Beta

Source: OJ L 333, 27.12.2022, pp. 164–198

Current language: FR

Article 4 Stratégie pour la résilience des entités critiques

    1. À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, chaque État membre adopte, au plus tard le 17 janvier 2026, une stratégie visant à renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques (ci-après dénommée «stratégie»). La stratégie définit des objectifs stratégiques et des mesures politiques, en s’appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d’atteindre et de maintenir un niveau élevé de résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; des entités critiques et de couvrir au moins les secteurs figurant à l’annexe.

    1. Chaque stratégie contient au moins les éléments suivants:

      1. les objectifs stratégiques et les priorités aux fins de renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; globale des entités critiques, compte tenu des dépendances et des interdépendances transfrontières et transsectorielles;

      2. un cadre de gouvernance permettant d’atteindre les objectifs stratégiques et les priorités, y compris une description des rôles et des responsabilités des différentes autorités, entités critiques et autres parties participant à la mise en œuvre de la stratégie;

      3. une description des mesures nécessaires pour renforcer la résilience, la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir; globale des entités critiques, y compris une description de l’évaluation des risques, l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident; visée à l’article 5;

      4. une description du processus par lequel les entités critiques sont recensées;

      5. une description du processus de soutien aux entités critiques conformément au présent chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public, d’une part, et le secteur privé et les entités publiques et privées, d’autre part;

      6. une liste des principales autorités et parties prenantes concernées, autres que les entités critiques, participant à la mise en œuvre de la stratégie;

      7. un cadre d’action pour la coordination entre les autorités compétentes en vertu de la présente directive (ci-après dénommées «autorités compétentes») et les autorités compétentes en vertu de la directive (UE) 2022/2555 aux fins du partage d’informations sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; en matière de cybersécurité ainsi que sur les risques, le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;, menaces et incidents, un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit; non liés à la cybersécurité, et de l’exercice des tâches de supervision;

      8. une description des mesures déjà en place visant à faciliter la mise en œuvre des obligations prévues au chapitre III de la présente directive par les petites et moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE de la Commission(31)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36). que les États membres concernés ont recensées en tant qu’entités critiques.

    2. À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, les États membres mettent à jour leur stratégie au moins tous les quatre ans.

    1. Les États membres communiquent leur stratégie et leurs mises à jour substantielles à la Commission dans un délai de trois mois à compter de leur adoption.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod