Article 2 Exigences techniques et méthodologiques

Conformément à l’article 21, paragraphe 5, troisième alinéa, de la directive (UE) 2022/2555, les exigences techniques et méthodologiques liées aux mesures de gestion des risques de cybersécurité énoncées à l’annexe du présent règlement sont fondées sur des normes européennes et internationales, telles que ISO/IEC 27001, ISO/IEC 27002 et ETSI EN 319401, et sur des spécifications techniques, telles que CEN/TS 18026: 2024, pertinentes pour la sécurité des réseaux et des systèmes d’information.

En ce qui concerne la mise en œuvre et l’application des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité énoncées à l’annexe du présent règlement, conformément au principe de proportionnalité, il convient de tenir dûment compte des différences d’exposition au risque des entités concernées, telles que la criticité de l’entité, les risques auxquels elle est exposée, la taille et la structure de l’entité, ainsi que la probabilité de survenance d’incidents et leur gravité, y compris leur impact sociétal et économique, lorsque ces entités se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité énoncées à l’annexe du présent règlement.

Conformément au principe de proportionnalité, lorsque les entités concernées ne peuvent pas, en raison de leur taille, mettre en œuvre certaines des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité, ces entités devraient être en mesure de prendre d’autres mesures compensatoires appropriées pour atteindre l’objectif de ces exigences. Par exemple, lors de la définition des rôles, des responsabilités et des pouvoirs en matière de sécurité des réseaux et des systèmes d’information au sein de l’entité concernée, les micro-entités pourraient éprouver des difficultés à séparer les fonctions incompatibles et les domaines de responsabilité contradictoires. Ces entités devraient être en mesure d’envisager des mesures compensatoires telles qu’une surveillance ciblée exercée par la direction de l’entité ou une intensification du suivi et de la journalisation.

Certaines exigences techniques et méthodologiques énoncées à l’annexe du présent règlement devraient être appliquées par les entités concernées s’il est besoin, s’il y a lieu ou dans la mesure du possible. Lorsqu’une entité concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques prévues à l’annexe du présent règlement, elle documente de manière compréhensible son argumentation en ce sens. Lorsqu’elles exercent une supervision, les autorités nationales compétentes peuvent tenir compte du temps nécessaire aux entités concernées pour mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité.