Annexe | Exigences techniques et méthodologiques visées à l’Article 2 du présent règlement

1. Politique relative à la sécurité des réseaux et des systèmes d’information [article 21, paragraphe 2, point a), de la directive (UE) 2022/2555]
1. 1.1. Politique relative à la sécurité des réseaux et des systèmes d’information
  1. Aux fins de l’article 21, paragraphe 2, point a), de la directive (UE) 2022/2555, la politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;:
    
    définit l’approche que les entités concernées suivent pour gérer la sécurité de leurs réseaux et de leurs systèmes d’information;
    
    est adaptée et apporte un complément à la stratégie et aux objectifs économiques des entités concernées;
    
    fixe des objectifs en matière de sécurité des réseaux et de l’information;
    
    comprend un engagement à améliorer de façon continue la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;;
    
    comprend un engagement à fournir les ressources appropriées pour sa mise en œuvre, y compris le personnel, les moyens financiers, les procédures, les outils et les technologies nécessaires;
    
    est communiquée aux membres du personnel concernés et aux tiers concernés, qui en prennent acte;
    
    définit les rôles et les responsabilités conformément au point 1.2;
    
    dresse la liste des documents à conserver en indiquant leur durée de conservation;
    
    énumère les politiques concernant des domaines spécifiques;
    
    définit des indicateurs et des mesures pour suivre sa mise en œuvre, ainsi que le stade de maturité atteint par les entités concernées en ce qui concerne la sécurité des réseaux et de l’information;
    
    indique la date d’approbation formelle par les organes de direction des entités concernées (ci-après les «organes de direction»).
  2. La politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; est réexaminée et, s’il est besoin, mise à jour par les organes de direction au moins chaque année, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent. Le résultat de ces réexamens est consigné.
2. 1.2. Rôles, responsabilités et pouvoirs
  1. Dans le cadre de leur politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; visée au point 1.1, les entités concernées définissent les responsabilités et les pouvoirs en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;; elles les associent à des rôles, les répartissent en fonction de leurs besoins et en informent leurs organes de direction.
  2. Les entités concernées exigent de l’ensemble du personnel et des tiers qu’ils appliquent les mesures de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; conformément à leur politique établie en matière de sécurité des réseaux et de l’information, à leurs politiques concernant des domaines spécifiques et à leurs procédures respectives.
  3. Au moins une personne fait directement rapport aux organes de direction sur les questions relatives à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.
  4. Selon la taille des entités concernées, la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; relève de rôles ou de fonctions spécifiques assumés en sus des rôles existants.
  5. Les fonctions et les domaines de responsabilité incompatibles sont dissociés, s’il y a lieu.
  6. Les rôles, les responsabilités et les pouvoirs sont réexaminés et, s’il est besoin, mis à jour par les organes de direction à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
2. Politique de gestion des risques [article 21, paragraphe 2, point a), de la directive (UE) 2022/2555]
1. 2.1. Cadre de gestion des risques
  1. Aux fins de l’article 21, paragraphe 2, point a), de la directive (UE) 2022/2555, les entités concernées établissent et maintiennent un cadre approprié pour la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; afin d'identifier les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; et d’y apporter une réponse. Les entités concernées réalisent des évaluations des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, qu’elles consignent, et, sur la base des résultats obtenus, elles établissent, mettent en œuvre et suivent un plan de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; résiduels sont approuvés par les organes de direction ou, s’il y a lieu, par des personnes qui sont tenues de rendre des comptes et sont habilitées à gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, à condition que les entités concernées fassent rapport de manière adéquate aux organes de direction.
  2. Aux fins du point 2.1.1, les entités concernées établissent des procédures d’identification, d’analyse, d’évaluation et de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; (ci-après la «procédure de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;»). La procédure de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; fait partie intégrante de la procédure globale de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; des entités concernées, s’il y a lieu. Dans le cadre de la procédure de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les entités concernées:
    
    suivent une méthodologie de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;;
    
    établissent le niveau de tolérance au risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en fonction de leur propension au risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;;
    
    définissent et maintiennent les critères de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pertinents;
    
    en suivant une approche «tous risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;», identifient et consignent les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, en particulier en ce qui concerne les tiers et les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; susceptibles de perturber la disponibilité, l’intégrité, l’authenticité et la confidentialité des réseaux et des systèmes d’information, y compris l’identification de points uniques de défaillance;
    
    analysent les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; qui pèsent sur la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, y compris la menace, la probabilité, l’impact et le niveau de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, en tenant compte des renseignements sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et des vulnérabilités;
    
    évaluent les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; identifiés en se fondant sur les critères de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;;
    
    déterminent et hiérarchisent les options et les mesures qu’il convient d’appliquer en matière de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;;
    
    suivent en continu la mise en œuvre des mesures de traitement du risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;;
    
    déterminent qui est responsable de la mise en œuvre des mesures de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et quand celles-ci devraient être mises en œuvre;
    
    consignent de manière compréhensible dans un plan de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; les mesures de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; choisies et les raisons justifiant l’acceptation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; résiduels.
  3. Lorsqu’elles identifient et hiérarchisent les options et les mesures de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; qu’il convient d’appliquer, les entités concernées tiennent compte des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, des résultats de la procédure d’évaluation de l’efficacité des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, du coût de la mise en œuvre par rapport à l’avantage escompté, de la classification des actifs visée au point 12.1 et du bilan d'impact sur l'activité visé au point 4.1.3.
  4. Les entités concernées réexaminent et, s’il est besoin, mettent à jour les résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et le plan de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; à intervalles prédéfinis et au moins chaque année, et lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent, ou lorsque des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants surviennent.
2. 2.2. Contrôle de la conformité
  1. Les entités concernées réexaminent régulièrement la conformité avec leurs politiques en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, les politiques concernant des domaines spécifiques, les règles et les normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).;. Les organes de direction sont informés, au moyen de rapports réguliers établis sur la base des examens de conformité, du stade atteint en matière de sécurité des réseaux et de l’information.
  2. Les entités concernées mettent en place un système de rapports de conformité efficace et adapté à leur structure, à l’environnement dans lequel elles opèrent et à leur paysage des menaces. Le système de rapports de conformité est de nature à donner aux organes de direction une vision fiable du stade atteint par les entités concernées en matière de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;.
  3. Les entités concernées procèdent à un contrôle de conformité à intervalles prédéfinis ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
3. 2.3. Réexamen indépendant de la sécurité de l’information et des réseaux
  1. Les entités concernées réexaminent en toute indépendance leur approche de la gestion de la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; et sa mise en œuvre, y compris en ce qui concerne les effectifs, les procédures et les technologies.
  2. Les entités concernées élaborent et maintiennent les procédures à suivre en vue de réaliser des réexamens indépendants, lesquels seront confiés à des personnes possédant les compétences appropriées en matière d’audit. Lorsque le réexamen indépendant est réalisé par des membres du personnel de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, les personnes qui en sont chargées ne se trouvent pas sous l'autorité hiérarchique du personnel du domaine faisant l’objet du réexamen. Si la taille des entités concernées ne permet pas une telle indépendance vis-à-vis de l'autorité hiérarchique, les entités concernées mettent en place d’autres mesures pour garantir l’impartialité des réexamens.
  3. Les résultats des réexamens indépendants, y compris les résultats du contrôle de la conformité prévu au point 2.2 ainsi que du suivi et du mesurage prévus au point 7, sont communiqués aux organes de direction. Des mesures correctrices sont prises ou le risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; résiduel est accepté conformément aux critères d’acceptation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; des entités concernées.
  4. Les réexamens indépendants ont lieu à intervalles prédéfinis et en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
3. Gestion des incidents [article 21, paragraphe 2, point b), de la directive (UE) 2022/2555]
1. 3.1. Politique de gestion des incidents
  1. Aux fins de l’article 21, paragraphe 2, point b), de la directive (UE) 2022/2555, les entités concernées établissent et mettent en œuvre, en temps utile, une politique de gestion des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; qui définit les rôles, les responsabilités et les procédures permettant de détecter, d’analyser, d’endiguer un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; ou d’y réagir, ainsi que de rétablir la situation, de consigner l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et de faire rapport.
  2. La politique visée au point 3.1.1 est compatible avec le plan de continuité de l'activité et de rétablissement visé au point 4.1. Cette politique comprend:
    
    un système de catégorisation des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; compatible avec l’évaluation et la classification des événements effectuées conformément au point 3.4.1;
    
    des plans de communication efficaces, y compris pour la remontée de l’information et l’établissement des rapports;
    
    l’attribution aux membres du personnel compétents de rôles en vue de détecter les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et d’y réagir de manière appropriée;
    
    les documents à utiliser dans le cadre de la détection et de la réaction aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, tels que des guides d’intervention, des diagrammes de remontée de l’information, des listes de contacts et des modèles.
  3. Les rôles, les responsabilités et les procédures définis dans la politique sont testés, réexaminés et, s’il est besoin, mis à jour à intervalles prédéfinis, ainsi qu’après des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se sont produits.
2. 3.2. Surveillance et journalisation
  1. Les entités concernées établissent des procédures et utilisent des outils pour surveiller et journaliser les activités sur leurs réseaux et dans leurs systèmes d’information afin de détecter les événements qui pourraient être considérés comme des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et de réagir en conséquence pour en atténuer l’impact.
  2. Dans la mesure du possible, la surveillance est automatisée et réalisée soit en continu soit à intervalles réguliers, sous réserve de capacités opérationnelles. Les entités concernées mettent en œuvre leurs activités de surveillance de manière à réduire au minimum les faux positifs et les faux négatifs.
  3. Sur la base des procédures visées au point 3.2.1, les entités concernées tiennent des journaux, les documentent et les réexaminent. Les entités concernées établissent une liste des actifs devant faire l’objet d’une journalisation sur la base des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1. Les journaux comprennent, s’il est besoin:
    
    le trafic sortant et entrant pertinent sur les réseaux;
    
    la création, la modification ou la suppression d’utilisateurs sur les réseaux et dans les systèmes d’information des entités concernées, ainsi que l’extension des autorisations;
    
    l’accès aux systèmes et aux applications;
    
    les événements liés à l’authentification;
    
    tous les accès privilégiés aux systèmes et aux applications, ainsi que les activités exercées par les comptes d’administration;
    
    l’accès aux fichiers critiques de configuration et de sauvegarde, ou leur modification;
    
    les journaux d’événements et les journaux des outils de sécurité, tels que les antivirus, les systèmes de détection d’intrusion ou les pare-feu;
    
    l’utilisation des ressources du système, ainsi que leur performance;
    
    l’accès physique aux installations;
    
    l’accès à leurs équipements et dispositifs de réseau et leur utilisation;
    
    l’activation, l’arrêt et la suspension des divers journaux;
    
    les événements liés à l’environnement.
  4. Les journaux sont régulièrement réexaminés pour détecter toute tendance inhabituelle ou indésirable. Les entités concernées fixent, s’il est besoin, les valeurs appropriées correspondant à des seuils d’alarme. Si les valeurs prescrites pour un seuil d’alarme sont dépassées, une alarme est déclenchée, s’il est besoin, de manière automatique. Les entités concernées veillent à ce que, en cas d’alarme, une réponse spécifique et appropriée soit activée en temps utile.
  5. Les entités concernées tiennent les journaux et en font des sauvegardes pendant une période prédéfinie; elles les protègent contre tout accès non autorisé ou toute modification non autorisée.
  6. Dans la mesure du possible, les entités concernées veillent à ce que tous les systèmes disposent d’horloges synchronisées pour être en mesure de corréler les journaux entre les différents systèmes aux fins de l’évaluation des événements. Les entités concernées établissent et tiennent à jour une liste de tous les actifs qui font l’objet d’une journalisation et veillent à ce que les systèmes de surveillance et de journalisation soient redondants. La disponibilité des systèmes de surveillance et de journalisation est contrôlée indépendamment des systèmes soumis à leur surveillance.
  7. Les procédures ainsi que la liste des actifs qui font l’objet d’une journalisation sont réexaminées et, s’il est besoin, mises à jour à intervalles réguliers et à la suite d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants.
3. 3.3. Signalement des événements
  1. Les entités concernées mettent en place un mécanisme simple permettant à leurs membres du personnel, fournisseurs et clients de signaler les événements suspects.
  2. Les entités concernées informent, s’il est besoin, leurs fournisseurs et leurs clients du mécanisme de signalement des événements et dispensent régulièrement à leur personnel une formation à l’utilisation de ce mécanisme.
4. 3.4. Évaluation et classification des événements
  1. Les entités concernées évaluent les événements suspects afin de déterminer s’ils constituent des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et, dans l’affirmative, en déterminent la nature et la gravité.
  2. Aux fins du point 3.4.1, les entités concernées procèdent de la façon suivante:
    
    elles effectuent l’évaluation sur la base de critères prédéfinis établis à l’avance et d’un triage afin d’établir une hiérarchisation des mesures d’endiguement et d’éradication des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;;
    
    elles examinent chaque trimestre si des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; récurrents tels que décrits à l’article 4 du présent règlement sont survenus;
    
    elles passent en revue les journaux appropriés aux fins de l’évaluation et de la classification des événements;
    
    elles mettent en place une procédure de corrélation et d’analyse des journaux; et
    
    elles réévaluent et reclassent les événements si de nouvelles informations deviennent disponibles ou après analyse d’informations qu’elles possédaient déjà.
5. 3.5. Réponse aux incidents
  1. Les entités concernées apportent une réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; dans le respect de procédures documentées et en temps utile.
  2. Les procédures de réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; comprennent les étapes suivantes:
    
    endiguement, afin d’éviter que les conséquences de l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; ne se propagent;
    
    éradication, afin d’éviter que l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; ne se poursuive ou se reproduise,
    
    rétablissement après l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, si nécessaire.
  3. Les entités concernées établissent des plans et des procédures de communication:
    
    avec les centres de réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; de sécurité informatique (CSIRT) ou, s’il y a lieu, avec les autorités compétentes, en rapport avec la notification des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;;
    
    pour la communication entre les membres du personnel de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée et pour la communication avec les parties prenantes extérieures à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée.
  4. Les entités concernées tiennent un journal des activités de réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; conformément aux procédures visées au point 3.2.1 et en conservent des preuves.
  5. Les entités concernées testent leurs procédures de réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; à intervalles prédéfinis.
6. 3.6. Examens postincident
  1. Les entités concernées procèdent, s’il est besoin, à des examens postincident après le rétablissement. Les examens postincident servent à identifier, dans la mesure du possible, la cause profonde de l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et à en tirer des enseignements, documents à l’appui, afin de limiter la survenance et les conséquences d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; futurs.
  2. Les entités concernées veillent à ce que les examens postincident contribuent à améliorer leur approche de la sécurité des réseaux et de l’information, du traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; ainsi que des procédures de gestion et de détection des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et de réponse aux incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;.
  3. Les entités concernées examinent à intervalles prédéfinis si des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; ont donné lieu à des examens postincident.
4. Continuité des activités et gestion des crises [article 21, paragraphe 2, point c), de la directive (UE) 2022/2555]
1. 4.1. Plan de continuité de l'activité et de rétablissement
  1. Aux fins de l’article 21, paragraphe 2, point c), de la directive (UE) 2022/2555, les entités concernées établissent et maintiennent un plan de continuité de l'activité et de rétablissement qui devra être appliqué en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;.
  2. Les entités concernées rétablissent leurs opérations conformément au plan de continuité de l'activité et de rétablissement. Le plan est fondé sur les résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1 et comprend, s’il est besoin, les informations suivantes:
    
    objet, champ d’application et public;
    
    rôles et responsabilités;
    
    principales personnes de contact et canaux de communication (internes et externes);
    
    conditions d’activation et de désactivation du plan;
    
    ordre de rétablissement des opérations;
    
    plans de rétablissement pour les opérations spécifiques, y compris les objectifs de rétablissement;
    
    ressources nécessaires, y compris les sauvegardes et les ressources redondantes;
    
    activités restaurées et rétablies à partir de mesures temporaires.
  3. Les entités concernées effectuent un bilan d’impact sur l’activité afin d’évaluer l’impact potentiel de perturbations graves de leurs opérations et définissent, sur la base des résultats du bilan d’impact sur l’activité, des exigences de continuité pour les réseaux et les systèmes d’information.
  4. Le plan de continuité de l'activité et le plan de rétablissement sont testés, réexaminés et, s’il est besoin, mis à jour à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent. Les entités concernées veillent à ce que les plans tiennent compte des enseignements tirés de ces tests.
2. 4.2. Gestion des sauvegardes et des ressources redondantes
  1. Les entités concernées conservent des copies de sauvegarde des données et prévoient suffisamment de ressources disponibles, y compris des installations, des réseaux et des systèmes d’information, ainsi que du personnel, afin de garantir un niveau approprié de redondance.
  2. Sur la base des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1 et du plan de continuité de l’activité, les entités concernées établissent des plans de sauvegarde qui comprennent les informations suivantes:
    
    le délai de rétablissement de l’activité;
    
    la preuve que les copies de sauvegarde sont complètes et exactes, y compris les données de configuration et les données stockées dans un environnement de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;;
    
    le stockage de copies de sauvegarde (en ligne ou hors ligne) dans un ou plusieurs endroits sûrs, qui ne se trouvent pas sur le même réseau que le système et qui sont situés à une distance suffisante pour échapper à tout dommage causé par une catastrophe sur le site principal;
    
    des contrôles d’accès physiques et logiques appropriés pour les copies de sauvegarde, conformément au niveau de classification des actifs;
    
    les données restaurées à partir de copies de sauvegarde;
    
    les périodes de conservation compte tenu des exigences commerciales et réglementaires.
  3. Les entités concernées procèdent régulièrement à des contrôles d’intégrité des copies de sauvegarde.
  4. Sur la base des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1 et du plan de continuité de l’activité, les entités concernées veillent à ce que la disponibilité des ressources soit suffisante moyennant une redondance au moins partielle des éléments suivants:
    
    réseaux et systèmes d’information;
    
    actifs, y compris les installations, les équipements et les fournitures;
    
    personnel doté des responsabilités, des pouvoirs et des compétences nécessaires;
    
    canaux de communication appropriés.
  5. S’il est besoin, les entités concernées veillent à ce que la surveillance et l’adaptation des ressources, y compris les installations, les systèmes et le personnel, soient dûment guidées par le respect des exigences en matière de sauvegarde et de redondance.
  6. Les entités concernées procèdent régulièrement à des tests de récupération des copies de sauvegarde et des ressources redondantes afin de s’assurer que, dans des conditions de rétablissement, elles puissent être utilisées de manière fiable et englober les copies, les procédures et les connaissances nécessaires pour procéder à un rétablissement efficace. Les entités concernées consignent les résultats des tests et, si nécessaire, adoptent des mesures correctrices.
3. 4.3. Gestion des crises
  1. Les entités concernées mettent en place une procédure de gestion des crises.
  2. Les entités concernées veillent à ce que la procédure de gestion des crises porte au moins sur les aspects suivants:
    
    les rôles et responsabilités du personnel et, s’il est besoin, des fournisseurs et des prestataires de services, en précisant la répartition des rôles dans les situations de crise, y compris les étapes spécifiques à suivre;
    
    des moyens de communication appropriés entre les entités concernées et les autorités compétentes concernées;
    
    l’application de mesures appropriées pour garantir le maintien de la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; dans les situations de crise.
    
    Aux fins du point b), le flux d’informations entre les entités concernées et les autorités compétentes concernées comprend tant les communications obligatoires, telles que les rapports d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et les délais correspondants, que les communications non obligatoires.
  3. Les entités concernées appliquent une procédure de gestion et d’utilisation des informations reçues des CSIRT ou, s’il y a lieu, des autorités compétentes, concernant les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, les vulnérabilités, les menaces ou les éventuelles mesures d’atténuation.
  4. Les entités concernées testent, réexaminent et, s’il est besoin, mettent à jour le plan de gestion des crises de façon régulière, à la suite d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
5. Sécurité de la chaîne d’approvisionnement [article 21, paragraphe 2, point d), de la directive (UE) 2022/2555]
1. 5.1. Politique de sécurité de la chaîne d’approvisionnement
  1. Aux fins de l’article 21, paragraphe 2, point d), de la directive (UE) 2022/2555, les entités concernées établissent, mettent en œuvre et appliquent une politique de sécurité de la chaîne d’approvisionnement régissant les relations avec leurs fournisseurs et leurs prestataires de services directs afin d'atténuer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; identifiés pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. Dans la politique de sécurité de la chaîne d’approvisionnement, les entités concernées définissent leur rôle dans la chaîne d’approvisionnement et en informent leurs fournisseurs et leurs prestataires de services directs.
  2. Dans le cadre de la politique visée au point 5.1.1, les entités concernées fixent des critères pour la sélection des fournisseurs et des prestataires de services et la passation de contrats avec ces derniers. Ces critères incluent:
    
    les pratiques des fournisseurs et des prestataires de services en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, y compris leurs procédures de développement sécurisé;
    
    la capacité des fournisseurs et des prestataires de services de se conformer aux spécifications de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; définies par les entités concernées;
    
    la qualité et la résilience globales des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; et les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui y sont intégrées, y compris les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et le niveau de classification des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;;
    
    la capacité des entités concernées à diversifier les sources d’approvisionnement et à limiter l’effet de verrouillage, s’il y a lieu.
  3. Lorsqu’elles établissent leur politique de sécurité de la chaîne d’approvisionnement, les entités concernées tiennent compte des résultats des évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22, paragraphe 1, de la directive (UE) 2022/2555, s’il y a lieu.
  4. Sur la base de la politique de sécurité de la chaîne d’approvisionnement et compte tenu des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1 de la présente annexe, les entités concernées veillent à ce que les contrats passés avec les fournisseurs et les prestataires de services précisent, s’il est besoin et le cas échéant au moyen d’accords de niveau de service, les éléments suivants:
    
    les exigences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables aux fournisseurs ou aux prestataires de services, y compris les exigences relatives à la sécurité de l’acquisition de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; énoncées au point 6.1;
    
    les exigences en matière de sensibilisation, de compétences et de formation et, s’il est besoin, les certifications requises à l’égard du personnel des fournisseurs ou des prestataires de services;
    
    les exigences relatives à la vérification des antécédents du personnel des fournisseurs et des prestataires de services;
    
    l’obligation pour les fournisseurs et les prestataires de services de notifier sans retard injustifié aux entités concernées les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; qui présentent un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; de ces entités;
    
    le droit d’effectuer des audits ou le droit de recevoir des rapports d’audit;
    
    l’obligation pour les fournisseurs et les prestataires de services de gérer les vulnérabilités qui présentent un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; des entités concernées;
    
    les exigences relatives à la sous-traitance et, si les entités concernées autorisent la sous-traitance, les exigences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; applicables aux sous-traitants conformément aux exigences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; visées au point a);
    
    les obligations incombant aux fournisseurs et aux prestataires de services au terme du contrat, telles que la récupération et la destruction des informations obtenues par les fournisseurs et les prestataires de services dans l’exercice de leur mission.
  5. Les entités concernées tiennent compte des éléments visés aux points 5.1.2 et 5.1.3 dans le cadre de la procédure de sélection de nouveaux fournisseurs et prestataires de services, ainsi que de la procédure de passation de marchés visée au point 6.1.
  6. Les entités concernées réexaminent la politique de sécurité de la chaîne d’approvisionnement et elles surveillent, évaluent et, si nécessaire, réagissent à l’évolution des pratiques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des fournisseurs et des prestataires de services à intervalles prédéfinis et lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent, ou en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants liés à la fourniture de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou ayant un impact sur la sécurité des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; provenant de fournisseurs et de prestataires de services.
  7. Aux fins du point 5.1.6, les entités concernées:
    
    passent régulièrement en revue les rapports sur la mise en œuvre des accords de niveau de service, s’il y a lieu;
    
    examinent les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; liés aux produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et aux services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; provenant de fournisseurs et de prestataires de services;
    
    évaluent la nécessité de réexamens non programmés et en consignent les conclusions de manière compréhensible;
    
    analysent, en temps utile, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; présentés par les changements liés aux produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et aux services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; provenant des fournisseurs et des prestataires de services et, s’il est besoin, prennent des mesures d’atténuation.
2. 5.2. Annuaire des fournisseurs et des prestataires de services
  1. Les entités concernées conservent et tiennent à jour un registre de leurs fournisseurs et prestataires de services directs comprenant:
    
    les points de contact pour chaque fournisseur et prestataire de services direct;
    
    une liste des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;, services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; et processus TIC: un processus TIC au sens de l’article 2, point 14), du règlement (UE) 2019/881; fournis aux entités concernées par le fournisseur ou le prestataire de services direct.
6. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information [article 21, paragraphe 2, point e), de la directive (UE) 2022/2555]
1. 6.1. Sécurité de l’acquisition des services TIC ou des produits TIC
  1. Aux fins de l’article 21, paragraphe 2, point e), de la directive (UE) 2022/2555, les entités concernées définissent et utilisent des procédures en vue de gérer, sur la base de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant de l’acquisition de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; auprès de fournisseurs ou de prestataires de services pour des composants qui sont critiques pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; des entités concernées tout au long de leur cycle de vie.
  2. Aux fins du point 6.1.1, les procédures précitées comprennent:
    
    les exigences de sécurité applicables aux services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; à acquérir;
    
    les exigences concernant les mises à jour de sécurité pendant toute la durée de vie des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;, ou leur remplacement au terme de la période d’assistance;
    
    les informations décrivant les composants matériels et logiciels utilisés dans les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou les produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;;
    
    les informations décrivant les fonctions de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; mises en œuvre et la configuration nécessaire à leur fonctionnement sécurisé;
    
    l’assurance que les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou les produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; sont conformes aux exigences de sécurité visées au point a);
    
    les méthodes permettant de valider la conformité des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; ou des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; fournis aux exigences de sécurité énoncées, ainsi que la consignation des résultats de la validation.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour les procédures à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants.
2. 6.2. Cycle de vie du développement sécurisé
  1. Avant de développer un réseau et un système d’information, y compris des logiciels, les entités concernées établissent des règles pour le développement sécurisé des réseaux et des systèmes d’information et les appliquent lorsqu’elles développent des réseaux et des systèmes d’information en interne ou lorsqu’elles externalisent le développement de réseaux et de systèmes d’information. Les règles couvrent toutes les phases du développement, y compris la spécification, la conception, le développement lui-même, la mise en œuvre et les tests.
  2. Aux fins du point 6.2.1, les entités concernées:
    
    effectuent une analyse des exigences de sécurité au cours des phases de spécification et de conception de tout projet de développement ou d’acquisition mené par elles-mêmes ou pour leur compte;
    
    appliquent les principes de l’ingénierie des systèmes sécurisés et du codage sécurisé à toute activité de développement de systèmes d’information, tels que la promotion de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dès la conception et les architectures à vérification systématique;
    
    énoncent des exigences de sécurité en ce qui concerne les environnements de développement;
    
    établissent et utilisent des procédures de tests de sécurité au cours du cycle de vie du développement;
    
    sélectionnent, protègent et gèrent de manière appropriée les données relatives aux tests de sécurité;
    
    nettoient et anonymisent les données relatives aux tests conformément à l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1.
  3. Lorsque le développement des réseaux et des systèmes d’information est externalisé, les entités concernées appliquent également les politiques et procédures visées aux points 5 et 6.1.
  4. Les entités concernées réexaminent et, si nécessaire, actualisent à intervalles prédéfinis leurs règles de développement sécurisé.
3. 6.3. Gestion des configurations
  1. Les entités concernées prennent les mesures appropriées pour établir, documenter, mettre en œuvre et surveiller les configurations, y compris les configurations de sécurité du matériel, des logiciels, des services et des réseaux.
  2. Aux fins du point 6.3.1, les entités concernées:
    
    définissent et appliquent des configurations de sécurité pour leur matériel, leurs logiciels, leurs services et leurs réseaux;
    
    définissent et utilisent des procédures et des outils pour assurer le respect des configurations sécurisées définies pour le matériel, les logiciels, les services et les réseaux, pour les systèmes récemment installés ainsi que pour les systèmes déjà en exploitation, pendant toute leur durée de vie.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour les configurations à intervalles prédéfinis, ou en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
4. 6.4. Gestion des changements, réparations et entretien
  1. Les entités concernées appliquent des procédures de gestion des changements pour encadrer les changements de réseaux et de systèmes d’information. S’il y a lieu, les procédures sont compatibles avec la politique générale des entités concernées en matière de gestion des changements.
  2. Les procédures visées au point 6.4.1 doivent être appliquées pour les nouvelles versions, les modifications et les changements urgents apportés à tout logiciel et matériel en exploitation, ainsi que pour toute modification de la configuration. Les procédures garantissent que ces changements sont consignés et, sur la base de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1, qu’ils vont être testés et évalués au regard de leur impact potentiel avant d’être mis en œuvre.
  3. Dans le cas où les procédures habituelles de gestion des changements n’ont pas pu être suivies en raison d’une urgence, les entités concernées consignent le résultat des changements et les raisons pour lesquelles les procédures n’ont pas pu être suivies.
  4. Les entités concernées réexaminent et, s’il est besoin, mettent à jour les procédures à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
5. 6.5. Tests de sécurité
  1. Les entités concernées établissent, mettent en œuvre et appliquent une politique et des procédures en matière de tests de sécurité.
  2. Les entités concernées:
    
    déterminent, sur la base de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1, la nécessité, la portée, la fréquence et le type de tests de sécurité;
    
    effectuent, selon une méthode de test documentée, des tests de sécurité couvrant les composants identifiés dans le cadre d’une analyse des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; comme étant importants pour une exploitation sûre;
    
    consignent le type, la portée, la date et les résultats des tests, y compris l’évaluation de la criticité et des mesures d’atténuation pour chaque constat;
    
    appliquent des mesures d’atténuation en cas de constats critiques.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour à intervalles prédéfinis leur politique en matière de tests de sécurité.
6. 6.6. Gestion des correctifs de sécurité
  1. Les entités concernées précisent et appliquent des procédures compatibles avec les procédures de gestion des changements visées au point 6.4.1, ainsi qu’avec la gestion des vulnérabilités, la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et d’autres procédures de gestion pertinentes, pour garantir que:
    
    les correctifs de sécurité sont appliqués dans un délai raisonnable après leur mise à disposition;
    
    les correctifs de sécurité sont testés avant d’être appliqués dans les systèmes de production;
    
    les correctifs de sécurité proviennent de sources fiables et font l’objet d’un contrôle d’intégrité;
    
    des mesures supplémentaires sont mises en œuvre et que les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; résiduels sont acceptés lorsqu’un correctif n’est pas disponible ou n’est pas appliqué conformément au point 6.6.2.
  2. Par dérogation au point 6.6.1 a), les entités concernées peuvent choisir de ne pas appliquer de correctifs de sécurité lorsque les inconvénients de leur application l’emportent sur les avantages en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les entités concernées documentent et justifient dûment les motifs d’un tel choix.
7. 6.7. Sécurité des réseaux
  1. Les entités concernées prennent les mesures appropriées pour protéger leurs réseaux et systèmes d’information contre les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.
  2. Aux fins du point 6.7.1, les entités concernées:
    
    consignent des informations compréhensibles et actualisées sur l’architecture du réseau;
    
    déterminent et appliquent des contrôles pour protéger les domaines de réseau internes des entités concernées contre tout accès non autorisé;
    
    configurent les contrôles pour empêcher les accès et la communication par réseau qui ne sont pas nécessaires au fonctionnement des entités concernées;
    
    déterminent et appliquent des contrôles pour l’accès à distance aux réseaux et aux systèmes d’information, y compris l’accès par des prestataires de services;
    
    n’utilisent pas à d’autres fins les systèmes utilisés pour la gestion de la mise en œuvre de la politique de sécurité;
    
    interdisent explicitement ou désactivent les connexions et les services non nécessaires;
    
    s’il est besoin, autorisent exclusivement l’accès aux réseaux et aux systèmes d’information des entités concernées au moyen de dispositifs autorisés par ces entités;
    
    n’autorisent les connexions de prestataires de services qu’à la suite d’une demande d’autorisation et pour une durée déterminée, telle que la durée d’une opération de maintenance;
    
    établissent une communication entre des systèmes distincts uniquement par des canaux de confiance isolés des autres canaux de communication au moyen d’une séparation logique, cryptographique ou physique et prévoient une identification assurée de leurs points terminaux et la protection des données du canal contre toute modification ou divulgation;
    
    adoptent un plan de mise en œuvre pour la transition complète vers des protocoles de communication de la dernière génération au niveau de la couche réseau d’une manière sûre, appropriée et progressive, et prennent des mesures pour accélérer cette transition;
    
    adoptent un plan de mise en œuvre pour le déploiement de normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; de communication par courrier électronique modernes, reconnues et interopérables au niveau international, afin de sécuriser les communications par courrier électronique de manière à atténuer les vulnérabilités dues aux menaces liées au courrier électronique et prennent des mesures pour accélérer ce déploiement;
    
    appliquent les meilleures pratiques en matière de sécurité du DNS, de sécurité du routage sur internet et d’hygiène du routage pour le trafic en provenance et à destination du réseau.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour ces mesures à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
8. 6.8. Segmentation du réseau
  1. Les entités concernées segmentent les systèmes en réseaux ou en zones conformément aux résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; visée au point 2.1. Elles segmentent leurs systèmes et réseaux en les isolant des systèmes et réseaux de tiers.
  2. À cette fin, les entités concernées:
    
    prennent en considération le lien fonctionnel, logique et physique, y compris la localisation, entre systèmes et services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;;
    
    accordent l’accès à un réseau ou à une zone sur la base d’une évaluation de ses exigences en matière de sécurité;
    
    conservent les systèmes critiques pour leur exploitation ou pour la sécurité dans les zones sécurisées;
    
    déploient une zone démilitarisée au sein de leurs réseaux de communication pour assurer une communication sécurisée en provenance ou à destination de leurs réseaux;
    
    limitent l’accès et les communications entre les zones et à l’intérieur de celles-ci à ce qui est nécessaire à leur fonctionnement ou à la sécurité;
    
    séparent, d’une part, le réseau consacré à l’administration des réseaux et des systèmes d’information et, d’autre part, leur réseau opérationnel;
    
    séparent les canaux d’administration du réseau des autres types de trafic réseau;
    
    séparent leurs systèmes de production de services des systèmes utilisés pour le développement et les tests, y compris les sauvegardes.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour la segmentation du réseau à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
9. 6.9. Protection contre les logiciels malveillants ou non autorisés
  1. Les entités concernées protègent leurs réseaux et systèmes d’information contre les logiciels malveillants ou non autorisés.
  2. À cette fin, les entités concernées mettent notamment en œuvre des mesures qui permettent de détecter ou d’empêcher l’utilisation de logiciels malveillants ou non autorisés. Les entités concernées veillent, s’il est besoin, à ce que leurs réseaux et systèmes d’information soient équipés de logiciels de détection et de réponse régulièrement mis à jour selon l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1 et aux accords contractuels conclus avec les fournisseurs.
10. 6.10. Gestion et divulgation des vulnérabilités
  1. Les entités concernées obtiennent des informations sur les vulnérabilités techniques de leurs réseaux et systèmes d’information, évaluent leur exposition à ces vulnérabilités et prennent les mesures appropriées pour gérer ces vulnérabilités.
  2. Aux fins du point 6.10.1, les entités concernées:
    
    surveillent les informations sur les vulnérabilités par des canaux appropriés, tels que les annonces des CSIRT ou des autorités compétentes ou les informations fournies par les fournisseurs ou les prestataires de services;
    
    effectuent, s’il est besoin, des analyses de vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; et consignent les résultats des analyses, à intervalles prédéfinis;
    
    remédient, dans les meilleurs délais, aux vulnérabilités qu'elles identifient comme étant critiques pour leurs opérations;
    
    veillent à ce que leur gestion des vulnérabilités soit compatible avec leurs procédures de gestion des changements, de gestion des correctifs de sécurité, de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et de gestion des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;;
    
    établissent une procédure de divulgation des vulnérabilités conformément à la politique nationale applicable en matière de divulgation coordonnée des vulnérabilités.
  3. Lorsque l’impact potentiel de la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; le justifie, les entités concernées élaborent et mettent en œuvre un plan visant à atténuer la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;. Dans les autres cas, les entités concernées documentent et justifient la raison pour laquelle il n’est pas nécessaire de remédier à la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;.
  4. Les entités concernées réexaminent et, s’il est besoin, mettent à jour à intervalles prédéfinis les canaux qu’elles utilisent pour surveiller les informations relatives à la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;.
7. Politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité [article 21, paragraphe 2, point f), de la directive (UE) 2022/2555]
1. Aux fins de l’article 21, paragraphe 2, point f), de la directive (UE) 2022/2555, les entités concernées établissent, mettent en œuvre et appliquent une politique et des procédures visant à évaluer si les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qu'elles ont prises sont effectivement mises en œuvre et maintenues.
2. La politique et les procédures visées au point 7.1 tiennent compte des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; visée au point 2.1 et des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants passés. Les entités concernées déterminent:
  
  quelles mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; doivent faire l’objet d’un suivi et d’un mesurage, y compris les procédures et les contrôles;
  
  quelles méthodes de suivi, de mesurage, d'analyse et d'évaluation, selon le cas, doivent assurer la validité des résultats;
  
  quand le suivi et le mesurage doivent être effectués;
  
  qui est responsable du suivi et du mesurage de l’efficacité des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;;
  
  quand les résultats du suivi et du mesurage doivent être analysés et évalués;
  
  qui doit analyser et évaluer ces résultats.
3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour la politique et les procédures à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
8. Pratiques de base en matière de cyberhygiène et formation à la sécurité [article 21, paragraphe 2, point g), de la directive (UE) 2022/2555]
1. 8.1. Sensibilisation et pratiques de base en matière de cyberhygiène
  1. Aux fins de l’article 21, paragraphe 2, point g), de la directive (UE) 2022/2555, les entités concernées veillent à ce que leurs employés, y compris les membres des organes de direction, ainsi que les fournisseurs et prestataires de services directs soient sensibilisés aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, soient informés de l’importance de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et appliquent des pratiques de cyberhygiène.
  2. Aux fins du point 8.1.1, les entités concernées proposent à leurs employés, y compris aux membres des organes de direction, ainsi qu’aux fournisseurs et prestataires de services directs, s’il est besoin conformément au point 5.1.4, un programme de sensibilisation qui:
    
    s'échelonne dans le temps de manière à ce que les activités soient répétées et s'adressent aux nouveaux salariés;
    
    est établi conformément à la politique de sécurité des réseaux et de l’information, aux politiques concernant des domaines spécifiques et aux procédures pertinentes en matière de sécurité des réseaux et de l’information;
    
    couvre les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; pertinentes, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en place, les points de contact et les ressources pour obtenir des informations et des conseils supplémentaires sur les questions de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les pratiques de cyberhygiène à l’intention des utilisateurs.
  3. S’il est besoin, l’efficacité du programme de sensibilisation est soumise à des tests. Le programme de sensibilisation est mis à jour et proposé à intervalles prédéfinis en tenant compte de l’évolution des pratiques de cyberhygiène, ainsi que du paysage actuel des menaces et des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour les entités concernées.
2. 8.2. Formation de sécurité
  1. Les entités concernées identifient les employés dont les rôles nécessitent des compétences et une expertise pertinentes en matière de sécurité, et veillent à ce qu’ils reçoivent régulièrement une formation sur la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.
  2. Les entités concernées établissent, mettent en œuvre et appliquent un programme de formation conforme à la politique de sécurité des réseaux et de l’information, aux politiques concernant des domaines spécifiques et aux autres procédures pertinentes en matière de sécurité des réseaux et de l’information, qui définit les besoins de formation pour certains rôles et postes sur la base de critères.
  3. La formation visée au point 8.2.1 est pertinente pour les fonctions exercées par l’employé et son efficacité est évaluée. La formation prend en considération les mesures de sûreté en place et couvre les éléments suivants:
    
    instructions concernant la configuration et le fonctionnement sécurisés du réseau et des systèmes d’information, y compris les dispositifs mobiles;
    
    informations sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; connues;
    
    formation sur le comportement à adopter en cas d’événements touchant à la sécurité.
  4. Les entités concernées dispensent des formations aux membres du personnel qui assument de nouveaux postes ou de nouveaux rôles nécessitant des compétences et une expertise pertinentes en matière de sécurité.
  5. Le programme est mis à jour et organisé périodiquement en tenant compte des politiques et des règles applicables, des rôles et responsabilités assignés, ainsi que des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; connues et des évolutions technologiques.
9. Cryptographie [article 21, paragraphe 2, point h), de la directive (UE) 2022/2555]
1. Aux fins de l’article 21, paragraphe 2, point h), de la directive (UE) 2022/2555, les entités concernées établissent, mettent en œuvre et appliquent une politique et des procédures relatives à la cryptographie, en vue de garantir une utilisation adéquate et efficace de la cryptographie afin de protéger la confidentialité, l’authenticité et l’intégrité des données conformément à la classification des actifs des entités concernées et aux résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1.
2. La politique et les procédures visées au point 9.1 établissent:
  
  conformément à la classification des actifs des entités concernées, le type, la solidité et la qualité des mesures cryptographiques requises pour protéger les actifs des entités concernées, y compris les données au repos et les données en transit;
  
  sur la base du point a), les protocoles ou familles de protocoles à adopter, ainsi que les algorithmes cryptographiques, la puissance du chiffrement, les solutions cryptographiques et les pratiques d’utilisation à approuver et à utiliser dans les entités concernées, suivant, s’il est besoin, une approche d’agilité cryptographique;
  
  l’approche des entités concernées en matière de gestion des clés, y compris, le cas échéant, les méthodes destinées à:
  
  générer différentes clés pour les systèmes et applications cryptographiques;
  
  délivrer et obtenir des certificats à clé publique;
  
  distribuer des clés aux entités prévues, y compris la manière d’activer les clés lorsqu’elles sont reçues;
  
  stocker les clés, y compris la manière dont les utilisateurs autorisés obtiennent l’accès aux clés;
  
  modifier ou mettre à jour les clés, y compris les règles relatives au moment et à la manière de modifier les clés;
  
  traiter les clés compromises;
  
  révoquer les clés, y compris la manière de retirer ou de désactiver les clés;
  
  récupérer les clés perdues ou corrompues;
  
  effectuer des copies de sauvegarde ou procéder à l’archivage des clés;
  
  détruire les clés;
  
  réaliser la journalisation et l’audit des principales activités liées à la gestion;
  
  fixer des dates d’activation et de désactivation pour les clés, afin que celles-ci ne puissent être utilisées que pendant la période spécifiée, conformément aux règles de l’organisation en matière de gestion des clés.
3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour leur politique et leurs procédures à des intervalles prédéfinis, en tenant compte de l’état des connaissances en matière de cryptographie.
10. Sécurité des ressources humaines [article 21, paragraphe 2, point i), de la directive (UE) 2022/2555]
1. 10.1. Sécurité des ressources humaines
  1. Aux fins de l’article 21, paragraphe 2, point i), de la directive (UE) 2022/2555, les entités concernées veillent à ce que leurs employés et leurs fournisseurs et prestataires de services directs, s’il est besoin, comprennent et s’engagent à assumer leurs responsabilités en matière de sécurité, selon qu’il convient pour les services et l’emploi proposés et conformément à la politique des entités concernées en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.
  2. L’exigence prévue au point 10.1.1 comprend les éléments suivants:
    
    des mécanismes garantissant que tous les employés, fournisseurs et prestataires de services directs, s’il y a lieu, comprennent et suivent les pratiques standardmeans a standard as defined in Article 2, point (1), of Regulation (EU) No 1025/2012 of the European Parliament and of the Council(29) Regulation (EU) No 1025/2012 of the European Parliament and of the Council of 25 October 2012 on European standardisation, amending Council Directives 89/686/EEC and 93/15/EEC and Directives 94/9/EC, 94/25/EC, 95/16/EC, 97/23/EC, 98/34/EC, 2004/22/EC, 2007/23/EC, 2009/23/EC and 2009/105/EC of the European Parliament and of the Council and repealing Council decision 87/95/EEC and Decision No 1673/2006/EC of the European Parliament and of the Council (OJ L 316, 14.11.2012, p. 12).; de cyberhygiène que les entités concernées appliquent conformément au point 8.1;
    
    des mécanismes visant à garantir que tous les utilisateurs ayant un accès d’administration ou privilégié connaissent les rôles, responsabilités et pouvoirs qui leur sont confiés et agissent en conséquence;
    
    des mécanismes garantissant que les membres des organes de direction comprennent le rôle, les responsabilités et les pouvoirs qui leur sont confiés en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; et agissent en conséquence;
    
    des mécanismes de recrutement de personnel qualifié pour les rôles respectifs, tels que des contrôles de référence, des procédures de vérification, une validation des certifications ou des épreuves écrites.
  3. Les entités concernées réexaminent l’affectation du personnel aux fonctions spécifiques visées au point 1.2, ainsi que la mobilisation de leurs ressources humaines à cet égard, à intervalles prédéfinis et au moins une fois par an. Elles adaptent l’affectation si nécessaire.
2. 10.2. Vérification des antécédents
  1. Les entités concernées veillent dans la mesure du possible à étendre la vérification des antécédents de leurs employés et, le cas échéant, des fournisseurs et prestataires de services directs conformément au point 5.1.4, si leur rôle, leurs responsabilités et leurs autorisations l’exigent.
  2. Aux fins du point 10.2.1, les entités concernées:
    
    mettent en place des critères définissant les rôles, les responsabilités et les pouvoirs qui ne peuvent être exercés que par des personnes dont les antécédents ont été vérifiés;
    
    veillent à ce que ces personnes fassent l’objet de la vérification visée au point 10.2.1 avant qu’elles commencent à exercer ces rôles, responsabilités et pouvoirs; ces vérifications tiennent compte des lois, réglementations et règles déontologiques applicables en proportion des exigences commerciales, de la classification des actifs visée au point 12.1 et des réseaux et systèmes d’information auxquels il convient d’accéder, ainsi que des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; perçus.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour leur politique à intervalles prédéfinis et lorsque cela est nécessaire.
3. 10.3. Procédures en cas de cessation ou de changement d’emploi
  1. Les entités concernées veillent à ce que les responsabilités et les tâches en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; qui restent valables après la cessation ou le changement d’emploi de leur personnel soient définies et exécutées contractuellement.
  2. Aux fins du point 10.3.1, les entités concernées incluent dans les conditions d'emploi, le contrat ou la convention conclus avec la personne concernée les responsabilités et les tâches qui restent valables après la cessation de l’emploi ou du contrat, telles que les clauses de confidentialité.
4. 10.4. Procédure disciplinaire
  1. Les entités concernées établissent, communiquent et maintiennent une procédure disciplinaire pour le traitement des violations des politiques de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. La procédure tient compte des exigences légales, statutaires, contractuelles et commerciales pertinentes.
  2. Les entités concernées réexaminent et, s’il est besoin, mettent à jour les procédures disciplinaires à intervalles prédéfinis, ainsi que lorsque des changements législatifs ou des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; l’imposent.
11. Contrôle d’accès [article 21, paragraphe 2, points i) et j), de la directive (UE) 2022/2555]
1. 11.1. Politique de contrôle des accès
  1. Aux fins de l’article 21, paragraphe 2, point i), de la directive (UE) 2022/2555, les entités concernées établissent, documentent et mettent en œuvre des politiques de contrôle de l’accès logique et physique à leurs réseaux et systèmes d’information, sur la base des exigences commerciales ainsi que des exigences en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.
  2. Les politiques visées au point 11.1.1:
    
    couvrent l’accès par les personnes, y compris le personnel, les visiteurs et les entités externes telles que les fournisseurs et les prestataires de services;
    
    couvrent l’accès par les réseaux et les systèmes d’information;
    
    garantissent que l’accès ne soit accordé qu’aux utilisateurs dûment authentifiés.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour leurs politiques à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
2. 11.2. Gestion des droits d’accès
  1. Les entités concernées fournissent, modifient, suppriment et documentent les droits d’accès aux réseaux et aux systèmes d’information conformément à la politique de contrôle d’accès visée au point 11.1.
  2. Les entités concernées:
    
    accordent et révoquent les droits d’accès sur la base des principes du besoin d’en connaître, du moindre privilège et de la séparation des fonctions;
    
    veillent à ce que les droits d’accès soient modifiés en conséquence en cas de cessation ou de changement d’emploi;
    
    veillent à ce que l’accès aux réseaux et aux systèmes d’information soit autorisé par les personnes concernées;
    
    veillent à ce que les droits d’accès couvrent adéquatement l’accès des tiers, tels que les visiteurs, les fournisseurs et les prestataires de services, notamment en limitant le champ d’application et la durée des droits d’accès;
    
    tiennent un registre des droits d’accès accordés;
    
    appliquent la journalisation à la gestion des droits d’accès.
  3. Les entités concernées réexaminent les droits d’accès à intervalles prédéfinis et les modifient en fonction des changements organisationnels. Les entités concernées documentent les résultats du réexamen, y compris les modifications nécessaires des droits d’accès.
3. 11.3. Comptes privilégiés et comptes d’administration du système
  1. Les entités concernées maintiennent des politiques de gestion des comptes privilégiés et des comptes d’administration du système dans le cadre de la politique de contrôle d’accès visée au point 11.1.
  2. Les politiques visées au point 11.3.1:
    
    établissent des procédures fortes d’identification, d’authentification (telles que l’authentification multifactorielle) et d’autorisation pour les comptes privilégiés et les comptes d’administration du système;
    
    créent des comptes spécifiques à utiliser exclusivement pour les opérations d’administration du système, telles que l’installation, la configuration, la gestion ou la maintenance;
    
    individualisent et restreignent autant que possible les privilèges d’administration du système,
    
    prévoient que les comptes d’administration du système ne soient utilisés que pour se connecter aux systèmes d’administration du système.
  3. Les entités concernées réexaminent les droits d’accès des comptes privilégiés et des comptes d’administration du système à intervalles prédéfinis et les modifient en fonction des changements organisationnels, et elles documentent les résultats du réexamen, y compris les modifications nécessaires des droits d’accès.
4. 11.4. Systèmes d’administration
  1. Les entités concernées restreignent et contrôlent l’utilisation des systèmes d’administration du système conformément à la politique de contrôle d’accès visée au point 11.1.
  2. À cette fin, les entités concernées:
    
    utilisent uniquement les systèmes d’administration du système à des fins d’administration du système, et non pour d’autres opérations;
    
    séparent logiquement ces systèmes des logiciels d’application qui ne sont pas utilisés à des fins d’administration du système,
    
    protègent l’accès aux systèmes d’administration du système au moyen de l’authentification et du cryptage.
5. 11.5. Identification
  1. Les entités concernées gèrent l’ensemble du cycle de vie des identités des réseaux et systèmes d’information et de leurs utilisateurs.
  2. À cette fin, les entités concernées:
    
    mettent en place des identités uniques pour les réseaux et les systèmes d’information et leurs utilisateurs;
    
    lient l’identité des utilisateurs à une seule personne;
    
    assurent la supervision des identités des réseaux et des systèmes d’information;
    
    appliquent la journalisation à la gestion des identités.
  3. Les entités concernées n’autorisent l’attribution d’identités à plusieurs personnes, pouvant prendre la forme d'identités partagées, que lorsqu’elle est nécessaire pour des raisons commerciales ou opérationnelles et qu’elle fait l’objet d’une procédure d’approbation explicite et d’une documentation. Les entités concernées tiennent compte des identités attribuées à plusieurs personnes dans le cadre de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; visé au point 2.1.
  4. Les entités concernées réexaminent régulièrement les identités des réseaux et systèmes d’information et de leurs utilisateurs et, si elles ne sont plus nécessaires, les désactivent sans délai.
6. 11.6. Authentification
  1. Les entités concernées mettent en œuvre des procédures et des technologies d’authentification sécurisées fondées sur des restrictions d’accès et la politique de contrôle d’accès.
  2. À cette fin, les entités concernées:
    
    veillent à ce que la force de l’authentification soit adaptée à la classification de l’actif auquel accéder;
    
    contrôlent l’attribution aux utilisateurs et la gestion des informations secrètes relatives à l’authentification par une procédure garantissant la confidentialité des informations, y compris en conseillant le personnel sur le traitement approprié des informations d’authentification;
    
    exigent la modification des identifiants d’authentification dès le départ, à des intervalles prédéfinis et en cas de soupçon de compromission des identifiants;
    
    exigent la réinitialisation des identifiants d’authentification et le blocage des utilisateurs après un nombre prédéfini de tentatives de connexion infructueuses;
    
    mettent un terme aux sessions inactives après une période d’inactivité prédéfinie; et
    
    exigent des identifiants distincts pour obtenir un accès privilégié ou accéder à des comptes d’administration.
  3. Les entités concernées utilisent, dans la mesure du possible, les méthodes d’authentification les plus récentes, en fonction du risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; associé évalué et de la classification de l’actif auquel accéder, ainsi que des informations d’authentification uniques.
  4. Les entités concernées réexaminent les procédures et technologies d’authentification à intervalles prédéfinis.
7. 11.7. Authentification à plusieurs facteurs
  1. Les entités concernées veillent à ce que les utilisateurs soient authentifiés par des facteurs d’authentification multiples ou des mécanismes d’authentification continue pour accéder aux réseaux et aux systèmes d’information des entités concernées, le cas échéant, conformément à la classification de l’actif à consulter.
  2. Les entités concernées veillent à ce que la force de l’authentification soit adaptée à la classification de l’actif auquel accéder.
12. Gestion des actifs [article 21, paragraphe 2, point i), de la directive (UE) 2022/2555]
1. 12.1. Classification des actifs
  1. Aux fins de l’article 21, paragraphe 2, point i), de la directive (UE) 2022/2555, les entités concernées fixent les niveaux de classification de tous les actifs, y compris l'information, couverts par leurs réseaux et leurs systèmes d’information pour le niveau de protection requis.
  2. Aux fins du point 12.1.1, les entités concernées:
    
    établissent un système de niveaux de classification des actifs;
    
    associent tous les actifs à un niveau de classification, sur la base des exigences de confidentialité, d’intégrité, d’authenticité et de disponibilité, afin d’indiquer la protection requise en fonction de leur sensibilité, de leur criticité, de leur risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et de leur valeur commerciale;
    
    alignent les exigences de disponibilité des actifs sur les objectifs de résultats et de rétablissement fixés dans leur plan de continuité de l'activité et leur plan de rétablissement.
  3. Les entités concernées procèdent à des réexamens périodiques des niveaux de classification des actifs et les mettent à jour, s’il est besoin.
2. 12.2. Gestion des actifs
  1. Les entités concernées établissent, mettent en œuvre et appliquent une politique de gestion appropriée des actifs, y compris l’information, conformément à leur politique de sécurité des réseaux et de l’information, et communiquent ladite politique à toute personne qui utilise ou gère des actifs.
  2. Cette politique:
    
    couvre l’ensemble du cycle de vie des actifs, y compris l’acquisition, l’utilisation, le stockage, le transport et la destruction;
    
    prévoit des règles concernant l’utilisation sûre, le stockage en toute sécurité, le transport en toute sécurité et la suppression et la destruction irréversibles des actifs;
    
    prévoit que le transfert a lieu de manière sécurisée, en fonction du type d’actif à transférer.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour leur politique à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
3. 12.3. Politique en matière de supports amovibles
  1. Les entités concernées établissent, mettent en œuvre et appliquent une politique de gestion des supports de stockage amovibles et la communiquent aux membres de leur personnel et aux tiers qui manipulent des supports de stockage amovibles dans les locaux des entités concernées ou dans d’autres lieux où ces supports sont connectés aux réseaux et aux systèmes d’information des entités concernées.
  2. Cette politique:
    
    prévoit une interdiction technique de connecter des supports amovibles, à moins que leur utilisation ne soit justifiée par une raison d’organisation;
    
    prévoit le blocage de l’autoexécution à partir de ces supports et la détection de codes malveillants dans les supports avant qu’ils ne soient utilisés sur les systèmes des entités concernées;
    
    prévoit des mesures de contrôle et de protection des dispositifs de stockage portables contenant des données pendant le transit et le stockage;
    
    s’il est besoin, prévoit des mesures pour l’utilisation de techniques cryptographiques pour protéger les données sur les supports de stockage amovibles.
  3. Les entités concernées réexaminent et, s’il est besoin, mettent à jour leur politique à intervalles prédéfinis, ainsi qu’en cas d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
4. 12.4. Inventaire des actifs
  1. Les entités concernées élaborent et tiennent à jour un inventaire complet, précis, actualisé et cohérent de leurs actifs. Elles enregistrent de manière traçable les modifications apportées aux entrées de l’inventaire.
  2. Le niveau de détail de l’inventaire des actifs est adapté aux besoins des entités concernées. L’inventaire comprend les éléments suivants:
    
    la liste des opérations et des services et leur description,
    
    la liste des réseaux et systèmes d’information et des autres actifs associés soutenant les activités et les services des entités concernées.
  3. Les entités concernées réexaminent et mettent à jour régulièrement l’inventaire et leurs actifs et documentent l’historique des changements.
5. 12.5. Dépôt, restitution ou suppression d’actifs en cas de cessation d’emploi
  1. Les entités concernées établissent, mettent en œuvre et appliquent des procédures garantissant que leurs actifs qui sont sous la garde de leur personnel sont déposés, restitués ou supprimés à la cessation de l’emploi dudit personnel, et documentent le dépôt, la restitution et la suppression de ces actifs. Lorsque le dépôt, la restitution ou la suppression d’actifs n’est pas possible, les entités concernées veillent à ce que les actifs ne puissent plus accéder à leurs réseaux et systèmes d’information conformément au point 12.2.2.
13. Sécurité environnementale et physique [article 21, paragraphe 2, points c), e) et i), de la directive (UE) 2022/2555]
1. 13.1. Services d’utilité publique
  1. Aux fins de l’article 21, paragraphe 2, point c), de la directive (UE) 2022/2555, les entités concernées préviennent la perte, la détérioration ou la compromission des réseaux et des systèmes d’information ou l’interruption de leurs opérations causées par la défaillance et la perturbation des services d’utilité publique.
  2. À cette fin, les entités concernées, s’il est besoin:
    
    protègent les installations contre les pannes d’électricité et autres perturbations causées par des défaillances des services d’utilité publique tels que l’électricité, les télécommunications, l’approvisionnement en eau ou en gaz, l’évacuation des eaux usées, la ventilation et la climatisation;
    
    envisagent le recours à la redondance dans les services d’utilité publique;
    
    protègent les services d’utilité publique liés à l’électricité et aux télécommunications, qui transportent des données ou fournissent des réseaux et des systèmes d’information, contre les interceptions et les détériorations;
    
    surveillent les services d’utilité publique visés au point c) et signalent aux membres compétents du personnel interne ou externe les événements qui se situent au-dessous et au-dessus des seuils de contrôle minimaux et maximaux visés au point 13.2.2 b) et qui ont un impact sur les services d’utilité publique;
    
    concluent des contrats d’alimentation d’urgence avec les services correspondants, par exemple pour le carburant destiné à l’alimentation électrique de secours;
    
    veillent à l’efficacité ininterrompue, surveillent, entretiennent et testent l’alimentation du réseau et des systèmes d’information nécessaires au fonctionnement du service proposé, en particulier le contrôle de l’électricité, de la température et de l’humidité, les télécommunications et la connexion internet.
  3. Les entités concernées testent, réexaminent et, s’il est besoin, mettent à jour les mesures de protection de façon régulière, à la suite d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
2. 13.2. Protection contre les menaces physiques et environnementales
  1. Aux fins de l’article 21, paragraphe 2, point e), de la directive (UE) 2022/2555, les entités concernées préviennent ou réduisent les conséquences d’événements résultant de menaces physiques et environnementales, telles que les catastrophes naturelles et d’autres menaces intentionnelles ou non intentionnelles, sur la base des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1.
  2. À cette fin, les entités concernées, s’il est besoin:
    
    conçoivent et mettent en œuvre des mesures de protection contre les menaces physiques et environnementales;
    
    fixent des seuils de contrôle minimaux et maximaux pour les menaces physiques et environnementales;
    
    surveillent les paramètres environnementaux et signalent aux membres compétents du personnel interne ou externe les événements qui se situent au-dessous et au-dessus des seuils de contrôle minimaux et maximaux visés au point b).
  3. Les entités concernées testent, réexaminent et, s’il est besoin, mettent à jour les mesures de protection contre les menaces physiques et environnementales de façon régulière, à la suite d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.
3. 13.3. Périmètre et contrôle d’accès physique
  1. Aux fins de l’article 21, paragraphe 2, point i), de la directive (UE) 2022/2555, les entités concernées préviennent et surveillent l’accès physique non autorisé, les dommages et les interférences affectant leurs réseaux et leurs systèmes d’information.
  2. À cette fin, les entités concernées:
    
    établissent et utilisent, sur la base de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée conformément au point 2.1, des périmètres de sécurité pour protéger les zones où sont situés les réseaux et systèmes d’information et autres actifs associés;
    
    protègent les zones visées au point a) par des contrôles à l’entrée et des points d’accès appropriés;
    
    conçoivent et mettent en œuvre la sécurité physique des bureaux, des salles et des installations;
    
    surveillent en permanence leurs locaux dans l'hypothèse d’un accès physique non autorisé.
  3. Les entités concernées testent, réexaminent et, s’il est besoin, mettent à jour les mesures de contrôle de l’accès physique de façon régulière, à la suite d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants ou lorsque des changements majeurs concernant les opérations ou les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; se produisent.

1. Politique relative à la sécurité des réseaux et des systèmes d’information [article 21, paragraphe 2, point a), de la directive (UE) 2022/2555]

1.1. Politique relative à la sécurité des réseaux et des systèmes d’information

1.2. Rôles, responsabilités et pouvoirs

2. Politique de gestion des risques [article 21, paragraphe 2, point a), de la directive (UE) 2022/2555]

2.1. Cadre de gestion des risques

2.2. Contrôle de la conformité

2.3. Réexamen indépendant de la sécurité de l’information et des réseaux

3. Gestion des incidents [article 21, paragraphe 2, point b), de la directive (UE) 2022/2555]

3.1. Politique de gestion des incidents

3.2. Surveillance et journalisation

3.3. Signalement des événements

3.4. Évaluation et classification des événements

3.5. Réponse aux incidents

3.6. Examens postincident

4. Continuité des activités et gestion des crises [article 21, paragraphe 2, point c), de la directive (UE) 2022/2555]

4.1. Plan de continuité de l'activité et de rétablissement

4.2. Gestion des sauvegardes et des ressources redondantes

4.3. Gestion des crises

5. Sécurité de la chaîne d’approvisionnement [article 21, paragraphe 2, point d), de la directive (UE) 2022/2555]

5.1. Politique de sécurité de la chaîne d’approvisionnement

5.2. Annuaire des fournisseurs et des prestataires de services

6. Sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information [article 21, paragraphe 2, point e), de la directive (UE) 2022/2555]

6.1. Sécurité de l’acquisition des services TIC ou des produits TIC

6.2. Cycle de vie du développement sécurisé

6.3. Gestion des configurations

6.4. Gestion des changements, réparations et entretien

6.5. Tests de sécurité

6.6. Gestion des correctifs de sécurité

6.7. Sécurité des réseaux

6.8. Segmentation du réseau

6.9. Protection contre les logiciels malveillants ou non autorisés

6.10. Gestion et divulgation des vulnérabilités

7. Politiques et procédures visant à évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité [article 21, paragraphe 2, point f), de la directive (UE) 2022/2555]

8. Pratiques de base en matière de cyberhygiène et formation à la sécurité [article 21, paragraphe 2, point g), de la directive (UE) 2022/2555]

8.1. Sensibilisation et pratiques de base en matière de cyberhygiène

8.2. Formation de sécurité

9. Cryptographie [article 21, paragraphe 2, point h), de la directive (UE) 2022/2555]

10. Sécurité des ressources humaines [article 21, paragraphe 2, point i), de la directive (UE) 2022/2555]

10.1. Sécurité des ressources humaines

10.2. Vérification des antécédents

10.3. Procédures en cas de cessation ou de changement d’emploi

10.4. Procédure disciplinaire

11. Contrôle d’accès [article 21, paragraphe 2, points i) et j), de la directive (UE) 2022/2555]

11.1. Politique de contrôle des accès

11.2. Gestion des droits d’accès

11.3. Comptes privilégiés et comptes d’administration du système

11.4. Systèmes d’administration

11.5. Identification

11.6. Authentification

11.7. Authentification à plusieurs facteurs

12. Gestion des actifs [article 21, paragraphe 2, point i), de la directive (UE) 2022/2555]

12.1. Classification des actifs

12.2. Gestion des actifs

12.3. Politique en matière de supports amovibles

12.4. Inventaire des actifs

12.5. Dépôt, restitution ou suppression d’actifs en cas de cessation d’emploi

13. Sécurité environnementale et physique [article 21, paragraphe 2, points c), e) et i), de la directive (UE) 2022/2555]

13.1. Services d’utilité publique

13.2. Protection contre les menaces physiques et environnementales

13.3. Périmètre et contrôle d’accès physique