne devrait pas conduire \u00e0 collecter les m\u00eames donn\u00e9es plusieurs fois. Les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient coop\u00e9rer entre eux afin d'\u00e9viter la duplication de cette t\u00e2che.<\/p>\n\n\n\n

(110) La disponibilit\u00e9 et l'accessibilit\u00e9 en temps utile des donn\u00e9es d'enregistrement des noms de domaine aux demandeurs d'acc\u00e8s l\u00e9gitimes sont essentielles pour la pr\u00e9vention et la lutte contre les abus en mati\u00e8re de DNS, ainsi que pour la pr\u00e9vention et la d\u00e9tection des incidents et la r\u00e9action \u00e0 ceux-ci. Par demandeurs d'acc\u00e8s l\u00e9gitimes, il faut entendre toute personne physique ou morale qui pr\u00e9sente une demande en vertu du droit de l'Union ou du droit national.<\/p>\n\n\n\n

Il peut s'agir d'autorit\u00e9s comp\u00e9tentes en vertu de la pr\u00e9sente directive et d'autorit\u00e9s comp\u00e9tentes en vertu du droit de l'Union ou du droit national pour la pr\u00e9vention, la recherche, la d\u00e9tection ou la poursuite d'infractions p\u00e9nales, ainsi que de CERT ou de CSIRT. Les registres de noms de TLD et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient \u00eatre tenus de permettre aux demandeurs d'acc\u00e8s l\u00e9gitimes d'acc\u00e9der l\u00e9galement aux donn\u00e9es d'enregistrement de noms de domaine sp\u00e9cifiques qui sont n\u00e9cessaires aux fins de la demande d'acc\u00e8s, conform\u00e9ment au droit de l'Union et au droit national. La demande des demandeurs d'acc\u00e8s l\u00e9gitimes doit \u00eatre accompagn\u00e9e d'un expos\u00e9 des motifs permettant d'\u00e9valuer la n\u00e9cessit\u00e9 de l'acc\u00e8s aux donn\u00e9es.<\/p>\n\n\n\n

(111) Afin de garantir la disponibilit\u00e9 de donn\u00e9es d'enregistrement de noms de domaine exactes et compl\u00e8tes, les registres de noms de TLD et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine doivent collecter et garantir l'int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es d'enregistrement de noms de domaine. En particulier, les registres de noms de TLD et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient \u00e9tablir des politiques et des proc\u00e9dures pour collecter et conserver des donn\u00e9es d'enregistrement de noms de domaine exactes et compl\u00e8tes, ainsi que pour pr\u00e9venir et corriger les donn\u00e9es d'enregistrement inexactes, conform\u00e9ment au droit de l'Union en mati\u00e8re de protection des donn\u00e9es.<\/p>\n\n\n\n

Ces politiques et proc\u00e9dures doivent tenir compte, dans la mesure du possible, des normes \u00e9labor\u00e9es par les structures de gouvernance multipartites au niveau international. Les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient adopter et mettre en \u0153uvre des proc\u00e9dures proportionn\u00e9es pour v\u00e9rifier les donn\u00e9es d'enregistrement des noms de domaine.<\/p>\n\n\n\n

Ces proc\u00e9dures doivent refl\u00e9ter les meilleures pratiques utilis\u00e9es dans le secteur et, dans la mesure du possible, les progr\u00e8s r\u00e9alis\u00e9s dans le domaine de l'identification \u00e9lectronique. Les contr\u00f4les ex ante effectu\u00e9s au moment de l'enregistrement et les contr\u00f4les ex post effectu\u00e9s apr\u00e8s l'enregistrement sont des exemples de proc\u00e9dures de v\u00e9rification. Les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine doivent, en particulier, v\u00e9rifier au moins un moyen de contact du titulaire du nom de domaine.<\/p>\n\n\n\n

(112) Les registres de noms de TLD et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient \u00eatre tenus de mettre \u00e0 la disposition du public les donn\u00e9es d'enregistrement de noms de domaine qui ne rel\u00e8vent pas du champ d'application de la l\u00e9gislation de l'Union en mati\u00e8re de protection des donn\u00e9es, telles que les donn\u00e9es qui concernent les personnes morales, conform\u00e9ment au pr\u00e9ambule du r\u00e8glement (UE) 2016\/679. Pour les personnes morales, les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine devraient mettre \u00e0 la disposition du public au moins le nom du d\u00e9clarant et le num\u00e9ro de t\u00e9l\u00e9phone de contact.<\/p>\n\n\n\n

L'adresse \u00e9lectronique de contact doit \u00e9galement \u00eatre publi\u00e9e, \u00e0 condition qu'elle ne contienne pas de donn\u00e9es personnelles, comme dans le cas d'alias \u00e9lectroniques ou de comptes fonctionnels. Les registres de noms de domaines et les entit\u00e9s fournissant des services d'enregistrement de noms de domaines devraient \u00e9galement permettre aux demandeurs l\u00e9gitimes d'acc\u00e9der l\u00e9galement aux donn\u00e9es d'enregistrement de noms de domaines sp\u00e9cifiques concernant des personnes physiques, conform\u00e9ment \u00e0 la l\u00e9gislation de l'Union en mati\u00e8re de protection des donn\u00e9es. Les \u00c9tats membres devraient exiger des registres de noms de domaine de premier niveau et des entit\u00e9s fournissant des services d'enregistrement de noms de domaine qu'ils r\u00e9pondent sans d\u00e9lai excessif aux demandes de divulgation de donn\u00e9es d'enregistrement de noms de domaine \u00e9manant de demandeurs d'acc\u00e8s l\u00e9gitimes.<\/p>\n\n\n\n

Les registres de noms de domaine de premier niveau et les entit\u00e9s fournissant des services d'enregistrement de noms de domaine doivent \u00e9tablir des politiques et des proc\u00e9dures pour la publication et la divulgation des donn\u00e9es d'enregistrement, y compris des accords de niveau de service pour traiter les demandes d'acc\u00e8s \u00e9manant de demandeurs l\u00e9gitimes. Ces politiques et proc\u00e9dures doivent tenir compte, dans la mesure du possible, des orientations et des normes \u00e9labor\u00e9es par les structures de gouvernance multipartites au niveau international. La proc\u00e9dure d'acc\u00e8s pourrait inclure l'utilisation d'une interface, d'un portail ou d'un autre outil technique pour fournir un syst\u00e8me efficace de demande et d'acc\u00e8s aux donn\u00e9es d'enregistrement.<\/p>\n\n\n\n

En vue de promouvoir des pratiques harmonis\u00e9es dans l'ensemble du march\u00e9 int\u00e9rieur, la Commission peut, sans pr\u00e9judice des comp\u00e9tences du Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es, fournir des lignes directrices concernant ces proc\u00e9dures, qui tiennent compte, dans la mesure du possible, des normes \u00e9labor\u00e9es par les structures de gouvernance multipartites au niveau international. Les \u00c9tats membres devraient veiller \u00e0 ce que tous les types d'acc\u00e8s aux donn\u00e9es personnelles et non personnelles relatives \u00e0 l'enregistrement des noms de domaine soient gratuits.<\/p>\n\n\n\n

(113) Les entit\u00e9s relevant du champ d'application de la pr\u00e9sente directive doivent \u00eatre consid\u00e9r\u00e9es comme relevant de la comp\u00e9tence de l'\u00c9tat membre dans lequel elles sont \u00e9tablies. Toutefois, les fournisseurs de r\u00e9seaux publics de communications \u00e9lectroniques ou les fournisseurs de services de communications \u00e9lectroniques accessibles au public devraient \u00eatre consid\u00e9r\u00e9s comme relevant de la comp\u00e9tence de l'\u00c9tat membre dans lequel ils fournissent leurs services.<\/p>\n\n\n\n

Les fournisseurs de services DNS, les registres de noms TLD, les entit\u00e9s fournissant des services d'enregistrement de noms de domaine, les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de donn\u00e9es, les fournisseurs de r\u00e9seaux de diffusion de contenu, les fournisseurs de services g\u00e9r\u00e9s, les fournisseurs de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, ainsi que les fournisseurs de places de march\u00e9 en ligne, de moteurs de recherche en ligne et de plateformes de services de r\u00e9seautage social devraient \u00eatre consid\u00e9r\u00e9s comme relevant de la comp\u00e9tence de l'\u00c9tat membre dans lequel ils ont leur principal \u00e9tablissement dans l'Union.<\/p>\n\n\n\n

Les entit\u00e9s de l'administration publique devraient relever de la comp\u00e9tence de l'\u00c9tat membre qui les a cr\u00e9\u00e9es. Si l'entit\u00e9 fournit des services ou est \u00e9tablie dans plus d'un \u00c9tat membre, elle devrait relever de la juridiction distincte et concurrente de chacun de ces \u00c9tats membres. Les autorit\u00e9s comp\u00e9tentes de ces \u00c9tats membres devraient coop\u00e9rer, se pr\u00eater mutuellement assistance et, le cas \u00e9ch\u00e9ant, mener des actions de surveillance conjointes. Lorsque les \u00c9tats membres exercent leur comp\u00e9tence, ils ne devraient pas imposer des mesures d'ex\u00e9cution ou des sanctions plus d'une fois pour le m\u00eame comportement, conform\u00e9ment au principe ne bis in idem.<\/p>\n\n\n\n

(114) Afin de tenir compte de la nature transfrontali\u00e8re des services et des op\u00e9rations des prestataires de services DNS, des registres de noms TLD, des entit\u00e9s fournissant des services d'enregistrement de noms de domaine, des prestataires de services d'informatique en nuage, des prestataires de services de centres de donn\u00e9es, des prestataires de r\u00e9seaux de fourniture de contenu, des prestataires de services g\u00e9r\u00e9s, des prestataires de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, ainsi que des fournisseurs de places de march\u00e9 en ligne, de moteurs de recherche en ligne et de plateformes de services de r\u00e9seautage social, un seul \u00c9tat membre devrait \u00eatre comp\u00e9tent \u00e0 l'\u00e9gard de ces entit\u00e9s. La comp\u00e9tence devrait \u00eatre attribu\u00e9e \u00e0 l'\u00c9tat membre dans lequel l'entit\u00e9 concern\u00e9e a son principal \u00e9tablissement dans l'Union.<\/p>\n\n\n\n

Le crit\u00e8re d'\u00e9tablissement aux fins de la pr\u00e9sente directive implique l'exercice effectif d'une activit\u00e9 par le biais de structures stables. La forme juridique de ces arrangements, qu'il s'agisse d'une succursale ou d'une filiale dot\u00e9e de la personnalit\u00e9 juridique, n'est pas d\u00e9terminante \u00e0 cet \u00e9gard. Le fait que ce crit\u00e8re soit rempli ne devrait pas d\u00e9pendre de la question de savoir si le r\u00e9seau et les syst\u00e8mes d'information sont physiquement situ\u00e9s en un lieu donn\u00e9 ; la pr\u00e9sence et l'utilisation de ces syst\u00e8mes ne constituent pas en elles-m\u00eames un \u00e9tablissement principal et ne sont donc pas des crit\u00e8res d\u00e9cisifs pour d\u00e9terminer l'\u00e9tablissement principal.<\/p>\n\n\n\n

Il convient de consid\u00e9rer que l'\u00e9tablissement principal se trouve dans l'\u00c9tat membre o\u00f9 les d\u00e9cisions relatives aux mesures de gestion du risque de cybers\u00e9curit\u00e9 sont principalement prises dans l'Union. Cela correspondra g\u00e9n\u00e9ralement au lieu de l'administration centrale des entit\u00e9s dans l'Union. Si cet \u00c9tat membre ne peut \u00eatre d\u00e9termin\u00e9 ou si les d\u00e9cisions ne sont pas prises dans l'Union, il convient de consid\u00e9rer que l'\u00e9tablissement principal se trouve dans l'\u00c9tat membre o\u00f9 les op\u00e9rations de cybers\u00e9curit\u00e9 sont men\u00e9es.<\/p>\n\n\n\n

Si un tel \u00c9tat membre ne peut \u00eatre d\u00e9termin\u00e9, il convient de consid\u00e9rer que l'\u00e9tablissement principal se trouve dans l'\u00c9tat membre o\u00f9 l'entit\u00e9 poss\u00e8de l'\u00e9tablissement comptant le plus grand nombre d'employ\u00e9s dans l'Union. Lorsque les services sont fournis par un groupe d'entreprises, l'\u00e9tablissement principal de l'entreprise qui exerce le contr\u00f4le doit \u00eatre consid\u00e9r\u00e9 comme l'\u00e9tablissement principal du groupe d'entreprises.<\/p>\n\n\n\n

(115) Lorsqu'un service DNS r\u00e9cursif accessible au public est fourni par un fournisseur de r\u00e9seaux publics de communications \u00e9lectroniques ou de services de communications \u00e9lectroniques accessibles au public uniquement dans le cadre du service d'acc\u00e8s \u00e0 l'internet, l'entit\u00e9 doit \u00eatre consid\u00e9r\u00e9e comme relevant de la comp\u00e9tence de tous les \u00c9tats membres dans lesquels ses services sont fournis.<\/p>\n\n\n\n

(116) Lorsqu'un Fournisseur de services DNSFournisseur de services DNS<\/span> <\/b>D\u00e9signe une entit\u00e9 qui fournit : (a) des services de r\u00e9solution r\u00e9cursive de noms de domaine accessibles au public pour les utilisateurs finaux de l'internet ; ou (b) des services de r\u00e9solution de noms de domaine faisant autorit\u00e9 pour une utilisation par des tiers, \u00e0 l'exception des serveurs de noms racine. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>un registre de noms de domaine de premier niveau, un registre de noms de domaine de deuxi\u00e8me niveau, un registre de noms de domaine de deuxi\u00e8me niveau entit\u00e9 fournissant des services d'enregistrement de noms de domaineEntit\u00e9 fournissant des services d'enregistrement de noms de domaine<\/span> d\u00e9signe un bureau d'enregistrement ou un agent agissant pour le compte de bureaux d'enregistrement, tel qu'un fournisseur ou un revendeur de services d'enregistrement de la vie priv\u00e9e ou de procuration ; - d\u00e9signe un bureau d'enregistrement ou un agent agissant pour le compte de bureaux d'enregistrement. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>un fournisseur de services d'informatique en nuage, un fournisseur de services de centre de donn\u00e9es, un fournisseur de r\u00e9seaux de diffusion de contenu, un fournisseur de services d'informatique en nuage, un fournisseur de services d'informatique en nuage. fournisseur de services g\u00e9r\u00e9sFournisseur de services g\u00e9r\u00e9s<\/span> d\u00e9signe une entit\u00e9 qui fournit des services li\u00e9s \u00e0 l'installation, la gestion, l'exploitation ou la maintenance de produits TIC, de r\u00e9seaux, d'infrastructures, d'applications ou de tout autre r\u00e9seau et syst\u00e8me d'information, par le biais d'une assistance ou d'une administration active effectu\u00e9e soit dans les locaux du client, soit \u00e0 distance. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>un fournisseur de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s ou un fournisseur d'une place de march\u00e9 en ligne, d'une moteur de recherche en ligneMoteur de recherche en ligne<\/span> D\u00e9signe un service num\u00e9rique qui permet aux utilisateurs de saisir des requ\u00eates afin d'effectuer des recherches sur, en principe, tous les sites web, ou tous les sites web dans une langue particuli\u00e8re, sur la base d'une requ\u00eate sur n'importe quel sujet sous la forme d'un mot-cl\u00e9, d'une requ\u00eate vocale, d'une phrase ou d'une autre entr\u00e9e, et qui renvoie des r\u00e9sultats sous n'importe quel format dans lequel des informations li\u00e9es au contenu demand\u00e9 peuvent \u00eatre trouv\u00e9es.\" - D\u00e9finition selon l'article 2, point 5), du r\u00e8glement (UE) 2019\/1150 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span> ou d'un plate-forme de services de r\u00e9seaux sociauxPlate-forme de services de r\u00e9seaux sociaux<\/span> d\u00e9signe une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de d\u00e9couvrir et de communiquer les uns avec les autres sur plusieurs appareils, notamment par le biais de chats, de messages, de vid\u00e9os et de recommandations. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>qui n'est pas \u00e9tablie dans l'Union, offre des services dans l'Union, elle devrait d\u00e9signer un repr\u00e9sentantRepr\u00e9sentant<\/span> Une personne physique ou morale \u00e9tablie dans l'Union explicitement d\u00e9sign\u00e9e pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entit\u00e9 fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de donn\u00e9es, d'un prestataire de r\u00e9seaux de diffusion de contenu, d'un prestataire de services g\u00e9r\u00e9s, d'un prestataire de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, ou d'un fournisseur d'une place de march\u00e9 en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de r\u00e9seautage social qui n'est pas \u00e9tabli dans l'Union et qui peut \u00eatre contact\u00e9 par une autorit\u00e9 comp\u00e9tente ou un CSIRT \u00e0 la place de l'entit\u00e9 elle-m\u00eame en ce qui concerne les obligations qui incombent \u00e0 cette entit\u00e9 en vertu de la pr\u00e9sente directive.\r\r- D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> dans l'Union.<\/p>\n\n\n\n

Afin de d\u00e9terminer si une telle entit\u00e9 offre des services dans l'Union, il convient de v\u00e9rifier si l'entit\u00e9 pr\u00e9voit d'offrir des services \u00e0 des personnes dans un ou plusieurs \u00c9tats membres. La simple accessibilit\u00e9 dans l'Union du site web de l'entit\u00e9 ou d'un interm\u00e9diaire, d'une adresse \u00e9lectronique ou d'autres coordonn\u00e9es, ou l'utilisation d'une langue g\u00e9n\u00e9ralement utilis\u00e9e dans le pays tiers o\u00f9 l'entit\u00e9 est \u00e9tablie, devrait \u00eatre consid\u00e9r\u00e9e comme insuffisante pour s'assurer de cette intention.<\/p>\n\n\n\n

Toutefois, des facteurs tels que l'utilisation d'une langue ou d'une monnaie g\u00e9n\u00e9ralement utilis\u00e9e dans un ou plusieurs \u00c9tats membres, avec la possibilit\u00e9 de commander des services dans cette langue, ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, pourraient laisser penser que l'entit\u00e9 pr\u00e9voit d'offrir des services dans l'Union. Le repr\u00e9sentant doit agir au nom de l'entit\u00e9 et les autorit\u00e9s comp\u00e9tentes ou les CSIRT doivent pouvoir s'adresser \u00e0 lui. Le repr\u00e9sentant devrait \u00eatre explicitement d\u00e9sign\u00e9 par un mandat \u00e9crit de l'entit\u00e9 pour agir au nom de cette derni\u00e8re en ce qui concerne les obligations de cette derni\u00e8re pr\u00e9vues par la pr\u00e9sente directive, y compris la notification des incidents.<\/p>\n\n\n\n

(117) Afin d'assurer une vue d'ensemble claire des fournisseurs de services DNS, des registres de noms TLD, des entit\u00e9s fournissant des services d'enregistrement de noms de domaine, des fournisseurs de services d'informatique en nuage, des fournisseurs de services de centres de donn\u00e9es, des fournisseurs de r\u00e9seaux de diffusion de contenu, des fournisseurs de services g\u00e9r\u00e9s, des fournisseurs de services de s\u00e9curit\u00e9 g\u00e9r\u00e9s, ainsi que des fournisseurs de places de march\u00e9 en ligne, de moteurs de recherche en ligne et de plateformes de services de r\u00e9seaux sociaux, qui fournissent des services \u00e0 travers l'Union entrant dans le champ d'application de cette directive, l'ENISA devrait cr\u00e9er et maintenir un registre de ces entit\u00e9s, sur la base des informations re\u00e7ues par les \u00c9tats membres, le cas \u00e9ch\u00e9ant par le biais de m\u00e9canismes nationaux \u00e9tablis pour que les entit\u00e9s s'enregistrent elles-m\u00eames.<\/p>\n\n\n\n

Les points de contact uniques doivent transmettre \u00e0 l'ENISA les informations et toute modification de celles-ci. Afin d'assurer l'exactitude et l'exhaustivit\u00e9 des informations qui doivent \u00eatre incluses dans ce registre, les \u00c9tats membres peuvent soumettre \u00e0 l'ENISA les informations disponibles dans les registres nationaux sur ces entit\u00e9s. L'ENISA et les \u00c9tats membres devraient prendre des mesures pour faciliter l'interop\u00e9rabilit\u00e9 de ces registres, tout en assurant la protection des informations confidentielles ou classifi\u00e9es. L'ENISA devrait \u00e9tablir des protocoles appropri\u00e9s de classification et de gestion des informations pour assurer la s\u00e9curit\u00e9 et la confidentialit\u00e9 des informations divulgu\u00e9es et restreindre l'acc\u00e8s, le stockage et la transmission de ces informations aux utilisateurs pr\u00e9vus.<\/p>\n\n\n\n

(118) Lorsque des informations classifi\u00e9es conform\u00e9ment au droit de l'Union ou au droit national sont \u00e9chang\u00e9es, communiqu\u00e9es ou partag\u00e9es d'une autre mani\u00e8re en vertu de la pr\u00e9sente directive, les r\u00e8gles correspondantes sur le traitement des informations classifi\u00e9es doivent \u00eatre appliqu\u00e9es. De plus, l'ENISA doit avoir l'infrastructure, les proc\u00e9dures et les r\u00e8gles en place pour traiter les informations sensibles et classifi\u00e9es conform\u00e9ment aux r\u00e8gles de s\u00e9curit\u00e9 applicables pour prot\u00e9ger les informations classifi\u00e9es de l'UE.<\/p>\n\n\n\n

(119) Les cybermenaces devenant de plus en plus complexes et sophistiqu\u00e9es, la bonne d\u00e9tection de ces menaces et les mesures de pr\u00e9vention d\u00e9pendent dans une large mesure de l'\u00e9change r\u00e9gulier de renseignements sur les menaces et les vuln\u00e9rabilit\u00e9s entre les entit\u00e9s. L'\u00e9change d'informations contribue \u00e0 une sensibilisation accrue aux cybermenaces, ce qui, \u00e0 son tour, renforce la capacit\u00e9 des entit\u00e9s \u00e0 emp\u00eacher ces menaces de se mat\u00e9rialiser en incidents et permet aux entit\u00e9s de mieux contenir les effets des incidents et de se r\u00e9tablir plus efficacement. En l'absence d'orientations au niveau de l'Union, divers facteurs semblent avoir entrav\u00e9 ce partage de renseignements, en particulier l'incertitude quant \u00e0 la compatibilit\u00e9 avec les r\u00e8gles de concurrence et de responsabilit\u00e9.<\/p>\n\n\n\n

(120) Les \u00c9tats membres devraient encourager et aider les entit\u00e9s \u00e0 tirer collectivement parti de leurs connaissances individuelles et de leur exp\u00e9rience pratique aux niveaux strat\u00e9gique, tactique et op\u00e9rationnel en vue de renforcer leurs capacit\u00e9s \u00e0 pr\u00e9venir et \u00e0 d\u00e9tecter les incidents, \u00e0 y r\u00e9agir ou \u00e0 s'en remettre de mani\u00e8re ad\u00e9quate, ou \u00e0 en att\u00e9nuer les effets. Il est donc n\u00e9cessaire de permettre l'\u00e9mergence, au niveau de l'Union, d'accords volontaires d'\u00e9change d'informations sur la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

\u00c0 cette fin, les \u00c9tats membres devraient aider et encourager activement les entit\u00e9s, telles que celles qui fournissent des services de cybers\u00e9curit\u00e9 et font de la recherche dans ce domaine, ainsi que les entit\u00e9s concern\u00e9es qui ne rel\u00e8vent pas du champ d'application de la pr\u00e9sente directive, \u00e0 participer \u00e0 de tels dispositifs d'\u00e9change d'informations en mati\u00e8re de cybers\u00e9curit\u00e9. Ces accords devraient \u00eatre \u00e9tablis conform\u00e9ment aux r\u00e8gles de concurrence de l'Union et au droit de l'Union en mati\u00e8re de protection des donn\u00e9es.<\/p>\n\n\n\n

\n\n\n\n

(121) Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel, dans la mesure o\u00f9 il est n\u00e9cessaire et proportionn\u00e9 pour assurer la s\u00e9curit\u00e9 du r\u00e9seau et des syst\u00e8mes d'information par des entit\u00e9s essentielles et importantes, pourrait \u00eatre consid\u00e9r\u00e9 comme licite au motif que ce traitement respecte une obligation l\u00e9gale \u00e0 laquelle le responsable du traitement est soumis, conform\u00e9ment aux exigences de l'article 6, paragraphe 1, point c), et de l'article 6, paragraphe 3, du r\u00e8glement (UE) 2016\/679.<\/p>\n\n\n\n

Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel pourrait \u00e9galement \u00eatre n\u00e9cessaire aux fins des int\u00e9r\u00eats l\u00e9gitimes poursuivis par les entit\u00e9s essentielles et importantes, ainsi que par les fournisseurs de technologies et de services de s\u00e9curit\u00e9 agissant pour le compte de ces entit\u00e9s, conform\u00e9ment \u00e0 l'article 6, paragraphe 1, point f), du r\u00e8glement (UE) 2016\/679, y compris lorsque ce traitement est n\u00e9cessaire pour les accords de partage d'informations en mati\u00e8re de cybers\u00e9curit\u00e9 ou la notification volontaire d'informations pertinentes conform\u00e9ment \u00e0 la pr\u00e9sente directive.<\/p>\n\n\n\n

Les mesures li\u00e9es \u00e0 la pr\u00e9vention, \u00e0 la d\u00e9tection, \u00e0 l'identification, au confinement, \u00e0 l'analyse et \u00e0 la r\u00e9ponse aux incidents, les mesures de sensibilisation \u00e0 des cybermenaces sp\u00e9cifiques, l'\u00e9change d'informations dans le cadre de la correction des vuln\u00e9rabilit\u00e9s et de la divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s, l'\u00e9change volontaire d'informations sur ces incidents, Le traitement des donn\u00e9es relatives aux cybermenaces et aux vuln\u00e9rabilit\u00e9s, des indicateurs de compromission, des tactiques, techniques et proc\u00e9dures, des alertes de cybers\u00e9curit\u00e9 et des outils de configuration pourrait n\u00e9cessiter le traitement de certaines cat\u00e9gories de donn\u00e9es \u00e0 caract\u00e8re personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses \u00e9lectroniques et, lorsqu'ils r\u00e9v\u00e8lent des donn\u00e9es \u00e0 caract\u00e8re personnel, les horodatages.<\/p>\n\n\n\n

Le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel par les autorit\u00e9s comp\u00e9tentes, les points de contact uniques et les CSIRT, pourrait constituer une obligation l\u00e9gale ou \u00eatre consid\u00e9r\u00e9 comme n\u00e9cessaire \u00e0 l'ex\u00e9cution d'une mission d'int\u00e9r\u00eat public ou dans l'exercice de l'autorit\u00e9 publique dont est investi le responsable du traitement en vertu de l'article 6, paragraphe 1, points c) ou e), et de l'article 6, paragraphe 3, du r\u00e8glement (UE) 2016\/679, ou \u00e0 la poursuite d'un int\u00e9r\u00eat l\u00e9gitime des entit\u00e9s essentielles et importantes, vis\u00e9es \u00e0 l'article 6, paragraphe 1, point f), de ce r\u00e8glement.<\/p>\n\n\n\n

En outre, le droit national pourrait fixer des r\u00e8gles permettant aux autorit\u00e9s comp\u00e9tentes, aux points de contact uniques et aux CSIRT, dans la mesure o\u00f9 cela est n\u00e9cessaire et proportionn\u00e9 pour assurer la s\u00e9curit\u00e9 des syst\u00e8mes de r\u00e9seau et d'information des entit\u00e9s essentielles et importantes, de traiter des cat\u00e9gories particuli\u00e8res de donn\u00e9es \u00e0 caract\u00e8re personnel conform\u00e9ment \u00e0 l'article 9 du r\u00e8glement (UE) 2016\/679, notamment en pr\u00e9voyant des mesures appropri\u00e9es et sp\u00e9cifiques pour sauvegarder les droits fondamentaux et les int\u00e9r\u00eats des personnes physiques, y compris des limitations techniques \u00e0 la r\u00e9utilisation de ces donn\u00e9es et l'utilisation de mesures de s\u00e9curit\u00e9 et de pr\u00e9servation de la vie priv\u00e9e conformes \u00e0 l'\u00e9tat de l'art, telles que la pseudonymisation, ou le cryptage lorsque l'anonymisation peut affecter de mani\u00e8re significative la finalit\u00e9 poursuivie.<\/p>\n\n\n\n

(122) Afin de renforcer les pouvoirs et les mesures de surveillance qui contribuent \u00e0 assurer un respect effectif des r\u00e8gles, la pr\u00e9sente directive devrait pr\u00e9voir une liste minimale de mesures et de moyens de surveillance permettant aux autorit\u00e9s comp\u00e9tentes de surveiller les entit\u00e9s essentielles et importantes. En outre, la pr\u00e9sente directive devrait \u00e9tablir une diff\u00e9renciation du r\u00e9gime de surveillance entre les entit\u00e9s essentielles et les entit\u00e9s importantes en vue d'assurer un juste \u00e9quilibre des obligations incombant \u00e0 ces entit\u00e9s et aux autorit\u00e9s comp\u00e9tentes.<\/p>\n\n\n\n

Par cons\u00e9quent, les entit\u00e9s essentielles devraient \u00eatre soumises \u00e0 un r\u00e9gime de surveillance ex ante et ex post complet, tandis que les entit\u00e9s importantes devraient \u00eatre soumises \u00e0 un r\u00e9gime de surveillance all\u00e9g\u00e9, ex post uniquement. Les entit\u00e9s importantes ne devraient donc pas \u00eatre tenues de documenter syst\u00e9matiquement le respect des mesures de gestion des risques de cybers\u00e9curit\u00e9, tandis que les autorit\u00e9s comp\u00e9tentes devraient mettre en \u0153uvre une approche r\u00e9active ex post de la surveillance et, par cons\u00e9quent, ne pas avoir l'obligation g\u00e9n\u00e9rale de surveiller ces entit\u00e9s.<\/p>\n\n\n\n

La surveillance a posteriori d'entit\u00e9s importantes peut \u00eatre d\u00e9clench\u00e9e par des preuves, indications ou informations port\u00e9es \u00e0 l'attention des autorit\u00e9s comp\u00e9tentes et consid\u00e9r\u00e9es par celles-ci comme sugg\u00e9rant des infractions potentielles \u00e0 la pr\u00e9sente directive. Par exemple, ces preuves, indications ou informations peuvent \u00eatre du type de celles fournies aux autorit\u00e9s comp\u00e9tentes par d'autres autorit\u00e9s, entit\u00e9s, citoyens, m\u00e9dias ou autres sources ou informations accessibles au public, ou peuvent r\u00e9sulter d'autres activit\u00e9s men\u00e9es par les autorit\u00e9s comp\u00e9tentes dans l'accomplissement de leurs t\u00e2ches.<\/p>\n\n\n\n

(123) L'ex\u00e9cution des t\u00e2ches de surveillance par les autorit\u00e9s comp\u00e9tentes ne devrait pas entraver inutilement les activit\u00e9s commerciales de l'entit\u00e9 concern\u00e9e. Lorsque les autorit\u00e9s comp\u00e9tentes ex\u00e9cutent leurs t\u00e2ches de surveillance \u00e0 l'\u00e9gard d'entit\u00e9s essentielles, y compris les inspections sur place et la surveillance hors site, les enqu\u00eates sur les infractions \u00e0 la pr\u00e9sente directive et la r\u00e9alisation d'audits de s\u00e9curit\u00e9 ou d'analyses de s\u00e9curit\u00e9, elles doivent r\u00e9duire au minimum l'impact sur les activit\u00e9s commerciales de l'entit\u00e9 concern\u00e9e.<\/p>\n\n\n\n

(124) Dans l'exercice de la surveillance ex ante, les autorit\u00e9s comp\u00e9tentes devraient \u00eatre en mesure de d\u00e9cider de l'ordre de priorit\u00e9 de l'utilisation des mesures et moyens de surveillance dont elles disposent, de mani\u00e8re proportionn\u00e9e. Cela signifie que les autorit\u00e9s comp\u00e9tentes peuvent d\u00e9cider de cette hi\u00e9rarchisation sur la base de m\u00e9thodologies de surveillance qui devraient suivre une approche fond\u00e9e sur le risque.<\/p>\n\n\n\n

Plus pr\u00e9cis\u00e9ment, ces m\u00e9thodologies pourraient inclure des crit\u00e8res ou des rep\u00e8res pour la classification des entit\u00e9s essentielles en cat\u00e9gories de risque et les mesures et moyens de surveillance correspondants recommand\u00e9s pour chaque cat\u00e9gorie de risque, tels que l'utilisation, la fr\u00e9quence ou les types d'inspections sur place, les audits de s\u00e9curit\u00e9 cibl\u00e9s ou les analyses de s\u00e9curit\u00e9, le type d'informations \u00e0 demander et le niveau de d\u00e9tail de ces informations. Ces m\u00e9thodes de contr\u00f4le pourraient \u00e9galement \u00eatre accompagn\u00e9es de programmes de travail et faire l'objet d'une \u00e9valuation et d'un r\u00e9examen r\u00e9guliers, notamment sur des aspects tels que l'affectation des ressources et les besoins. En ce qui concerne les entit\u00e9s de l'administration publique, les pouvoirs de contr\u00f4le devraient \u00eatre exerc\u00e9s conform\u00e9ment aux cadres l\u00e9gislatifs et institutionnels nationaux.<\/p>\n\n\n\n

(125) Les autorit\u00e9s comp\u00e9tentes devraient veiller \u00e0 ce que leurs missions de surveillance des entit\u00e9s essentielles et importantes soient exerc\u00e9es par des professionnels qualifi\u00e9s, qui devraient avoir les comp\u00e9tences n\u00e9cessaires pour mener \u00e0 bien ces missions, notamment en ce qui concerne les inspections sur place et la surveillance hors site, y compris l'identification des faiblesses des bases de donn\u00e9es, du mat\u00e9riel, des pare-feux, du cryptage et des r\u00e9seaux. Ces inspections et cette supervision devraient \u00eatre men\u00e9es de mani\u00e8re objective.<\/p>\n\n\n\n

(126) Dans les cas d\u00fbment justifi\u00e9s o\u00f9 elle a connaissance d'une cybermenace importante ou d'un risque imminent, l'autorit\u00e9 comp\u00e9tente devrait \u00eatre en mesure de prendre des d\u00e9cisions d'ex\u00e9cution imm\u00e9diates dans le but de pr\u00e9venir un incident ou d'y r\u00e9pondre.<\/p>\n\n\n\n

(127) Pour que l'ex\u00e9cution soit efficace, il convient d'\u00e9tablir une liste minimale des pouvoirs d'ex\u00e9cution pouvant \u00eatre exerc\u00e9s en cas de violation des mesures de gestion des risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et des obligations de d\u00e9claration pr\u00e9vues par la pr\u00e9sente directive, en mettant en place un cadre clair et coh\u00e9rent pour cette ex\u00e9cution dans l'ensemble de l'Union. Il convient de tenir d\u00fbment compte de la nature, de la gravit\u00e9 et de la dur\u00e9e de la violation de la pr\u00e9sente directive, du dommage mat\u00e9riel ou moral caus\u00e9, du caract\u00e8re intentionnel ou n\u00e9gligent de la violation, des mesures prises pour pr\u00e9venir ou att\u00e9nuer le dommage mat\u00e9riel ou moral, du degr\u00e9 de responsabilit\u00e9 ou de toute violation ant\u00e9rieure pertinente, du degr\u00e9 de coop\u00e9ration avec l'autorit\u00e9 comp\u00e9tente et de tout autre facteur aggravant ou att\u00e9nuant.<\/p>\n\n\n\n

Les mesures d'ex\u00e9cution, y compris les amendes administratives, devraient \u00eatre proportionn\u00e9es et leur imposition devrait \u00eatre soumise \u00e0 des garanties proc\u00e9durales appropri\u00e9es conform\u00e9ment aux principes g\u00e9n\u00e9raux du droit de l'Union et \u00e0 la Charte des droits fondamentaux de l'Union europ\u00e9enne (la \"Charte\"), y compris le droit \u00e0 un recours effectif et \u00e0 un proc\u00e8s \u00e9quitable, la pr\u00e9somption d'innocence et les droits de la d\u00e9fense.<\/p>\n\n\n\n

(128) La pr\u00e9sente directive n'exige pas des \u00c9tats membres qu'ils pr\u00e9voient une responsabilit\u00e9 p\u00e9nale ou civile \u00e0 l'\u00e9gard des personnes physiques charg\u00e9es de veiller \u00e0 ce qu'une entit\u00e9 se conforme \u00e0 la pr\u00e9sente directive pour les dommages subis par des tiers du fait d'une violation de la pr\u00e9sente directive.<\/p>\n\n\n\n

(129) Afin d'assurer l'application effective des obligations pr\u00e9vues par la pr\u00e9sente directive, chaque autorit\u00e9 comp\u00e9tente doit avoir le pouvoir d'imposer ou de demander l'imposition d'amendes administratives.<\/p>\n\n\n\n

(130) Lorsqu'une amende administrative est inflig\u00e9e \u00e0 une entit\u00e9 essentielle ou importante qui est une entreprise, une entreprise doit \u00eatre consid\u00e9r\u00e9e comme une entreprise au sens des articles 101 et 102 du TFUE \u00e0 ces fins. Lorsqu'une amende administrative est inflig\u00e9e \u00e0 une personne qui n'est pas une entreprise, l'autorit\u00e9 comp\u00e9tente devrait tenir compte du niveau g\u00e9n\u00e9ral des revenus dans l'\u00c9tat membre ainsi que de la situation \u00e9conomique de la personne pour d\u00e9terminer le montant appropri\u00e9 de l'amende. Il devrait appartenir aux \u00c9tats membres de d\u00e9terminer si et dans quelle mesure les autorit\u00e9s publiques devraient \u00eatre soumises \u00e0 des amendes administratives. L'imposition d'une amende administrative n'affecte pas l'application d'autres pouvoirs des autorit\u00e9s comp\u00e9tentes ou d'autres sanctions pr\u00e9vues par les r\u00e8gles nationales transposant la pr\u00e9sente directive.<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: (1) Directive (EU) 2016\/1148 of the European Parliament and the Council (4) aimed to build cybersecurityCybersecurity \u2018cybersecurity\u2019 means cybersecurity as defined in Article 2, point (1), of Regulation (EU) 2019\/881; – Definition according Article 6 Directive (EU) 2022\/2555 (NIS2 Directive) ‘cybersecurity\u2019 means the activities necessary to protect network and information systems, the users of […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":592,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-584","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"L\u2019image en vedette devrait \u00eatre au moins 200 par 200 pixels pour \u00eatre utilis\u00e9 par Facebook et d\u2019autres sites de m\u00e9dias sociaux.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/fr\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"identifiant","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/fr","objectID":584,"objectType":"post","locale":"fr","localeFull":"fr_FR","overlayImages":{"play":{"name":"Ic\u00f4ne de lecture","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Ic\u00f4ne GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Ffr&r=https%3A%2F%2Fnis2resources.eu%2Ffr%2Fwp-json%2Fwp%2Fv2%2Fpages%2F584%2F%3Fnonce%3D07ece46382&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Mettre \u00e0 niveau","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/584","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/comments?post=584"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/584\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/592"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/media?parent=584"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}