Recital 28 All-hazards approach to cybersecurity risk-management measures

Conformément à l’article 21, paragraphe 2, de la directive (UE) 2022/2555, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; doivent se fonder sur une approche «tous risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante et aux installations de traitement de l’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels. On peut citer d’autres exemples de menaces physiques et environnementales telles que les tremblements de terre, les explosions, le sabotage, la menace interne, les troubles civils, les déchets toxiques et les émissions dans l’environnement. La prévention de la perte, de la détérioration ou de la compromission de réseaux et systèmes d’information ou de l’interruption de leur fonctionnement en raison de la défaillance et de la perturbation de services d’utilité publique sous-jacents devrait contribuer à l’objectif de continuité de l’activité dans les entités concernées. En outre, la protection contre les menaces physiques et environnementales devrait contribuer à la sécurité de la maintenance des réseaux et des systèmes d’information dans les entités concernées.