Article 9 Incidents importants concernant les fournisseurs de réseaux de diffusion de contenu

Le présent règlement doit préciser plus en détail les cas dans lesquels un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555. Les critères devraient être tels que les entités concernées soient en mesure d’évaluer si un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est important afin de le notifier conformément à la directive (UE) 2022/2555. En outre, les critères énoncés dans le présent règlement devraient être considérés comme exhaustifs, sans préjudice de l’article 5 de la directive (UE) 2022/2555. Le présent règlement précise les cas dans lesquels un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; devrait être considéré comme important en définissant des cas horizontaux ainsi que des cas spécifiques à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;.

L’article 23, paragraphe 4, de la directive (UE) 2022/2555 prévoit que les entités concernées notifient les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants dans les délais fixés audit article. Ces délais de notification courent à partir du moment où l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; a connaissance de tels incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants. Par conséquent, l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée est tenue de notifier les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui, selon son évaluation initiale, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Par conséquent, lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée a détecté un événement suspect, ou après qu’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; potentiel a été porté à son attention par un tiers, tel qu’un particulier, un client, une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, une autorité, un organisme de médias ou une autre source, l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée devrait évaluer en temps opportun l’événement suspect afin de déterminer s’il constitue un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et, dans l’affirmative, en déterminer la nature et la gravité. Il convient donc de considérer que l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée a «eu connaissance» de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important lorsque, après avoir procédé à cette évaluation initiale, elle est raisonnablement certaine qu’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important s’est produit.

Afin d’établir si un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est important, le cas échéant, les entités concernées devraient compter le nombre d’utilisateurs touchés par l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, en tenant compte des clients professionnels et des clients finaux avec lesquels elles entretiennent une relation contractuelle ainsi que des personnes physiques et morales qui sont associées à des clients professionnels. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de calculer le nombre d’utilisateurs touchés, il y a lieu de prendre en considération, aux fins du calcul du nombre total d’utilisateurs touchés par l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, l’estimation du nombre maximal possible d’utilisateurs touchés effectuée par cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;. L’importance d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; impliquant un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; devrait être déterminée non seulement par le nombre d’utilisateurs, mais aussi par le nombre de parties utilisatrices, celles-ci pouvant être affectées au même titre par un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important impliquant un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; en ce qui concerne une perturbation opérationnelle ou un préjudice matériel ou moral. Par conséquent, les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; devraient, le cas échéant, également tenir compte du nombre de parties utilisatrices lorsqu’ils établissent si un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est important. À cette fin, il convient d’entendre par parties utilisatrices des personnes physiques ou morales qui utilisent un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;.

Les opérations de maintenance entraînant une disponibilité limitée ou une indisponibilité des services ne devraient pas être considérées comme des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants si la disponibilité limitée ou l’indisponibilité du service survient à la suite d’une opération de maintenance programmée. En outre, l’indisponibilité d’un service en raison d’interruptions telles que des interruptions programmées ou une indisponibilité sur la base d’un accord contractuel prédéterminé ne devrait pas être considérée comme un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important.

La durée d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ayant des conséquences sur la disponibilité d’un service devrait être mesurée à partir de l’interruption de la fourniture correcte de ce service jusqu’au moment du rétablissement. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de déterminer le moment à partir duquel l’interruption a commencé, la durée de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; devrait être mesurée à partir du moment où l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a été détecté, ou de celui où l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a été enregistré dans les journaux du réseau, du système ou d’autres sources de données, selon l’éventualité qui intervient en premier.

L’indisponibilité totale d’un service devrait être mesurée à partir du moment où le service est totalement indisponible pour les utilisateurs et le moment où les activités ou opérations régulières ont retrouvé le niveau de service fourni avant l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de déterminer quand l’indisponibilité totale d’un service a commencé, cette indisponibilité devrait être mesurée à partir du moment où elle a été détectée par cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;.

Afin de déterminer les pertes financières directes résultant d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les entités concernées devraient tenir compte de toutes les pertes financières qu’elles ont subies à la suite de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, telles que les coûts du remplacement ou du déplacement de logiciels, de matériel ou d’infrastructures, les frais de personnel, y compris les coûts liés au remplacement ou au déménagement du personnel, au recrutement de personnel supplémentaire, à la rémunération des heures supplémentaires et à la récupération des compétences perdues ou altérées, les frais dus au non-respect d’obligations contractuelles, les coûts de dédommagement et d’indemnisation des clients, les pertes dues aux recettes non perçues, les coûts liés à la communication interne et externe, les frais de conseil, y compris les coûts liés au conseil juridique, aux services d’investigation numérique et aux services de remédiation, et les autres coûts liés à l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Toutefois, les amendes administratives, ainsi que les coûts qui sont nécessaires à la gestion quotidienne de l’activité, ne devraient pas être considérées comme des pertes financières résultant d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, y compris les coûts de maintenance générale des infrastructures, des équipements, du matériel et des logiciels, la mise à jour des compétences du personnel, les coûts internes ou externes pour améliorer l’activité après l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, y compris les mises à niveau, les améliorations et les initiatives d’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, ainsi que les primes d’assurance. Les entités concernées devraient calculer le montant des pertes financières sur la base des données disponibles et avoir recours à une estimation lorsqu’il est impossible de déterminer le montant réel de ces pertes.

Les entités concernées devraient également être tenues de signaler les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui ont causé ou sont susceptibles de causer la mort de personnes physiques ou des dommages considérables à la santé de ces dernières, étant donné que ces incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; constituent des cas particulièrement graves de dommages matériels ou moraux considérables. Par exemple, un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; touchant une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée pourrait entraîner l’indisponibilité de services de soins de santé ou d’urgence, ou une perte de confidentialité ou d’intégrité de données ayant une incidence sur la santé des personnes physiques. Pour déterminer si un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique, les entités concernées devraient examiner si l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a causé ou est susceptible de causer des blessures graves et des problèmes de santé. Les entités concernées ne devraient pas être tenues de recueillir, à cette fin, des informations supplémentaires auxquelles elles n’ont pas accès.

Il y a lieu de considérer que la disponibilité est limitée en particulier lorsqu’un service fourni par une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée est considérablement plus lent que la moyenne, ou lorsque toutes les fonctionnalités d’un service ne sont pas disponibles. Dans la mesure du possible, il convient d’utiliser, pour évaluer les retards dans le délai de réponse, des critères objectifs fondés sur les délais moyens de réponse des services fournis par les entités concernées. Une fonctionnalité d’un service peut être, par exemple, une fonctionnalité de discussion en ligne ou une fonctionnalité de recherche d’images.

Un accès non autorisé effectif et suspecté d’être malveillant aux réseaux et systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée devrait être considéré comme un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important lorsque cet accès est susceptible de causer une perturbation opérationnelle grave. Par exemple, lorsqu’un acteur de cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; se pré-positionne dans le réseau et les systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée en vue de perturber les services à l’avenir, l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; devrait être considéré comme important.