Recital 9 Security policies

Conformément à l’article 21, paragraphe 2, point a), de la directive (UE) 2022/2555, les entités essentielles et importantes devraient être dotées de politiques relatives à l’analyse des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; ainsi que de politiques relatives à la sécurité des systèmes d’information. À cette fin, les entités concernées devraient établir une politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; ainsi que des politiques concernant des domaines spécifiques, telles que des politiques en matière de contrôle d’accès, qui devraient être cohérentes avec la politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. La politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; devrait occuper le plus haut niveau de la hiérarchie des documents définissant l’approche globale des entités concernées en matière de sécurité de leurs réseaux et systèmes d’information et elle devrait être approuvée par les organes de direction des entités concernées. Les politiques concernant des domaines spécifiques devraient être approuvées à un niveau hiérarchique approprié. La politique devrait définir des indicateurs et des mesures permettant de suivre sa mise en œuvre et l’état actuel du niveau de maturité des entités concernées en matière de sécurité des réseaux et de l’information, en particulier pour faciliter la surveillance de la mise en œuvre des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; par l’intermédiaire des organes de direction.