Preamble Recitals

En ce qui concerne les fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, les registres des noms de domaines de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, les fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, les fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, les fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations; et les fournisseurs de services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; relevant de l’article 3 de la directive (UE) 2022/2555 (ci-après les «entités concernées»), le présent règlement vise à établir les exigences techniques et méthodologiques liées aux mesures visées à l’article 21, paragraphe 2, de la directive (UE) 2022/2555 et à préciser plus en détail les cas dans lesquels un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555.

Compte tenu de la nature transfrontière de leurs activités et afin de garantir un cadre cohérent pour les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;, le présent règlement devrait, en ce qui concerne ces prestataires de services, préciser plus en détail les cas dans lesquels un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; est considéré comme important, en plus d’établir les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.

Conformément à l’article 21, paragraphe 5, troisième alinéa, de la directive (UE) 2022/2555, les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement sont fondées sur des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales, telles que ISO/IEC 27001, ISO/IEC 27002 et ETSI EN 319401, et sur des spécifications techniques: une spécification technique au sens de l’article 2, point 4), du règlement (UE) no 1025/2012;, telles que CEN/TS 18026: 2024, pertinentes pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.

En ce qui concerne la mise en œuvre et l’application des exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement, conformément au principe de proportionnalité, il convient de tenir dûment compte des différences d’exposition au risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; des entités concernées, telles que la criticité de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; auxquels elle est exposée, la taille et la structure de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ainsi que la probabilité de survenance d’incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et leur gravité, y compris leur impact sociétal et économique, lorsque ces entités se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement.

Conformément au principe de proportionnalité, lorsque les entités concernées ne peuvent pas, en raison de leur taille, mettre en œuvre certaines des exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ces entités devraient être en mesure de prendre d’autres mesures compensatoires appropriées pour atteindre l’objectif de ces exigences. Par exemple, lors de la définition des rôles, des responsabilités et des pouvoirs en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; au sein de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, les micro-entités pourraient éprouver des difficultés à séparer les fonctions incompatibles et les domaines de responsabilité contradictoires. Ces entités devraient être en mesure d’envisager des mesures compensatoires telles qu’une surveillance ciblée exercée par la direction de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ou une intensification du suivi et de la journalisation.

Certaines exigences techniques et méthodologiques énoncées à l’annexe du présent règlement devraient être appliquées par les entités concernées s’il est besoin, s’il y a lieu ou dans la mesure du possible. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques prévues à l’annexe du présent règlement, elle documente de manière compréhensible son argumentation en ce sens. Lorsqu’elles exercent une supervision, les autorités nationales compétentes peuvent tenir compte du temps nécessaire aux entités concernées pour mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.

L’ENISA ou les autorités nationales compétentes au titre de la directive (UE) 2022/2555 peuvent fournir des orientations pour aider les entités concernées à identifier, analyser et évaluer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; aux fins de la mise en œuvre des exigences techniques et méthodologiques concernant la mise en place et le maintien d’un cadre approprié de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Ces orientations peuvent comprendre, en particulier, des évaluations des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; nationales et sectorielles ainsi que des évaluations des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; spécifiques à un certain type d’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;. Les orientations peuvent également comprendre des outils ou des modèles pour l’élaboration d’un cadre de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; au niveau des entités concernées. Les cadres, orientations ou autres mécanismes prévus par le droit national des États membres, ainsi que des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales pertinentes peuvent également aider les entités concernées à apporter la preuve du respect du présent règlement d’exécution. En outre, l’ENISA ou les autorités nationales compétentes au titre de la directive (UE) 2022/2555 peuvent aider les entités concernées à trouver et à mettre en œuvre des solutions appropriées pour traiter les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; identifiés dans ces évaluations des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Ces orientations devraient être sans préjudice de l’obligation des entités concernées d’identifier et de documenter les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, ainsi que de l’obligation, pour les entités concernées, de mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement en fonction de leurs besoins et de leurs ressources.

Les mesures de sécurité des réseaux concernant: i) la transition vers des protocoles de communication de la dernière génération au niveau de la couche réseau, ii) le déploiement de normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; modernes de communication par courrier électronique internationalement reconnues et interopérables, et iii) l’application des meilleures pratiques en matière de sécurité DNS, de sécurité du routage sur internet et d’hygiène du routage posent des difficultés particulières eu égard à l’inventaire des meilleures normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; et techniques de déploiement disponibles. Afin d’atteindre dès que possible un niveau élevé commun de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sur l’ensemble des réseaux, la Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA) et en collaboration avec les autorités compétentes, l’industrie — y compris le secteur des télécommunications — et d’autres parties prenantes, devrait soutenir la mise en place d’un forum multipartite chargé d’inventorier ces meilleures normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; et techniques de déploiement disponibles. Ces orientations multipartites devraient être sans préjudice de l’obligation, pour les entités concernées, de mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement.

Conformément à l’article 21, paragraphe 2, point a), de la directive (UE) 2022/2555, les entités essentielles et importantes devraient être dotées de politiques relatives à l’analyse des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; ainsi que de politiques relatives à la sécurité des systèmes d’information. À cette fin, les entités concernées devraient établir une politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; ainsi que des politiques concernant des domaines spécifiques, telles que des politiques en matière de contrôle d’accès, qui devraient être cohérentes avec la politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. La politique relative à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; devrait occuper le plus haut niveau de la hiérarchie des documents définissant l’approche globale des entités concernées en matière de sécurité de leurs réseaux et systèmes d’information et elle devrait être approuvée par les organes de direction des entités concernées. Les politiques concernant des domaines spécifiques devraient être approuvées à un niveau hiérarchique approprié. La politique devrait définir des indicateurs et des mesures permettant de suivre sa mise en œuvre et l’état actuel du niveau de maturité des entités concernées en matière de sécurité des réseaux et de l’information, en particulier pour faciliter la surveillance de la mise en œuvre des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; par l’intermédiaire des organes de direction.

Aux fins des exigences techniques et méthodologiques énoncées à l’annexe du présent règlement, le terme «utilisateur» devrait englober toutes les personnes physiques et morales qui ont accès au réseau et aux systèmes d’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;.

Afin d’identifier et de traiter les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; qui pèsent sur la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, les entités concernées devraient établir et maintenir un cadre approprié de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les entités concernées devraient inscrire dans ce cadre l’établissement, la mise en œuvre et le suivi d’un plan de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les entités concernées peuvent utiliser le plan de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour inventorier et hiérarchiser les options et les mesures relatives au traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Parmi les options de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; figurent notamment la prévention, la réduction ou, dans des cas exceptionnels, l’acceptation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Le choix des options de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; devrait tenir compte des résultats de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; effectuée par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée et être conforme à la politique de cette dernière en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. Afin de donner effet aux options de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; choisies, les entités concernées devraient prendre les mesures de traitement des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; appropriées.

Pour détecter les événements, les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; évités et les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, les entités concernées devraient surveiller leur réseau et leurs systèmes d’information et prendre des mesures pour évaluer les événements, les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; évités et les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;. Ces mesures devraient permettre de détecter en temps utile les attaques réseau en se fondant sur des schémas anormaux de trafic entrant et sortant, ainsi que les attaques par déni de service.

Lorsque les entités concernées procèdent à une analyse de l’impact sur l’activité, elles sont encouragées à réaliser une analyse complète établissant, le cas échéant, les temps d’arrêt maximaux tolérables, les objectifs de délai de rétablissement, les objectifs de points de rétablissement et les objectifs de fourniture de services.

Afin d’atténuer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant de la chaîne d’approvisionnement d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée et des relations de cette dernière avec ses fournisseurs, les entités concernées devraient établir une politique de sécurité de la chaîne d’approvisionnement régissant leurs relations avec leurs fournisseurs et prestataires de services directs. Ces entités devraient faire figurer dans les contrats conclus avec leurs fournisseurs ou prestataires de services directs des clauses de sécurité adéquates, par exemple en exigeant, le cas échéant, des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; conformément à l’article 21, paragraphe 2, de la directive (UE) 2022/2555 ou en imposant d’autres exigences légales similaires.

Les entités concernées devraient effectuer régulièrement des tests de sécurité sur la base d’une politique et de procédures ad hoc afin de vérifier si les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sont mises en œuvre et fonctionnent correctement. Les tests de sécurité peuvent être effectués sur des réseaux et systèmes d’information spécifiques ou sur l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée dans son ensemble et peuvent comprendre des tests automatisés ou manuels, des tests d’intrusion, des analyses de vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;, des tests dynamiques ou statiques de sécurité des applications, des tests de configuration ou des audits de sécurité. Les entités concernées peuvent effectuer des tests de sécurité sur leur réseau et leurs systèmes d’information lors de la mise en place, après des mises à niveau ou des modifications d’infrastructures ou d’applications qu’elles jugent importantes, ou après des opérations de maintenance. Les résultats des tests de sécurité devraient éclairer les politiques et procédures des entités concernées visant à évaluer l’efficacité des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les examens indépendants de leurs politiques de sécurité des réseaux et de l’information.

Afin d’éviter que l’exploitation de vulnérabilités non corrigées dans les réseaux et les systèmes d’information ne cause des perturbations et des préjudices importants, les entités concernées devraient définir et appliquer des procédures appropriées de gestion des correctifs de sécurité qui soient alignées sur leurs procédures pertinentes en matière de gestion des changements, gestion des vulnérabilités, gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et autres. Les entités concernées devraient prendre des mesures proportionnées à leurs ressources pour veiller à ce que les correctifs de sécurité n’introduisent pas de vulnérabilités ou d’instabilités supplémentaires. Si le service est inaccessible en raison de l’application de correctifs de sécurité, les entités concernées sont encouragées à en informer dûment les clients à l’avance.

Les entités concernées devraient gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant de l’acquisition de produits ou de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; auprès de fournisseurs ou de prestataires de services et devraient obtenir l’assurance que les produits ou services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; à acquérir atteignent certains niveaux de protection en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, par exemple au moyen de certificats de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; européens et de déclarations de conformité de l’UE pour des produits ou services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; délivrés dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adopté en vertu de l’article 49 du règlement (UE) 2019/881 du Parlement européen et du Conseil(²)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj).. Lorsque les entités concernées fixent des exigences de sécurité à imposer aux produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; à acquérir, elles devraient tenir compte des exigences essentielles en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans un règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les produits comportant des éléments numériques.

Afin de se protéger contre les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et d’aider à prévenir et à endiguer les violations de données, les entités concernées devraient mettre en œuvre des solutions en matière de sécurité des réseaux. Ces solutions consistent généralement à utiliser des pare-feu pour protéger les réseaux internes des entités concernées, à limiter les connexions et les accès aux services auxquels ces connexions et accès sont absolument nécessaires, à recourir à des réseaux privés virtuels pour l’accès à distance, à soumettre les connexions des fournisseurs de services à une demande d’autorisation et à limiter ces connexions à une durée déterminée telle que la durée d’une opération de maintenance.

Afin de protéger les réseaux des entités concernées et leurs systèmes d’information contre les logiciels malveillants et non autorisés, ces entités devraient mettre en œuvre des contrôles qui préviennent ou détectent l’utilisation de logiciels non autorisés et devraient, le cas échéant, utiliser des logiciels de détection et de réaction. Les entités concernées devraient également envisager de mettre en œuvre des mesures visant à réduire au minimum la surface d’attaque, à réduire les vulnérabilités qui peuvent être exploitées par les auteurs d’attaques, à contrôler l’exécution des applications sur les points terminaux et à déployer des filtres de messagerie électronique et d’applications web afin de réduire l’exposition aux contenus malveillants.

Conformément à l’article 21, paragraphe 2, point g), de la directive (UE) 2022/2555, les États membres doivent veiller à ce que les entités essentielles et importantes appliquent des pratiques élémentaires en matière d’hygiène informatique et de formation à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Parmi les pratiques élémentaires d’hygiène informatique figurent les principes «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, l’organisation d’une formation pour le personnel et la sensibilisation aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, à l’hameçonnage ou aux techniques d’ingénierie sociale. Les pratiques d’hygiène informatique font partie des différentes exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe du présent règlement. En ce qui concerne les pratiques élémentaires en matière d’hygiène informatique pour les utilisateurs, les entités concernées devraient envisager des pratiques telles que des politiques claires relatives aux bureaux et aux écrans, l’utilisation de moyens d’authentification multifactoriels et autres, l’utilisation sûre du courrier électronique et la navigation sur le web, la protection contre l’hameçonnage et l’ingénierie sociale ou encore les pratiques de travail à distance sécurisées.

Afin d’empêcher l’accès non autorisé à leurs actifs, les entités concernées devraient établir et mettre en œuvre une politique spécifique concernant l’accès par des personnes et par des réseaux et systèmes d’information, tels que les applications.

Afin d’éviter que les employés ne puissent abuser, par exemple, des droits d’accès au sein de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée pour causer un préjudice et des dommages, les entités concernées devraient envisager des mesures appropriées de gestion de la sécurité du personnel et sensibiliser le personnel à ces risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les entités concernées devraient établir, communiquer et maintenir une procédure disciplinaire de traitement des violations de leurs politiques de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, qui peut être intégrée dans d’autres procédures disciplinaires établies par ces entités. Les vérifications des antécédents des employés et, s’il y a lieu, des fournisseurs et des prestataires de services directs des entités concernées devraient contribuer à l’objectif de sécurité des ressources humaines dans les entités concernées et peuvent comprendre des mesures telles que des vérifications du casier judiciaire ou des fonctions professionnelles passées de la personne, selon les fonctions qu’elle occupe au sein de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée et conformément à la politique de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée en matière de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.

L’authentification multifactorielle peut renforcer la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des entités et ces dernières devraient l’envisager, en particulier lorsque les utilisateurs accèdent à des réseaux et à des systèmes d’information à distance, ou lorsqu’ils accèdent à des informations sensibles ou à des comptes privilégiés et à des comptes d’administration de systèmes. L’authentification multifactorielle peut être combinée à d’autres techniques pour exiger des facteurs supplémentaires dans des circonstances particulières, sur la base de règles et de modèles prédéfinis, tels que l’accès depuis un lieu inhabituel, à partir d’un dispositif inhabituel ou à un moment inhabituel.

Les entités concernées devraient assurer la gestion et la protection des actifs ayant de la valeur pour elles en mettant en place une gestion saine des actifs qui devrait également servir de base à l’analyse des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et à la gestion de la continuité de l’activité. Les entités concernées devraient gérer à la fois les actifs matériels et immatériels et créer un inventaire des actifs, associer à chaque actif un niveau de classification précis, assurer le traitement et la traçabilité des actifs et prendre des mesures pour les protéger tout au long de leur cycle de vie.

La gestion des actifs devrait consister à classer les actifs en fonction de leur type, de leur sensibilité, de leur niveau de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et des exigences en matière de sécurité, et à appliquer des mesures et des contrôles appropriés pour garantir leur disponibilité, leur intégrité, leur confidentialité et leur authenticité. En classant les actifs par niveau de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, les entités concernées devraient pouvoir appliquer des mesures et des contrôles de sécurité appropriés pour protéger les actifs, telles que le chiffrement, le contrôle d’accès, y compris le contrôle du périmètre et de l’accès physique et logique, les sauvegardes, la journalisation et le suivi, la conservation et l’élimination. Lorsqu’elles procèdent à une analyse d’impact sur l’activité, les entités concernées peuvent déterminer le niveau de classification en fonction des conséquences qu’aurait une perturbation des actifs pour les entités. Tous les membres du personnel des entités qui sont amenés à traiter des actifs doivent connaître les politiques et les instructions en la matière.

Il convient d’adapter le niveau de détail de l’inventaire des actifs aux besoins des entités concernées. Un inventaire complet des actifs pourrait comprendre, pour chaque actif, au moins un identifiant unique, le propriétaire de l’actif, une description de l’actif, la localisation de l’actif, le type d’actif, le type et la classification des informations traitées dans l’actif, la date de la dernière mise à jour ou du dernier correctif de l’actif, le classement de l’actif dans le cadre de l’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et la fin de vie de l’actif. Lorsqu’elles identifient le propriétaire d’un actif, les entités concernées devraient également identifier la personne responsable de la protection de cet actif.

La répartition et l’organisation des rôles, des responsabilités et des pouvoirs en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient permettre de mettre en place une structure cohérente pour la gouvernance et la mise en œuvre de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; au sein des entités concernées, et d’assurer une communication efficace en cas d’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;. Lors de la définition et de l’attribution des responsabilités à certains rôles, les entités concernées devraient notamment tenir compte du rôle du directeur de la sécurité de l’information, du responsable de la sécurité de l’information, du responsable de la gestion des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, de l’auditeur ou d’équivalents comparables. Les entités concernées peuvent attribuer des rôles et des responsabilités à des parties externes, telles que des tiers prestataires de services informatiques.

Conformément à l’article 21, paragraphe 2, de la directive (UE) 2022/2555, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; doivent se fonder sur une approche «tous risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante et aux installations de traitement de l’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les exigences techniques et méthodologiques liées aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels. On peut citer d’autres exemples de menaces physiques et environnementales telles que les tremblements de terre, les explosions, le sabotage, la menace interne, les troubles civils, les déchets toxiques et les émissions dans l’environnement. La prévention de la perte, de la détérioration ou de la compromission de réseaux et systèmes d’information ou de l’interruption de leur fonctionnement en raison de la défaillance et de la perturbation de services d’utilité publique sous-jacents devrait contribuer à l’objectif de continuité de l’activité dans les entités concernées. En outre, la protection contre les menaces physiques et environnementales devrait contribuer à la sécurité de la maintenance des réseaux et des systèmes d’information dans les entités concernées.

Les entités devraient concevoir et mettre en œuvre des mesures de protection contre les menaces physiques et environnementales, fixer des seuils de contrôle minimaux et maximaux pour les menaces physiques et environnementales et surveiller les paramètres environnementaux. Par exemple, elles devraient envisager d’installer des systèmes permettant de détecter à un stade précoce les inondations dans les zones où se trouvent les réseaux et les systèmes d’information. En ce qui concerne le risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; d’incendie, les entités concernées devraient envisager de mettre en place un compartiment coupe-feu séparé pour le centre de données, d’utiliser des matériaux résistant au feu, de recourir à des capteurs pour le contrôle de la température et de l’humidité, de raccorder le bâtiment à un système d’alarme incendie avec notification automatisée aux services locaux de lutte contre les incendies, et de faire appel à des systèmes de détection et d’extinction précoces des incendies. Les entités concernées devraient également procéder régulièrement à des exercices d’incendie et à des inspections de sécurité incendie. En outre, pour assurer l’alimentation électrique, les entités concernées devraient envisager une protection contre les surtensions et une alimentation électrique de secours correspondante, conformément aux normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; applicables. Par ailleurs, étant donné que la surchauffe présente un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la disponibilité des réseaux et des systèmes d’information, les entités concernées, en particulier les fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, pourraient envisager des systèmes de climatisation adéquats, fonctionnant en continu et redondants.

Le présent règlement doit préciser plus en détail les cas dans lesquels un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555. Les critères devraient être tels que les entités concernées soient en mesure d’évaluer si un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; est important afin de le notifier conformément à la directive (UE) 2022/2555. En outre, les critères énoncés dans le présent règlement devraient être considérés comme exhaustifs, sans préjudice de l’article 5 de la directive (UE) 2022/2555. Le présent règlement précise les cas dans lesquels un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; devrait être considéré comme important en définissant des cas horizontaux ainsi que des cas spécifiques à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;.

L’article 23, paragraphe 4, de la directive (UE) 2022/2555 prévoit que les entités concernées notifient les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants dans les délais fixés audit article. Ces délais de notification courent à partir du moment où l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; a connaissance de tels incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants. Par conséquent, l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée est tenue de notifier les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; qui, selon son évaluation initiale, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Par conséquent, lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée a détecté un événement suspect, ou après qu’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; potentiel a été porté à son attention par un tiers, tel qu’un particulier, un client, une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, une autorité, un organisme de médias ou une autre source, l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée devrait évaluer en temps opportun l’événement suspect afin de déterminer s’il constitue un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; et, dans l’affirmative, en déterminer la nature et la gravité. Il convient donc de considérer que l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée a «eu connaissance» de l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important lorsque, après avoir procédé à cette évaluation initiale, elle est raisonnablement certaine qu’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important s’est produit.

Afin d’établir si un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; est important, le cas échéant, les entités concernées devraient compter le nombre d’utilisateurs touchés par l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, en tenant compte des clients professionnels et des clients finaux avec lesquels elles entretiennent une relation contractuelle ainsi que des personnes physiques et morales qui sont associées à des clients professionnels. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de calculer le nombre d’utilisateurs touchés, il y a lieu de prendre en considération, aux fins du calcul du nombre total d’utilisateurs touchés par l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, l’estimation du nombre maximal possible d’utilisateurs touchés effectuée par cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;. L’importance d’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; impliquant un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; devrait être déterminée non seulement par le nombre d’utilisateurs, mais aussi par le nombre de parties utilisatrices, celles-ci pouvant être affectées au même titre par un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important impliquant un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; en ce qui concerne une perturbation opérationnelle ou un préjudice matériel ou moral. Par conséquent, les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; devraient, le cas échéant, également tenir compte du nombre de parties utilisatrices lorsqu’ils établissent si un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; est important. À cette fin, il convient d’entendre par parties utilisatrices des personnes physiques ou morales qui utilisent un service de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;.

Les opérations de maintenance entraînant une disponibilité limitée ou une indisponibilité des services ne devraient pas être considérées comme des incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; importants si la disponibilité limitée ou l’indisponibilité du service survient à la suite d’une opération de maintenance programmée. En outre, l’indisponibilité d’un service en raison d’interruptions telles que des interruptions programmées ou une indisponibilité sur la base d’un accord contractuel prédéterminé ne devrait pas être considérée comme un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important.

La durée d’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; ayant des conséquences sur la disponibilité d’un service devrait être mesurée à partir de l’interruption de la fourniture correcte de ce service jusqu’au moment du rétablissement. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de déterminer le moment à partir duquel l’interruption a commencé, la durée de l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; devrait être mesurée à partir du moment où l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a été détecté, ou de celui où l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a été enregistré dans les journaux du réseau, du système ou d’autres sources de données, selon l’éventualité qui intervient en premier.

L’indisponibilité totale d’un service devrait être mesurée à partir du moment où le service est totalement indisponible pour les utilisateurs et le moment où les activités ou opérations régulières ont retrouvé le niveau de service fourni avant l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée n’est pas en mesure de déterminer quand l’indisponibilité totale d’un service a commencé, cette indisponibilité devrait être mesurée à partir du moment où elle a été détectée par cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;.

Afin de déterminer les pertes financières directes résultant d’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, les entités concernées devraient tenir compte de toutes les pertes financières qu’elles ont subies à la suite de l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, telles que les coûts du remplacement ou du déplacement de logiciels, de matériel ou d’infrastructures, les frais de personnel, y compris les coûts liés au remplacement ou au déménagement du personnel, au recrutement de personnel supplémentaire, à la rémunération des heures supplémentaires et à la récupération des compétences perdues ou altérées, les frais dus au non-respect d’obligations contractuelles, les coûts de dédommagement et d’indemnisation des clients, les pertes dues aux recettes non perçues, les coûts liés à la communication interne et externe, les frais de conseil, y compris les coûts liés au conseil juridique, aux services d’investigation numérique et aux services de remédiation, et les autres coûts liés à l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;. Toutefois, les amendes administratives, ainsi que les coûts qui sont nécessaires à la gestion quotidienne de l’activité, ne devraient pas être considérées comme des pertes financières résultant d’un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, y compris les coûts de maintenance générale des infrastructures, des équipements, du matériel et des logiciels, la mise à jour des compétences du personnel, les coûts internes ou externes pour améliorer l’activité après l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems;, y compris les mises à niveau, les améliorations et les initiatives d’évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, ainsi que les primes d’assurance. Les entités concernées devraient calculer le montant des pertes financières sur la base des données disponibles et avoir recours à une estimation lorsqu’il est impossible de déterminer le montant réel de ces pertes.

Les entités concernées devraient également être tenues de signaler les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; qui ont causé ou sont susceptibles de causer la mort de personnes physiques ou des dommages considérables à la santé de ces dernières, étant donné que ces incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; constituent des cas particulièrement graves de dommages matériels ou moraux considérables. Par exemple, un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; touchant une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée pourrait entraîner l’indisponibilité de services de soins de santé ou d’urgence, ou une perte de confidentialité ou d’intégrité de données ayant une incidence sur la santé des personnes physiques. Pour déterminer si un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique, les entités concernées devraient examiner si l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; a causé ou est susceptible de causer des blessures graves et des problèmes de santé. Les entités concernées ne devraient pas être tenues de recueillir, à cette fin, des informations supplémentaires auxquelles elles n’ont pas accès.

Il y a lieu de considérer que la disponibilité est limitée en particulier lorsqu’un service fourni par une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée est considérablement plus lent que la moyenne, ou lorsque toutes les fonctionnalités d’un service ne sont pas disponibles. Dans la mesure du possible, il convient d’utiliser, pour évaluer les retards dans le délai de réponse, des critères objectifs fondés sur les délais moyens de réponse des services fournis par les entités concernées. Une fonctionnalité d’un service peut être, par exemple, une fonctionnalité de discussion en ligne ou une fonctionnalité de recherche d’images.

Un accès non autorisé effectif et suspecté d’être malveillant aux réseaux et systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée devrait être considéré comme un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important lorsque cet accès est susceptible de causer une perturbation opérationnelle grave. Par exemple, lorsqu’un acteur de cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; se pré-positionne dans le réseau et les systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée en vue de perturber les services à l’avenir, l’incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; devrait être considéré comme important.

Les incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; récurrents qui sont liés par une cause originelle apparente similaire et qui, pris isolément, ne répondent pas aux critères nécessaires pour être considérés comme importants, devraient être considérés collectivement comme constituant un incidentmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; important, à condition qu’ils remplissent collectivement le critère de la perte financière et qu’ils se soient produits au moins deux fois en l’espace de six mois. Ces incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; récurrents peuvent être le signe de défaillances et de faiblesses importantes dans les procédures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée et dans leur niveau de maturité en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. En outre, de tels incidentsmeans an event compromising the availability, authenticity, integrity or confidentiality of stored, transmitted or processed data or of the services offered by, or accessible via, network and information systems; récurrents sont susceptibles de causer des pertes financières importantes à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée.

La Commission a procédé à un échange de points de vue et a coopéré avec le groupe de coopération et l’ENISA sur le projet d’acte d’exécution conformément à l’article 21, paragraphe 5, et à l’article 23, paragraphe 11, de la directive (UE) 2022/2555.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(³)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu son avis le 1.

Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 39 de la directive (UE) 2022/2555,