Article 2 Exigences techniques et méthodologiques

Conformément à l’article 21, paragraphe 5, troisième alinéa, de la directive (UE) 2022/2555, les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement sont fondées sur des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales, telles que ISO/IEC 27001, ISO/IEC 27002 et ETSI EN 319401, et sur des spécifications techniques: une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012;, telles que CEN/TS 18026: 2024, pertinentes pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.

En ce qui concerne la mise en œuvre et l’application des exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement, conformément au principe de proportionnalité, il convient de tenir dûment compte des différences d’exposition au risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; des entités concernées, telles que la criticité de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; auxquels elle est exposée, la taille et la structure de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ainsi que la probabilité de survenance d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et leur gravité, y compris leur impact sociétal et économique, lorsque ces entités se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement.

Conformément au principe de proportionnalité, lorsque les entités concernées ne peuvent pas, en raison de leur taille, mettre en œuvre certaines des exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ces entités devraient être en mesure de prendre d’autres mesures compensatoires appropriées pour atteindre l’objectif de ces exigences. Par exemple, lors de la définition des rôles, des responsabilités et des pouvoirs en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; au sein de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, les micro-entités pourraient éprouver des difficultés à séparer les fonctions incompatibles et les domaines de responsabilité contradictoires. Ces entités devraient être en mesure d’envisager des mesures compensatoires telles qu’une surveillance ciblée exercée par la direction de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ou une intensification du suivi et de la journalisation.

Certaines exigences techniques et méthodologiques énoncées à l’annexe du présent règlement devraient être appliquées par les entités concernées s’il est besoin, s’il y a lieu ou dans la mesure du possible. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques prévues à l’annexe du présent règlement, elle documente de manière compréhensible son argumentation en ce sens. Lorsqu’elles exercent une supervision, les autorités nationales compétentes peuvent tenir compte du temps nécessaire aux entités concernées pour mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.