Art. 2 Exigences techniques et méthodologiques | Cybersecurity measures and significant incidents for relevant entities | NIS 2

1. Pour les entités concernées, les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; visées à l’article 21, paragraphe 2, points a) à j), de la directive (UE) 2022/2555 sont énoncées à l’annexe du présent règlement.
1. Lorsqu’elles mettent en œuvre et appliquent les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement, les entités concernées assurent un niveau de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; adapté aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; présents. À cette fin, lorsqu’elles se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement, elles tiennent dûment compte de leur degré d’exposition aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, de leur taille et de la probabilité de survenance d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, ainsi que de leur gravité, y compris de leur impact sociétal et économique.
2. Lorsque l’annexe du présent règlement prévoit qu’une exigence technique ou méthodologique liée à une mesure de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; est appliquée «s’il est besoin», «s’il y a lieu» ou «dans la mesure du possible», et lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques, elle documente de manière compréhensible son argumentation en ce sens.