NIS 2 directive

La base juridique de la directive (UE) 2016/1148 était l’article 114 du traité sur le fonctionnement de l’Union européenne, dont l’objectif est la création et le fonctionnement du marché intérieur par l’amélioration de mesures pour le rapprochement des règles nationales. Les exigences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; imposées aux entités fournissant des services ou exerçant des activités qui sont importantes d’un point de vue économique varient grandement d’un État membre à l’autre en ce qui concerne le type d’exigence, le niveau de précision et la méthode de surveillance. Ces disparités entraînent des coûts supplémentaires et créent des difficultés pour les entités qui fournissent des biens ou des services par-delà les frontières. Les exigences imposées par un État membre et qui diffèrent des exigences imposées par un autre État membre, voire qui les contredisent, peuvent avoir un impact considérable sur ces activités transfrontières. De surcroît, il est probable qu’une conception ou une mise en œuvre inadéquates des exigences de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans un État membre ait des répercussions sur le niveau de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; d’un autre État membre, en particulier en raison de l’intensité des échanges transfrontières. Le réexamen de la directive (UE) 2016/1148 a montré l’existence de fortes divergences dans sa mise en œuvre par les États membres, notamment eu égard à son champ d’application, dont la délimitation a dans une large mesure été laissée à l’appréciation des États membres. La directive (UE) 2016/1148 laissait également un large pouvoir d’appréciation aux États membres en ce qui concerne la mise en œuvre des obligations qu’elle prévoyait en matière de sécurité et de notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Partant, ces obligations ont été mises en œuvre de manières considérablement différentes au niveau national. Des divergences de mise en œuvre similaires ont été constatées s’agissant des dispositions de ladite directive relatives à la supervision et à l’exécution.

L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et peuvent produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyberrésilience en raison de l’application de mesures qui divergent les unes des autres. En fin de compte, ces divergences pourraient aggraver la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; de certains États membres aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, ce qui peut avoir des retombées dans l’ensemble de l’Union. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et en prévoyant des recours et des mesures d’exécution effectifs qui sont essentiels à l’exécution effective de ces obligations. Il convient, par conséquent, d’abroger la directive (UE) 2016/1148 et de la remplacer par la présente directive.

Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociétales essentielles dans le marché intérieur. La présente directive a pour objectif, en particulier, de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques: un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil(30) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).;, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

En vertu de la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant quelles entités relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application d’une règle de plafond, selon laquelle toutes les entités constituant des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission(⁵)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36)., ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui sont actives dans les secteurs, fournissent les types de services et exercent les activités couverts par la présente directive, relèvent de son champ d’application. Les États membres devraient également faire en sorte que certaines petites entreprises et microentreprises au sens de l’article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour la société, les économies ou pour des secteurs ou des types de services particuliers, relèvent également du champ d’application de la présente directive.

L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités dont les activités sont principalement exercées dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines ne devraient pas être exclues du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont donc pas exclues, pour ce motif, du champ d’application de la présente directive. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans des pays tiers ni à leurs réseaux et systèmes d’information, si ces systèmes sont situés dans les locaux de la mission ou sont exploités pour des utilisateurs dans un pays tiers.

Les États membres devraient pouvoir adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sécurité nationale, assurer l’action publique et la sécurité publique et permettre la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. À cette fin, les États membres devraient pouvoir exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, de certaines obligations prévues par la présente directive en ce qui concerne ces activités. Lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; fournit des services exclusivement à une entité de l’administration publique: une entité reconnue comme telle dans un État membre conformément au droit national, à l’exclusion de la justice, des parlements et des banques centrales, qui satisfait aux critères suivants:elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial;elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique;elle est financée majoritairement par l’État, les autorités régionales ou d’autres organismes de droit public, sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou d’autres organismes de droit public;elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux; qui est exclue du champ d’application de la présente directive, les États membres devraient pouvoir exempter cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; de certaines obligations prévues par la présente directive en ce qui concerne lesdits services. En outre, aucun État membre ne devrait être tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale, sa sécurité publique ou sa défense. Les règles nationales ou de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole «Traffic Light Protocol», devraient être pris en compte dans ce contexte. Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer les limitations applicables à la diffusion plus large de ces informations. Il est utilisé par la quasi-totalité des centres de réponse aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité informatique (CSIRT) et par certains centres d’échange et d’analyse d’informations.

Bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.

Certaines entités exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière, tout en fournissant également des services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;. Les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; qui relèvent du champ d’application du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). devraient relever du champ d’application de la présente directive afin d’assurer le même niveau d’exigences de sécurité et de contrôle que celui qui était précédemment prévu dans ledit règlement à l’égard des prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;. Dans le droit fil de l’exclusion de certains services spécifiques du règlement (UE) n^o 910/2014, la présente directive ne devrait pas s’appliquer à la fourniture de services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

Les prestataires de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil(⁷)Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14)., y compris les prestataires de services d’expédition, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri, le transport ou la distribution des envois postaux, y compris les services d’enlèvement, tout en tenant compte de leur degré de dépendance aux réseaux et aux systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient être exclus de la catégorie des services postaux.

Compte tenu de l’intensification et de la sophistication accrue des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, les États membres devraient s’efforcer de faire en sorte que les entités exclues du champ d’application de la présente directive atteignent un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de soutenir la mise en œuvre de mesures équivalentes de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui tiennent compte du caractère sensible de ces entités.

Le droit de l’Union en matière de protection des données et le droit de l’Union en matière de protection de la vie privée s’appliquent à tout traitement de données à caractère personnel au titre de la présente directive. En particulier, la présente directive est sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil(⁸)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). et de la directive 2002/58/CE du Parlement européen et du Conseil(⁹)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).. La présente directive ne devrait donc pas porter atteinte, entre autres, aux tâches et aux compétences des autorités compétentes pour contrôler le respect du droit de l’Union applicable en matière de protection des données et de protection de la vie privée.

Les entités qui relèvent du champ d’application de la présente directive aux fins du respect des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte, le cas échéant, de toute évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; ou orientation sectorielle pertinente réalisée par les autorités compétentes. Les régimes de supervision et d’exécution applicables à ces deux catégories d’entités devraient être différenciés afin de garantir un juste équilibre entre les exigences et les obligations basées sur les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, d’une part, et la charge administrative qui découle du contrôle de la conformité, d’autre part.

Afin d’éviter que des entités ayant des entreprises partenaires ou des entreprises liées ne soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres sont en mesure de tenir compte du degré d’indépendance dont jouit une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; à l’égard de ses partenaires et de ses entreprises liées lorsqu’ils appliquent l’article 6, paragraphe 2, de l’annexe de la recommandation 2003/361/CE. En particulier, les États membres sont en mesure de tenir compte du fait qu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est indépendante de son partenaire ou d’entreprises liées en ce qui concerne le réseau et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit. Sur cette base, s’il y a lieu, les États membres peuvent considérer qu’une telle entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte. Cela ne modifie en rien les obligations prévues par la présente directive pour les entreprises partenaires et les entreprises liées qui relèvent du champ d’application de la présente directive.

Les États membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la présente directive, comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Afin de permettre une vue d’ensemble claire des entités relevant du champ d’application de la présente directive, les États membres devraient établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. À cette fin, les États membres devraient exiger des entités qu’elles communiquent aux autorités compétentes au moins les informations suivantes, à savoir le nom, l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, et, le cas échéant, le secteur et le sous-secteur concernés visés dans les annexes, ainsi que, le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive. À cette fin, la Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ENISA), devrait fournir, sans retard injustifié, des lignes directrices et des modèles concernant les obligations de communiquer des informations. Afin de faciliter l’établissement et la mise à jour de la liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine, les États membres devraient pouvoir mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes. Lorsque des registres existent au niveau national, les États membres peuvent décider des mécanismes appropriés permettant d’identifier les entités relevant du champ d’application de la présente directive.

Les États membres devraient être chargés de communiquer à la Commission au moins le nombre d’entités essentielles et importantes pour chaque secteur et sous-secteur visés dans les annexes, ainsi que les informations pertinentes sur le nombre d’entités identifiées et la disposition, parmi celles prévues par la présente directive, sur la base de laquelle elles ont été identifiées, et le type de service qu’elles fournissent. Les États membres sont encouragés à échanger avec la Commission des informations sur les entités essentielles et importantes et, en cas d’incident de cybersécurité majeur: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres;, des informations pertinentes telles que le nom de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée.

La Commission devrait, en coopération avec le groupe de coopération et après consultation des acteurs concernés, fournir des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux petites entreprises permettant de déterminer si elles relèvent du champ d’application de la présente directive. La Commission devrait également veiller à ce que des orientations appropriées soient données aux microentreprises et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec l’aide des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard.

La Commission pourrait formuler des orientations afin d’aider les États membres à mettre en œuvre les dispositions de la présente directive relatives au champ d’application, et d’évaluer la proportionnalité des mesures devant être prises au titre de la présente directive, en particulier en ce qui concerne les entités dotées de modèles économiques ou d’environnements d’exploitation complexes, qui font qu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; peut satisfaire à la fois aux critères attribués aux entités essentielles et importantes, ou exercer simultanément des activités dont certaines relèvent du champ d’application de la présente directive et d’autres non.

La présente directive définit les exigences minimales pour les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information dans tous les secteurs relevant de son champ d’application. Afin d’éviter la fragmentation des dispositions en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des actes juridiques de l’Union, lorsque des actes juridiques sectoriels supplémentaires de l’Union relatifs aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et aux obligations d’information sont jugés nécessaires pour garantir un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans toute l’Union, la Commission devrait évaluer si de telles dispositions supplémentaires pourraient être prévues dans un acte d’exécution au titre de la présente directive. Si un tel acte d’exécution devait ne pas convenir à cette fin, les actes juridiques sectoriels de l’Union pourraient contribuer à garantir un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans toute l’Union tout en tenant pleinement compte du caractère spécifique et complexe des secteurs concernés. À cette fin, la présente directive n’empêche pas l’adoption d’actes juridiques sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information qui tiennent dûment compte de la nécessité d’un cadre global et cohérent en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. La présente directive est sans préjudice des compétences d’exécution existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

Lorsque des actes juridiques sectoriels de l’Union contiennent des dispositions imposant à des entités essentielles ou importantes d’adopter des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou de notifier les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, lesdites dispositions, y compris celles relatives à la supervision et à l’exécution, devraient s’appliquer auxdites entités. Lorsqu’un acte sectoriel de l’Union ne couvre pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive devraient continuer de s’appliquer aux entités non couvertes par ledit acte.

Lorsque les dispositions d’un acte juridique sectoriel de l’Union imposent aux entités essentielles ou importantes de se conformer à des obligations d’information ayant un effet au moins équivalent à celui des obligations d’information prévues dans la présente directive, il convient d’assurer la cohérence et l’efficacité du traitement des notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. À cette fin, les dispositions relatives à la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de l’acte juridique sectoriel de l’Union devraient fournir aux CSIRT, aux autorités compétentes ou aux points de contact uniques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; (ci-après dénommés «points de contact uniques») en vertu de la présente directive un accès immédiat aux notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; soumises conformément à l’acte juridique sectoriel de l’Union. En particulier, cet accès immédiat peut être garanti si les notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; sont transmises sans retard injustifié au CSIRT, à l’autorité compétente ou au point de contact unique en vertu de la présente directive. S’il y a lieu, les États membres devraient mettre en place un mécanisme d’information automatique et directe qui garantisse un partage systématique et immédiat des informations avec les CSIRT, les autorités compétentes ou les points de contact uniques concernant le traitement de ces notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Afin de simplifier les signalements et de mettre en œuvre le mécanisme d’information automatique et directe, les États membres pourraient, conformément à l’acte juridique sectoriel de l’Union, utiliser un point d’entrée unique.

Les actes juridiques sectoriels de l’Union qui prévoient des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou des obligations d’information ayant un effet au moins équivalent à celui des obligations d’information prévues dans la présente directive pourraient prévoir que les autorités compétentes en vertu desdits actes exercent leurs pouvoirs de supervision et d’exécution à l’égard de ces mesures ou obligations avec l’assistance des autorités compétentes en vertu de la présente directive. Les autorités compétentes concernées pourraient établir des accords de coopération à cet effet. Ces accords de coopération pourraient préciser, entre autres, les procédures relatives à la coordination des activités de supervision, y compris les procédures d’enquête et d’inspection sur place conformément au droit national ainsi qu’un mécanisme d’échange des informations pertinentes sur la supervision et l’exécution entre les autorités compétentes, y compris l’accès aux informations relatives au cyberespace demandées par les autorités compétentes en vertu de la présente directive.

Lorsque des actes juridiques sectoriels de l’Union imposent aux entités de notifier les cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; ou les incitent à le faire, les États membres devraient également encourager le partage d’informations sur les cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; avec les CSIRT, les autorités compétentes ou les points de contact uniques au titre de la présente directive, afin de garantir un niveau accru de sensibilisation de ces organismes au paysage des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et de leur permettre de réagir efficacement et en temps utile si les cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; se concrétisent.

Les futurs actes juridiques sectoriels de l’Union devraient tenir dûment compte des définitions et du cadre de supervision et d’exécution établis dans la présente directive.

Le règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹⁰)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (voir page 1 du présent Journal officiel). devrait être considéré comme un acte juridique sectoriel de l’Union en lien avec la présente directive en ce qui concerne les entités financières. Les dispositions du règlement (UE) 2022/2554 portant sur les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; concernant les technologies de l’information et de la communication (TIC), la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; liés aux TIC et notamment la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; majeurs liés aux TIC, ainsi que sur le test de la résilience opérationnelle numérique, les accords de partage d’informations et les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; liés aux tiers en matière de TIC devraient s’appliquer au lieu de celles prévues par la présente directive. Les États membres ne devraient par conséquent pas appliquer aux entités financières relevant du règlement (UE) 2022/2554 les dispositions de la présente directive concernant la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information ainsi que la supervision et l’exécution. Dans le même temps, il est important de conserver une relation forte et de maintenir l’échange d’informations avec le secteur financier dans le cadre de la présente directive. À cet effet, le règlement (UE) 2022/2554 permet aux autorités européennes de surveillance (AES) et aux autorités compétentes en vertu dudit règlement de participer aux activités du groupe de coopération, ainsi que d’échanger des informations et de coopérer avec les points de contact uniques ainsi qu’avec les CSIRT et les autorités compétentes en vertu de la présente directive. Les autorités compétentes en vertu du règlement (UE) 2022/2554 devraient également communiquer les détails des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; majeurs liés aux TIC et, s’il y a lieu, des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la présente directive. Cela est réalisable en prévoyant un accès immédiat aux notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et en les transmettant soit directement, soit par l’intermédiaire d’un point d’entrée unique. De plus, les États membres devraient continuer d’inclure le secteur financier dans leur stratégie en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les CSIRT peuvent inclure le secteur financier dans leurs activités.

Afin d’éviter les écarts et les doubles emplois en ce qui concerne les obligations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; imposées aux entités du secteur de l’aviation, les autorités nationales en vertu des règlements (CE) n^o 300/2008(¹¹)Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72). et (UE) 2018/1139(¹²)Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n^o 2111/2005, (CE) n^o 1008/2008, (UE) n^o 996/2010, (UE) n^o 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n^o 552/2004 et (CE) n^o 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n^o 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1). du Parlement européen et du Conseil et les autorités compétentes en vertu de la présente directive devraient coopérer pour la mise en œuvre des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et la surveillance du respect de ces mesures au niveau national. Le respect par une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; des exigences de sécurité prévues dans les règlements (CE) n^o 300/2008 et (UE) 2018/1139 et dans les actes délégués et d’exécution pertinents adoptés en vertu de ces règlements pourrait être considéré par les autorités compétentes en vertu de la présente directive comme constituant le respect des exigences correspondantes prévues dans la présente directive.

Vu les liens qui existent entre la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) 2022/2557 du Parlement européen et du Conseil(¹³)Règlement (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil (voir page 164 du présent Journal officiel). et la présente directive. À cet effet, les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles en vertu de la présente directive. De plus, chaque État membre devrait veiller à ce que sa stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; prévoie un cadre d’action pour une coordination renforcée en son sein entre ses autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557, dans le contexte du partage d’informations relatives aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et aux menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi qu’aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et aux menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; non liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et de l’exercice des tâches de supervision. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard injustifié, notamment en ce qui concerne le recensement des entités critiques, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, les menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, menaces et incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; non liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; affectant les entités critiques, y compris les mesures physiques et de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adoptées par les entités critiques ainsi que les résultats des activités de supervision réalisées à l’égard de ces entités.

Les entités appartenant au secteur des infrastructures numériques sont par nature fondées sur les réseaux et les systèmes d’information et, par conséquent, les obligations qui leur incombent en vertu de la présente directive devraient porter, de manière globale, sur la sécurité physique de ces systèmes, dans le cadre de leurs mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de leurs obligations d’information. Ces questions étant régies par la présente directive, les obligations prévues aux chapitres III, IV et VI de la directive (UE) 2022/2557 ne s’appliquent pas à ces entités.

Le fait de soutenir et préserver un système de noms de domaineou «DNS»: un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources; (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer aux registres de noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; et aux fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, qui doivent s’entendre comme des entités fournissant des services de résolution de noms de domaine récursifs publiquement disponibles pour les utilisateurs finaux de l’internet ou des services de résolution de noms de domaine faisant autorité pour l’utilisation par des tiers. La présente directive ne devrait pas s’appliquer aux serveurs racines de noms de domaine.

Les services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits; devraient couvrir les services numériques: un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil(30) Directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information (JO L 241 du 17.9.2015, p. 1).; qui permettent la gestion sur demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits. Les ressources informatiques comprennent des ressources telles que les réseaux, les serveurs ou d’autres infrastructures, les systèmes d’exploitation, les logiciels, le stockage, les applications et les services. Les modèles de services liés à l’informatique en nuage comprennent, entre autres, les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Les modèles de déploiement de l’informatique en nuage devraient inclure les modèles privés, communautaires, publics et hybrides en nuage. Les services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits; et les modèles de déploiement revêtent le même sens que celui des conditions de service et des modèles de déploiement définis dans la norme: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; ISO/CEI 17788:2014. La capacité des utilisateurs de l’informatique en nuage de se fournir eux-mêmes unilatéralement en capacités informatiques, comme du temps de serveur ou du stockage en réseau, sans aucune intervention humaine de la part du fournisseur de service d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, pourrait être décrite comme une gestion sur demande.

Vu l’émergence de technologies innovantes et de nouveaux modèles commerciaux, de nouveaux modèles de service d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits; et de déploiement devraient apparaître sur le marché intérieur en réaction aux besoins changeants des clients. Dans un tel contexte, les services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits; peuvent être fournis sous une forme extrêmement distribuée, toujours plus près de l’endroit où les données sont générées ou collectées, entraînant ainsi une transition du modèle traditionnel vers un modèle très distribué (le traitement des données à la périphérie, ou «edge computing»).

Il se peut que les services proposés par les fournisseurs de services de centre de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental; ne soient pas fournis sous la forme de service d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;. En conséquence, il se peut que les centres de données ne fassent pas partie d’une infrastructure d’informatique en nuage. Afin de gérer l’ensemble des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; qui menacent la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;, la présente directive devrait dès lors couvrir les fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental; qui ne sont pas des services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;. Aux fins de la présente directive, le terme «service de centre de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;» devrait couvrir la fourniture d’un service qui englobe les structures, ou les groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des équipements de technologie de l’information (TI) et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et des infrastructures de distribution d’électricité et de contrôle environnemental. Le terme «service de centre de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;» ne devrait pas s’appliquer aux centres de données internes propres à une entreprise et exploités par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée pour ses propres besoins.

Les activités de recherche jouent un rôle clé dans le développement de nouveaux produits et processus. Nombre de ces activités sont menées par des entités qui partagent, diffusent ou exploitent les résultats de leurs recherches à des fins commerciales. Ces entités peuvent donc être des acteurs importants dans les chaînes de valeur, ce qui fait de la sécurité de leurs réseaux et systèmes d’information une partie intégrante de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; globale du marché intérieur. L’expression «organismes de recherche: une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement.» devrait s’entendre comme incluant les entités qui concentrent l’essentiel de leurs activités sur la conduite de la recherche appliquée ou du développement expérimental, au sens du Manuel de Frascati 2015 de l’Organisation de coopération et de développement économiques: Lignes directrices pour le recueil et la communication des données sur la recherche et le développement expérimental, en vue d’exploiter leurs résultats à des fins commerciales, telles que la fabrication ou la mise au point d’un produit ou d’un processus, la fourniture d’un service, ou la commercialisation d’un produit, d’un processus ou d’un service.

Les interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs tels que l’énergie, les transports, les infrastructures numériques, l’eau potable, les eaux usées, la santé, certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des conséquences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. L’intensification des cyberattaques pendant la pandémie de COVID-19 a mis en évidence la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; de nos sociétés de plus en plus interdépendantes face à des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; peu probables.

Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords sectoriels existants ou les autorités de surveillance et de régulation de l’Union, les États membres devraient pouvoir désigner ou créer une ou plusieurs autorités compétentes chargées de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des tâches de supervision dans le cadre de la présente directive.

Afin de faciliter la coopération et la communication transfrontières entre les autorités et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre désigne un point de contact unique chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; et de la coopération transfrontière au niveau de l’Union.

Les points de contact uniques devraient assurer une coopération transfrontière efficace avec les autorités compétentes des autres États membres et, s’il y a lieu, avec la Commission et l’ENISA. Les points de contact uniques devraient dès lors être chargés de transmettre les notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants ayant un impact transfrontière aux points de contact uniques des autres États membres touchés à la demande du CSIRT ou de l’autorité compétente. Au niveau national, les points de contact uniques devraient permettre une coopération intersectorielle harmonieuse avec les autorités compétentes. Les points de contact uniques pourraient également être les destinataires des informations pertinentes portant sur les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; concernant les entités du secteur financier fournies par les autorités compétentes en vertu du règlement (UE) 2022/2554, qu’ils devraient pouvoir transmettre, s’il y a lieu, aux CSIRT ou aux autorités compétentes en vertu de la présente directive.

Les États membres devraient disposer de capacités suffisantes, sur les plans technique et organisationnel, pour prévenir et détecter les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, y réagir et en atténuer l’impact. Les États membres devraient dès lors créer ou désigner un ou plusieurs CSIRT en vertu de la présente directive et veiller à ce qu’ils disposent des ressources et des capacités techniques adéquates. Les CSIRT devraient se conformer aux exigences établies dans la présente directive afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et d’assurer une coopération efficace au niveau de l’Union. Les États membres devraient pouvoir désigner des équipes d’intervention en cas d’urgence informatique (CERT) existants en tant que CSIRT. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient pouvoir envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de supervision des autorités compétentes.

Les CSIRT sont chargés de la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Cela comprend le traitement de grands volumes de données parfois sensibles. Les États membres devraient veiller à ce que les CSIRT disposent d’une infrastructure de partage et de traitement de l’information ainsi que d’un personnel bien équipé qui garantissent la confidentialité et la fiabilité de leurs opérations. Les CSIRT pourraient également adopter des codes de conduite à cet égard.

En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679, à la demande d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante, un scan proactif des réseaux et des systèmes d’information utilisés pour la fourniture des services de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;. Le cas échéant, les États membres devraient œuvrer à assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres devraient pouvoir solliciter l’assistance de l’ENISA pour la mise en place de leurs CSIRT.

Les CSIRT devraient avoir la faculté, à la demande d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante, de surveiller les ressources de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; en question connectées à l’internet, à la fois sur site et hors site, afin de repérer, comprendre et gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; organisationnels globaux encourus par cette entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; face aux compromissions nouvellement découvertes dans les chaînes d’approvisionnement ou vulnérabilités critiques. L’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; devrait être encouragée à indiquer au CSIRT si elle gère une interface de gestion privilégiée, car cela pourrait avoir un impact sur la rapidité de mise en œuvre de mesures d’atténuation.

Compte tenu de l’importance de la coopération internationale en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive. Par conséquent, aux fins de l’accomplissement de leurs tâches, les CSIRT et les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les centres de réponses aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité informatique nationaux ou les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l’Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l’article 49 du règlement (UE) 2016/679, soient remplies.

Il est essentiel de garantir des ressources suffisantes pour atteindre les objectifs de la présente directive et de donner aux autorités compétentes et aux CSIRT les moyens d’accomplir les tâches qu’elle prévoit. Les États membres peuvent mettre en place, au niveau national, un mécanisme de financement destiné à couvrir les dépenses nécessaires à l’exécution des tâches des entités publiques chargées de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’État membre en vertu de la présente directive. Ce mécanisme devrait être conforme au droit de l’Union, proportionné et non discriminatoire et devrait tenir compte des différentes approches en matière de fourniture de services sécurisés.

Le réseau des CSIRT devrait continuer de contribuer à renforcer la confiance et à promouvoir une coopération opérationnelle rapide et efficace entre les États membres. Afin de renforcer la coopération opérationnelle au niveau de l’Union, le réseau des CSIRT devrait envisager d’inviter les organes et organismes de l’Union associés à la politique de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, tels qu’Europol, à participer à ses travaux.

Afin d’atteindre et de maintenir un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les stratégies nationales en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; requises au titre de la présente directive devraient consister en des cadres cohérents prévoyant des objectifs stratégiques et des priorités dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de la gouvernance pour les atteindre. Ces stratégies peuvent se composer d’un ou de plusieurs instruments législatifs ou non législatifs.

Les politiques de cyberhygiène jettent les bases qui permettent de protéger la sécurité des infrastructures des réseaux et systèmes d’information, du matériel, des logiciels et des applications en ligne, ainsi que les données relatives aux entreprises ou aux utilisateurs finaux sur lesquelles les entités s’appuient. Les politiques de cyberhygiène qui comportent une base commune de pratiques incluant les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ou aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;. L’ENISA devrait suivre et analyser les politiques des États membres en matière de cyberhygiène.

La sensibilisation à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et la cyberhygiène sont essentielles pour améliorer le niveau de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; au sein de l’Union, compte tenu notamment du nombre croissant de dispositifs connectés qui sont de plus en plus utilisés dans les cyberattaques. Des efforts devraient être consentis pour améliorer la prise de conscience globale des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; liés à ces dispositifs, tandis que les évaluations au niveau de l’Union pourraient contribuer à garantir une compréhension commune de ces risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; au sein du marché intérieur.

Les États membres devraient encourager l’utilisation de toute technologie innovante, y compris l’intelligence artificielle, dont l’utilisation pourrait améliorer la détection et la prévention des cyberattaques, ce qui permettrait de réorienter plus efficacement les ressources vers les cyberattaques. Les États membres devraient dès lors encourager, dans le cadre de leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, les activités de recherche et de développement visant à faciliter l’utilisation de ces technologies, en particulier celles relatives aux outils automatisés ou semi-automatisés en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et, s’il y a lieu, le partage des données nécessaires pour former les utilisateurs de ces technologies et les améliorer. L’utilisation de toute technologie innovante, y compris l’intelligence artificielle, devrait être conforme au droit de l’Union en matière de protection des données, y compris aux principes de protection des données relatifs à l’exactitude des données, à la minimisation des données, à l’équité et à la transparence, et à la sécurité des données, comme les méthodes de chiffrement de pointe. Les exigences de protection des données dès la conception et par défaut, prévues par le règlement (UE) 2016/679, doivent être pleinement exploitées.

Les outils et applications de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en sources ouvertes peuvent contribuer à augmenter le degré d’ouverture et avoir un effet positif sur l’efficacité de l’innovation industrielle. Les normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; ouvertes facilitent l’interopérabilité entre les outils de sécurité, ce qui profite à la sécurité des acteurs industriels. Les outils et applications de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en sources ouvertes peuvent mobiliser la communauté des développeurs au sens large, ce qui permet de diversifier les fournisseurs. Les sources ouvertes peuvent conduire à un processus de vérification plus transparent des outils liés à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et à un processus communautaire de détection des vulnérabilités. Les États membres devraient donc être en mesure de promouvoir l’utilisation de logiciels libres et de normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; ouvertes en appliquant des politiques relatives à l’utilisation de données ouvertes et de codes sources ouverts dans le cadre de la sécurité par la transparence. Les politiques qui promeuvent l’introduction et l’utilisation durable d’outils de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en sources ouvertes revêtent une importance particulière pour les petites et moyennes entreprises exposées à des coûts de mise en œuvre importants, qui peuvent être atténués grâce à une moindre nécessité d’applications ou d’outils spécifiques.

Les équipements sont de plus en plus connectés aux réseaux numériques dans les villes, dans le but d’améliorer les réseaux de transport urbain, d’améliorer l’approvisionnement en eau et les installations d’élimination des déchets et d’accroître l’efficacité de l’éclairage et du chauffage des bâtiments. Ces équipements numérisés sont vulnérables aux cyberattaques et risquent, en cas de succès d’une cyberattaque, de nuire à un grand nombre de citoyens en raison de leur interconnexion. Les États membres devraient élaborer une politique qui tienne compte du développement de ces villes connectées ou intelligentes et de leurs effets potentiels sur la société, dans le cadre de leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;.

Ces dernières années, l’Union a été confrontée à une augmentation exponentielle des attaques de rançongiciels, dans lesquelles des logiciels malveillants chiffrent les données et les systèmes et exigent un paiement de rançon pour les débloquer. La fréquence et la gravité croissantes des attaques par rançongiciel peuvent s’expliquer par plusieurs facteurs, tels que les différents schémas d’attaque, les modèles commerciaux criminels entourant le «rançongiciel en tant que service» et les cryptomonnaies, les demandes de rançon et l’augmentation des attaques contre la chaîne d’approvisionnement. Les États membres devraient élaborer une politique s’attaquant à l’augmentation des attaques de rançongiciels dans le cadre de leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;.

Les partenariats public-privé (PPP) dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; peuvent offrir le cadre adapté pour les échanges de connaissances, le partage des bonnes pratiques et l’établissement d’un niveau de compréhension commun à toutes les parties prenantes. Les États membres devraient promouvoir des politiques favorisant l’établissement de PPP de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Ces politiques devraient clarifier, entre autres, la portée des PPP ainsi que les parties prenantes impliquées, le modèle de gouvernance, les options de financement disponibles et les interactions entre les parties prenantes participantes en ce qui concerne les PPP. Les PPP peuvent s’appuyer sur les connaissances d’expert des entités du secteur privé pour aider les autorités compétentes à développer des services et processus de pointe, comprenant les échanges d’informations, les alertes rapides, les exercices de gestion des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, la gestion des crises et la planification de la résilience.

Les États membres devraient, dans leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, répondre aux besoins spécifiques des petites et moyennes entreprises en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les petites et moyennes entreprises représentent, dans l’Union, un grand pourcentage du marché de l’industrie et des entreprises et elles éprouvent souvent des difficultés à s’adapter aux nouvelles pratiques commerciales dans un monde plus connecté et à l’environnement numérique, avec des salariés qui travaillent à domicile et des affaires qui se font de plus en plus en ligne. Certaines petites et moyennes entreprises sont confrontées à des défis spécifiques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, tels qu’une faible sensibilisation à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et un niveau accru de menaces, comme les rançongiciels, pour lesquels elles devraient recevoir des orientations et une assistance. Les petites et moyennes entreprises sont de plus en plus la cible d’attaques de la chaîne d’approvisionnement en raison de leurs mesures moins rigoureuses de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de gestion des attaques, et du fait qu’elles disposent de ressources limitées en matière de sécurité. Ces attaques de la chaîne d’approvisionnement ont non seulement un impact sur les petites et moyennes entreprises et leurs activités propres, mais peuvent également avoir un effet en cascade dans le cadre des attaques de plus grande ampleur contre les entités qu’elles ont approvisionnées. Les États membres devraient, au travers de leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, aider les petites et moyennes entreprises à relever les défis qu’elles rencontrent dans leurs chaînes d’approvisionnement. Les États membres devraient disposer d’un point de contact pour les petites et moyennes entreprises au niveau national ou régional, qui fournisse soit des orientations et une assistance aux petites et moyennes entreprises, soit les oriente vers les organismes appropriés pour leur fournir des orientations et une assistance en ce qui concerne les questions liées à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les États membres sont également encouragés à proposer des services tels que la configuration de sites internet et la journalisation pour les petites entreprises et les microentreprises qui ne disposent pas de ces capacités.

Dans leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, les États membres devraient adopter des politiques de promotion de la cyberprotection active dans le cadre d’une stratégie plus large de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Plutôt que de d’agir de manière réactive, la cyberprotection active consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation actives des violations de la sécurité du réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. Il pourrait s’agir d’États membres offrant des services ou des outils gratuits à certaines entités, y compris des contrôles en libre-service, des outils de détection et des services de retrait. La capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la prévention, la détection, le traitement et le blocage des attaques ciblant des réseaux et systèmes d’information. La cyberprotection active repose sur une stratégie défensive qui exclut les mesures offensives.

Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Les entités qui mettent au point ou administrent des réseaux et systèmes d’information devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et divulguées par des tiers, le fabricant de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou le fournisseur de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; internationales ISO/CEI 30111 et ISO/CEI 29147 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités. Le renforcement de la coordination entre les personnes physiques et morales effectuant le signalement et les fabricants de produits ou les fournisseurs de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées au fabricant ou au fournisseur de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; potentiellement vulnérables, de manière à leur donner la possibilité de diagnostiquer la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre la personne physique ou morale effectuant le signalement et le fabricant ou le fournisseur de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; potentiellement vulnérables en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

La Commission, l’ENISA et les États membres devraient continuer à encourager l’alignement sur les normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; internationales et les bonnes pratiques existantes du secteur en matière de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, par exemple dans les domaines des évaluations de la sécurité de la chaîne d’approvisionnement, du partage d’informations et de la divulgation des vulnérabilités.

Les États membres, en coopération avec l’ENISA, devraient adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en mettant en place une politique nationale pertinente. Dans le cadre de leur politique nationale, les États membres devraient s’efforcer de relever, dans la mesure du possible, les défis auxquels sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à la responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Les États membres devraient désigner un de leurs CSIRT en tant que coordinateur et agir comme un intermédiaire de confiance entre les personnes physiques ou morales effectuant le signalement et les fabricants de produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; ou les fournisseurs de services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; susceptibles d’être touchés par la vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;, lorsque cela est nécessaire. Les tâches du CSIRT désigné comme coordinateur devraient impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs entités (divulgation multipartite coordonnée de vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;). Lorsque les vulnérabilités signalées pourraient avoir un impact important sur des entités de plusieurs États membres, les CSIRT désignés comme coordinateurs devraient, s’il y a lieu, coopérer au sein du réseau des CSIRT.

L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; et services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; contribue à une meilleure gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et les utilisateurs, mais également pour les autorités compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données européenne des vulnérabilités dans laquelle les entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, et leurs fournisseurs de réseaux et de systèmes d’information, ainsi que les autorités compétentes et les CSIRT, peuvent, à titre volontaire, divulguer et enregistrer les vulnérabilités publiquement connues afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées. L’objectif de cette base de données est de relever les défis uniques que posent les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; aux entités de l’Union. En outre, l’ENISA devrait établir une procédure adéquate en ce qui concerne le processus de publication, afin de donner aux entités le temps de prendre des mesures d’atténuation à l’égard de leurs vulnérabilités, et recourir aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; les plus récentes, ainsi qu’aux ensembles de données lisibles par machine et aux interfaces correspondantes. Afin d’encourager une culture de divulgation des vulnérabilités, une divulgation ne devrait pas se faire au détriment de la personne physique ou morale qui effectue le signalement.

Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Une base de données européenne des vulnérabilités gérée par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace; et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurée avec les bases de données ou registres similaires qui relèvent de la compétence de pays tiers. L’ENISA devrait en particulier étudier la possibilité d’une coopération étroite avec les opérateurs du système des vulnérabilités et expositions courantes (CVE).

Le groupe de coopération devrait soutenir et faciliter la coopération stratégique ainsi que l’échange d’informations, et renforcer la confiance entre les États membres. Le groupe de coopération devrait élaborer un programme de travail tous les deux ans. Le programme de travail devrait inclure les actions que le groupe de coopération doit réaliser afin de mettre en œuvre ses objectifs et ses tâches. Le calendrier d’élaboration du premier programme de travail adopté au titre de la présente directive devrait être aligné sur le calendrier du dernier programme de travail adopté au titre de la directive (UE) 2016/1148 afin d’éviter de perturber les travaux du groupe de coopération.

Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques, notamment en vue de faciliter l’alignement de la transposition de la présente directive entre les États membres, auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération pourrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; appliquées à chaque secteur spécifique à travers l’Union. Cela est tout particulièrement pertinent pour les secteurs qui ont un caractère international ou transfrontière.

Le groupe de coopération devrait demeurer un forum souple et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il pourrait organiser régulièrement des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe de coopération et de recueillir des données et des informations sur les nouveaux défis politiques. En outre, le groupe de coopération devrait procéder à une évaluation régulière de l’état d’avancement des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; ou incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, tels que les rançongiciels. Afin d’améliorer la coopération au niveau de l’Union, le groupe de coopération devrait envisager d’inviter les institutions, organes et organismes de l’Union pertinents participant à la politique de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, comme le Parlement européen, Europol, le Comité européen de la protection des données, l’Agence de l’Union européenne pour la sécurité aérienne, établie par le règlement (UE) 2018/1139, et l’Agence de l’Union européenne pour le programme spatial, établie par le règlement (UE) 2021/696 du Parlement européen et du Conseil(¹⁴)Règlement (UE) 2021/696 du Parlement européen et du Conseil du 28 avril 2021 établissant le programme spatial de l’Union et l’Agence de l’Union européenne pour le programme spatial et abrogeant les règlements (UE) n^o 912/2010, (UE) n^o 1285/2013 et (UE) n^o 377/2014 et la décision n^o 541/2014/UE (JO L 170 du 12.5.2021, p. 69)., à participer à ses travaux.

Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres, dans un cadre spécifique et, s’il y a lieu, dans le respect de l’habilitation de sécurité requise des agents qui participent à de tels programmes d’échange, afin d’améliorer la coopération et de renforcer la confiance parmi les États membres. Les autorités compétentes devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte ou du CSIRT hôte.

Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; présenté dans la recommandation (UE) 2017/1584 de la Commission(¹⁵)Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36). via les réseaux de coopération existants, en particulier le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure qui précisent les conditions de cette coopération et éviter toute duplication des tâches. Le règlement intérieur d’EU-CyCLONe devrait préciser plus avant les modalités selon lesquelles le réseau devrait fonctionner, y compris les missions, les moyens de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré de l’Union pour une réaction au niveau politique dans les situations de crise en vertu de la décision d’exécution (UE) 2018/1993 du Conseil(¹⁶)Décision d’exécution (UE) 2018/1993 du Conseil du 11 décembre 2018 concernant le dispositif intégré de l’Union européenne pour une réaction au niveau politique dans les situations de crise (JO L 320 du 17.12.2018, p. 28). (ci-après dénommé «dispositif IPCR»). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune, le système de réponse aux crises du Service européen pour l’action extérieure devrait être activé.

Conformément à l’annexe de la recommandation (UE) 2017/1584, par «incident de cybersécurité majeur: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres;» on devrait entendre un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné ou qui frappent plusieurs États membres. En fonction de leur cause et de leur impact, les incidents de cybersécurité majeurs: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres; peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou présentant de graves risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de sûreté et de sécurité publiques pour les entités ou les citoyens dans plusieurs États membres ou dans l’Union dans son ensemble. Vu la large portée et, dans la plupart des cas, la nature transfrontière de ces incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les États membres et les institutions, organes et organismes compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.

Les incidents de cybersécurité majeurs: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres; et les crises au niveau de l’Union nécessitent une action coordonnée pour assurer une réaction rapide et efficace, en raison du degré élevé d’interdépendance entre les secteurs et les États membres. La disponibilité de réseaux et de systèmes d’information cyberrésilients ainsi que la disponibilité, la confidentialité et l’intégrité des données sont essentielles pour la sécurité de l’Union et pour la protection de ses citoyens, de ses entreprises et de ses institutions contre les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, ainsi que pour renforcer la confiance des personnes et des organisations dans la capacité de l’Union à promouvoir et à protéger un cyberespace mondial, ouvert, libre, stable et sûr fondé sur les droits de l’homme, les libertés fondamentales, la démocratie et l’état de droit.

EU-CyCLONe devrait servir d’intermédiaire entre les niveaux technique et politique lors d’incidents de cybersécurité majeurs: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres; et de crises et devrait renforcer la coopération au niveau opérationnel et soutenir la prise de décision au niveau politique. En coopération avec la Commission, compte tenu de la compétence de cette dernière en matière de gestion des crises, EU-CyCLONe devrait s’appuyer sur les conclusions du réseau des CSIRT et utiliser ses propres capacités pour créer une analyse d’impact des incidents de cybersécurité majeurs: un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres; et des crises.

Les cyberattaques sont de nature transfrontière et un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important peut perturber et endommager des infrastructures d’information critiques dont dépend le bon fonctionnement du marché intérieur. La recommandation (UE) 2017/1584 porte sur le rôle de tous les acteurs concernés. En outre, la Commission est responsable, dans le cadre du mécanisme de protection civile de l’Union, établi par la décision n^o 1313/2013/UE du Parlement européen et du Conseil(¹⁷)Décision n^o 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union (JO L 347 du 20.12.2013, p. 924)., des actions générales en matière de préparation, comprenant la gestion du centre de coordination de la réaction d’urgence et du système commun de communication et d’information d’urgence, du maintien et du développement de la capacité d’appréciation et d’analyse de la situation, ainsi que de la mise en place et de la gestion des ressources permettant de mobiliser et d’envoyer des équipes d’experts en cas de demande d’aide émanant d’un État membre ou d’un pays tiers. La Commission est également chargée de fournir des rapports analytiques pour le dispositif IPCR au titre de la décision d’exécution (UE) 2018/1993, y compris en ce qui concerne la connaissance de la situation et la préparation en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que la connaissance de la situation et la réaction aux crises dans les domaines de l’agriculture, des conditions météorologiques défavorables, de la cartographie et des prévisions des conflits, des systèmes d’alerte précoce en cas de catastrophes naturelles, des urgences sanitaires, de la surveillance des maladies infectieuses, de la santé des végétaux, des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; chimiques, de la sécurité des denrées alimentaires et des aliments pour animaux, de la santé animale, des migrations, des douanes, des urgences nucléaires et radiologiques ainsi que de l’énergie.

L’Union peut, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération, du réseau des CSIRT ainsi que d’EU-CyCLONe. De tels accords devraient garantir les intérêts de l’Union et assurer une protection adéquate des données. Cela ne saurait porter atteinte au droit qu’ont les États membres de coopérer avec des pays tiers sur la gestion des vulnérabilités et des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; touchant la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, dans le but de faciliter le signalement et le partage général d’informations en conformité avec le droit de l’Union.

Afin de faciliter la mise en œuvre effective de la présente directive, entre autres en ce qui concerne la gestion des vulnérabilités, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les obligations d’information et les accords de partage d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, les États membres peuvent coopérer avec des pays tiers et entreprendre des activités jugées appropriées à cette fin, y compris des échanges d’informations sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et les procédures, la préparation et les exercices pour la gestion des crises de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, la formation, le renforcement de la confiance ainsi que les arrangements permettant de partager les informations de façon structurée.

Des évaluations par les pairs devraient être introduites afin de contribuer à tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle et d’atteindre un niveau commun élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Les évaluations par les pairs peuvent déboucher sur des idées et des recommandations précieuses qui renforcent les capacités globales en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, créent une autre voie fonctionnelle pour le partage des bonnes pratiques entre les États membres et contribuent à améliorer le niveau de maturité des États membres en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. En outre, le système d’évaluation par les pairs devrait tenir compte des résultats de mécanismes similaires, comme le système d’évaluation par les pairs du réseau des CSIRT, et devrait apporter une valeur ajoutée et éviter les doubles emplois. La mise en œuvre des évaluations par les pairs devrait être sans préjudice du droit de l’Union ou du droit national relatif à la protection des informations confidentielles ou classifiées.

Le groupe de coopération devrait établir une méthode d’autoévaluation pour les États membres, visant à couvrir des facteurs tels que le niveau de mise en œuvre des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information, le niveau des capacités et l’efficacité de l’exercice des tâches des autorités compétentes, les capacités opérationnelles des CSIRT, le niveau de mise en œuvre de l’assistance mutuelle, le niveau de mise en œuvre des accords de partage d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ou des questions spécifiques de nature transfrontière ou transsectorielle. Les États membres devraient être encouragés à effectuer régulièrement des autoévaluations et à présenter et examiner les résultats de leur autoévaluation au sein du groupe de coopération.

Dans une large mesure, il incombe aux entités essentielles et importantes de garantir la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. Il convient de promouvoir et de faire progresser une culture de la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; impliquant une analyse des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et l’application de mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adaptées aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; encourus.

Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient tenir compte du degré de dépendance de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante à l’égard des réseaux et des systèmes d’information, et comprendre des mesures permettant de déterminer tous les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, de prévenir et de repérer les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, ainsi que de réagir face à ces incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, de se rétablir après les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; devrait inclure la sécurité des données stockées, transmises et traitées. Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient prévoir une analyse systémique qui tienne compte du facteur humain, afin de disposer d’une vue d’ensemble complète sur la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.

Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; peuvent avoir des origines différentes, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient se fonder sur une approche «tous risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante et aux installations de traitement de l’information de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels, conformément aux normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales, par exemple celles figurant dans la série ISO/CEI 27000. À cet égard, les entités essentielles et importantes devraient, dans le cadre de leurs mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, tenir également compte de la sécurité liée aux ressources humaines et mettre en place des politiques appropriées en matière de contrôle de l’accès. Ces mesures devraient être cohérentes avec la directive (UE) 2022/2557.

Afin de démontrer la conformité avec les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et en l’absence de schémas européens de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; appropriés adoptés conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil(¹⁸)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15)., les États membres devraient, en concertation avec le groupe de coopération et le groupe européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, promouvoir l’utilisation des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes et internationales pertinentes par les entités essentielles et importantes ou peuvent exiger des entités qu’elles utilisent des produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;, services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; et processus TIC: un processus TIC au sens de l’article 2, point 14), du règlement (UE) 2019/881; certifiés.

Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit disproportionnée, il convient que les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; soient proportionnées aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; auxquels le réseau et le système d’information concernés sont exposés, en prenant en compte l’état de l’art de ces mesures ainsi que, s’il y a lieu, des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; européennes ou internationales pertinentes, et du coût de mise en œuvre de ces mesures.

Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; devraient être proportionnées au degré d’exposition de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; et à l’impact sociétal et économique potentiel d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Lors de la mise en place de mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; adaptées aux entités essentielles et importantes, il convient de tenir dûment compte des différents niveaux d’exposition aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; des entités essentielles et importantes, telles que la criticité de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, y compris les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; sociétaux, auxquels elle est exposée, la taille de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; et la probabilité de survenance d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et leur gravité, y compris leur impact sociétal et économique.

Les entités essentielles et importantes devraient garantir la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; qu’elles utilisent dans le cadre de leurs activités. Il s’agit principalement de réseaux et de systèmes d’information privés qui sont gérés par les services informatiques des entités essentielles ou importantes ou dont la gestion de la sécurité a été sous-traitée. Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information prévues par la présente directive devraient s’appliquer aux entités essentielles et importantes, indépendamment du fait que ces entités effectuent la maintenance de leurs réseaux et systèmes d’information en interne ou qu’elles l’externalisent.

Compte tenu de leur nature transfrontière, les fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, les registres de noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, les fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, les fournisseurs de services de centre de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, les fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;, ainsi que les fournisseurs de services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; devraient faire l’objet d’un degré d’harmonisation élevé au niveau de l’Union. La mise en œuvre de mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; à l’égard de ces entités devrait donc être facilitée par un acte d’exécution.

Il est tout particulièrement important de répondre aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant de la chaîne d’approvisionnement d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité; et les éditeurs de logiciels, vu la prévalence d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; dans le cadre desquels les entités ont été victimes de cyberattaques et où des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui y sont intégrées et les pratiques de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisées. Les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs. Ces entités pourraient prendre en considération les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant d’autres niveaux de fournisseurs et de prestataires de services.

Parmi tous les fournisseurs de services, les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité; dans des domaines comme la réaction aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les tests d’intrusion, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour prévenir et détecter les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, y réagir ou se rétablir après ceux-ci. Toutefois, des fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité; ont été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; particulier. Les entités essentielles et importantes doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;.

Les autorités compétentes, dans le cadre de leurs tâches de supervision, peuvent également bénéficier de services de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, par exemple des audits de sécurité et des tests d’intrusion ou de réaction en cas d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;.

Les entités essentielles et importantes devraient également répondre aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large, y compris pour contrer l’espionnage industriel et protéger les secrets d’affaires. Plus particulièrement, ces entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des bonnes pratiques concernant, en général, l’accès et la diffusion d’informations en toute sécurité et, en particulier, la protection des droits de propriété intellectuelle. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités essentielles et importantes devraient prendre toutes les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.

Les entités essentielles et importantes devraient adopter une vaste gamme de pratiques de cyberhygiène de base, comme les principes «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, organiser une formation pour leur personnel et sensibiliser aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, au hameçonnage ou aux techniques d’ingénierie sociale. En outre, ces entités devraient évaluer leurs propres capacités en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et, s’il y a lieu, poursuivre l’intégration des technologies de renforcement de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, telles que l’intelligence artificielle ou les systèmes d’apprentissage automatique, afin d’améliorer leurs capacités et la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;.

Afin de mieux répondre aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; principaux liés aux chaînes d’approvisionnement et d’aider les entités essentielles et importantes actives dans les secteurs couverts par la présente directive à bien gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération devrait, en collaboration avec la Commission et l’ENISA et, s’il y a lieu, en consultation avec les parties prenantes concernées, y compris celles du secteur, réaliser des évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité liés aux chaînes d’approvisionnement critiques, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 de la Commission(¹⁹)Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42)., dans le but de déterminer, secteur par secteur, les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques, et les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités essentielles et importantes. Les éventuels facteurs de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.

Les évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité liés aux chaînes d’approvisionnement critiques, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée pour l’UE des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; concernant la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques spécifiques et en dépendent; ii) la pertinence des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, y compris le traitement de données à caractère personnel; iii) la disponibilité d’autres services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;; iv) la résilience de la chaîne d’approvisionnement générale des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; tout au long de leur cycle de vie face aux événements perturbateurs, et v) concernant les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; soumis à des exigences spécifiques émanant de pays tiers.

Afin de rationaliser les obligations imposées aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public et aux prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; en lien avec la sécurité de leurs réseaux et systèmes d’information, ainsi que de permettre à ces entités et à leurs autorités compétentes en vertu de la directive (UE) 2018/1972 du Parlement européen et du Conseil(²⁰)Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36). et du règlement (UE) n^o 910/2014, respectivement, de bénéficier du cadre juridique établi par la présente directive, y compris la désignation d’un CSIRT chargé de la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, la participation des autorités compétentes concernées aux activités du groupe de coopération et le réseau des CSIRT, ces entités devraient entrer dans le champ d’application de la présente directive. Il convient donc de supprimer les dispositions correspondantes prévues par le règlement (UE) n^o 910/2014 et par la directive (UE) 2018/1972 portant sur l’imposition d’exigences en matière de sécurité et de notification à ce type d’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;. Les règles relatives aux obligations d’information prévues par la présente directive devraient être sans préjudice du règlement (UE) 2016/679 et de la directive 2002/58/CE.

Les obligations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées dans la présente directive devraient être considérées comme complémentaires des exigences imposées aux prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; en vertu du règlement (UE) n^o 910/2014. Les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; devraient être tenus de prendre toutes les mesures appropriées et proportionnées pour gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; qui pèsent sur leurs services, y compris en ce qui concerne les clients et les tiers utilisateurs, et de notifier les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; relevant de la présente directive. Ces obligations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et d’information devraient également concerner la protection physique des services fournis. Les exigences applicables aux prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; qualifiés énoncées à l’article 24 du règlement (UE) n^o 910/2014 continuent de s’appliquer.

Les États membres peuvent confier le rôle des autorités compétentes pour les services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014; aux organes de contrôle désignés en vertu du règlement (UE) n^o 910/2014 afin d’assurer le maintien des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de l’application dudit règlement. En pareil cas, les autorités compétentes en vertu de la présente directive devraient coopérer étroitement et en temps utile avec ces organes de contrôle, en échangeant les informations pertinentes afin de garantir une supervision efficace et le respect, par les prestataires de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;, des exigences énoncées dans la présente directive et dans le règlement (UE) n^o 910/2014. Le cas échéant, le CSIRT ou l’autorité compétente en vertu de la présente directive devrait informer immédiatement l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 de toute cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; ou incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important notifié dans le domaine de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; affectant les services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;, ainsi que de toute violation de la présente directive par un prestataire de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014;. Aux fins de la notification, les États membres peuvent utiliser, le cas échéant, le point d’entrée unique mis en place pour effectuer une notification commune et automatique à la fois à l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 et au CSIRT ou à l’autorité compétente en vertu de la présente directive.

Lorsque cela est approprié et afin d’éviter toute perturbation inutile, il convient de tenir compte, pour la transposition de la présente directive, des lignes directrices nationales existantes adoptées en vue de la transposition des règles portant sur les mesures de sécurité prévues par les articles 40 et 41 de la directive (UE) 2018/1972, en s’appuyant ainsi sur les connaissances et compétences déjà acquises dans le cadre de la directive (UE) 2018/1972 en ce qui concerne les mesures de sécurité et les notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. L’ENISA peut également élaborer des orientations sur les exigences en matière de sécurité et les obligations d’information qui incombent aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public afin de faciliter l’harmonisation et la transition et de réduire autant que possible les perturbations. Les États membres peuvent confier le rôle des autorités compétentes pour les communications électroniques aux autorités de régulation nationales en vertu de la directive (UE) 2018/1972, afin d’assurer la continuité des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de la mise en œuvre de ladite directive.

Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation au sens de la directive (UE) 2018/1972, il est nécessaire de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Étant donné que la surface d’attaque continue de s’étendre, les services de communications interpersonnelles non fondés sur la numérotation, comme les services de messagerie, deviennent des vecteurs d’attaque courants. Les acteurs malveillants utilisent des plateformes pour communiquer avec les victimes et les inciter à ouvrir des pages internet compromises, ce qui augmente la probabilité d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; impliquant l’exploitation de données à caractère personnel et, par extension, la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;. Les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation devraient garantir un niveau de sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; correspondant aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; encourus. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; traditionnels. Il en va de même pour les services de communications interpersonnelles au sens de la directive (UE) 2018/1972 qui sont fondés sur la numérotation et n’exercent aucun contrôle effectif sur la transmission de signaux.

Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que tous les fournisseurs de réseaux de communications électroniques publics disposent de mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; appropriées et notifient les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants qui les concernent. Les États membres devraient veiller au maintien de la sécurité des réseaux de communications électroniques publics et veiller à la protection de leurs intérêts vitaux sur le plan de la sécurité contre le sabotage et l’espionnage. Étant donné que la connectivité internationale renforce et accélère la numérisation compétitive de l’Union et de son économie, les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; affectant les câbles de communication sous-marins devraient être signalés au CSIRT ou, le cas échéant, à l’autorité compétente. La stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; devrait, le cas échéant, tenir compte de la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des câbles de communication sous-marins et inclure une cartographie des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; potentiels en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des mesures d’atténuation afin de garantir le niveau de protection le plus élevé possible.

Afin de préserver la sécurité des réseaux et services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; publics, il convient d’encourager l’utilisation de techniques de chiffrement, notamment du chiffrement de bout en bout ainsi que des concepts de sécurité axés sur les données, comme la cartographie, la segmentation, le balisage, une politique d’accès et la gestion de l’accès, ainsi que des décisions d’accès automatisé. L’utilisation du chiffrement, notamment du chiffrement de bout en bout, devrait si nécessaire être imposée aux fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de la présente directive. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la prévention et la détection d’infractions pénales ainsi que les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Toutefois, cela ne devrait pas affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour une protection efficace des données, de la vie privée et de la sécurité des communications.

Afin de préserver la sécurité et de prévenir les abus et la manipulation des réseaux publics de communications électroniques et des services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public, il convient de promouvoir l’utilisation de normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; de routage sécurisé pour garantir l’intégrité et la solidité des fonctions de routage dans l’ensemble de l’écosystème des fournisseurs de services d’accès à internet.

Afin de préserver la fonctionnalité et l’intégrité de l’internet et de promouvoir la sécurité et la résilience du DNS, les parties prenantes concernées, y compris les entités du secteur privé de l’Union, les fournisseurs de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public, en particulier les fournisseurs de services d’accès à internet, et les fournisseurs de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; devraient être encouragés à adopter une stratégie de diversification de la résolution DNS. En outre, les États membres devraient encourager la mise au point et l’utilisation d’un service européen public et sécurisé de résolution de noms de domaine.

La présente directive établit une approche en plusieurs étapes de la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants afin de trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers. À cet égard, la présente directive devrait inclure la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui, sur la base d’une évaluation initiale effectuée par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, de la gravité et des caractéristiques techniques de la cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; en matière d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

Lorsque les entités essentielles ou importantes prennent connaissance d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, elles devraient être tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures. Cette alerte précoce devrait être suivie d’une notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Les entités concernées devraient soumettre une notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, dans le but, notamment, de mettre à jour les informations transmises dans le cadre de l’alerte précoce et d’indiquer une évaluation initiale de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles. Un rapport final devrait être présenté au plus tard un mois après la notification de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. L’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important à la connaissance du CSIRT, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée de demander une assistance, si nécessaire. Cette alerte précoce devrait, le cas échéant, indiquer si l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important est soupçonné d’être causé par des actes illicites ou malveillants et s’il est susceptible d’avoir un impact transfrontière. Les États membres devraient veiller à ce que l’obligation de soumettre cette alerte précoce, ou la notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ultérieure, ne détourne pas les ressources de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; effectuant la notification des activités liées à la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui devraient avoir la priorité, afin d’éviter que les obligations de notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ne détournent les ressources de la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants ou ne compromettent d’une autre manière les efforts déployés par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; à cet égard. En cas d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en cours au moment de la présentation du rapport final, les États membres devraient veiller à ce que les entités concernées fournissent un rapport d’avancement à ce moment-là, et un rapport final dans un délai d’un mois à compter du traitement de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important.

Le cas échéant, les entités essentielles et importantes devraient informer sans retard injustifié les destinataires de leurs services de toute mesure ou correction qu’elles peuvent appliquer pour atténuer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant d’une cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;. Lorsque cela est approprié, et en particulier lorsque la cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; est susceptible de se concrétiser, ces entités devraient également informer les destinataires de leurs services de la menace en question. L’obligation qui est faite aux entités d’informer les destinataires des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; devrait être respectée par les entités dans toute la mesure du possible mais ne saurait les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute menace pour la sécurité et pour rétablir le niveau normal de sécurité du service. La fourniture de telles informations aux destinataires du service au sujet des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; devrait être gratuite et formulée dans un langage facile à comprendre.

Il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public mettent en œuvre la sécurité dès la conception et par défaut, et informent les destinataires de leurs services des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; et des mesures qu’ils peuvent prendre pour sécuriser leurs appareils et communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.

Une approche proactive à l’égard des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; est un élément essentiel de la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, qui devrait permettre aux autorités compétentes d’empêcher efficacement que les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; n’aboutissent à des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; susceptibles de causer un dommage matériel, corporel ou moral considérable. À cette fin, la notification des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; revêt une importance capitale. Les entités sont dès lors encouragées à notifier les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; à titre volontaire.

Afin de simplifier la communication des informations requises en vertu de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques, tels qu’un point d’entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles et des plateformes dédiées à l’utilisation des entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, pour la communication des informations pertinentes à transmettre. Le financement de l’Union destiné à soutenir la mise en œuvre de la présente directive, en particulier dans le cadre du programme pour une Europe numérique, établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil(²¹)Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1)., pourrait inclure un soutien aux points d’entrée uniques. En outre, les entités se retrouvent souvent dans une situation dans laquelle un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; particulier, en raison de ses caractéristiques, doit être notifié à différentes autorités en raison d’obligations de notification figurant dans différents instruments juridiques. De tels cas créent une charge administrative supplémentaire et pourraient également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. Lorsqu’un point d’entrée unique est établi, les États membres sont encouragés à utiliser également ce point d’entrée unique pour les notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité requises en vertu d’autres dispositions du droit de l’Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L’utilisation de ce point d’entrée unique pour la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices pour simplifier et rationaliser les informations à transmettre en vertu du droit de l’Union et réduire la charge administrative pesant sur les entités qui effectuent la notification.

Lorsqu’il y a lieu de suspecter qu’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à notifier aux autorités répressives compétentes tout incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) et l’ENISA.

Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE.

Le maintien à jour des bases de données précises et complètes de données d’enregistrement de noms de domaine (données WHOIS) ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du DNS, lequel contribue en retour à assurer un niveau élevé commun de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union. À cette fin spécifique, les registres de noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; et les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de traiter certaines données nécessaires à cette fin. Un tel traitement devrait constituer une obligation légale au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Cette obligation est sans préjudice de la possibilité de collecter des données relatives à l’enregistrement de noms de domaine à d’autres fins, par exemple sur la base de dispositions contractuelles ou d’exigences légales établies dans d’autres dispositions du droit de l’Union ou du droit national. Cette obligation vise à obtenir un ensemble complet et précis de données d’enregistrement et ne devrait pas aboutir à recueillir les mêmes données à de multiples reprises. Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; et les entités fournissant des services d’enregistrement de noms de domaine devraient coopérer entre eux afin d’éviter la duplication de cette tâche.

La disponibilité et l’accessibilité, en temps utile, des données relatives à l’enregistrement des noms de domaine pour les demandeurs d’accès légitimes sont essentielles pour prévenir et combattre les abus de DNS, ainsi que pour prévenir et détecter les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et y réagir. Par «demandeurs d’accès légitimes», il convient d’entendre toute personne physique ou morale qui formule une demande en vertu du droit de l’Union ou du droit national. Il peut s’agir des autorités compétentes en vertu de la présente directive et des autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, et des CERT ou des CSIRT. Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement des noms de domaine devraient être tenus de permettre aux demandeurs d’accès légitimes conformément au droit de l’Union et au droit national d’accéder légalement à des données spécifiques d’enregistrement des noms de domaine qui sont nécessaires aux fins de la demande d’accès. La demande des demandeurs d’accès légitimes devrait être accompagnée d’une motivation permettant d’évaluer la nécessité de l’accès aux données.

Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaine, les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaine. En particulier, les registres de noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures aux fins de collecter des données d’enregistrement de noms de domaine et de les maintenir exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément au droit de l’Union en matière de protection des données. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; élaborées par les structures de gouvernance multipartites au niveau international. Les registres des noms de domaines de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient adopter et appliquer des procédures proportionnées de vérification des données d’enregistrement de noms de domaine. Ces procédures devraient refléter les meilleures pratiques utilisées dans le secteur et, dans la mesure du possible, les progrès réalisés dans le domaine de l’identification électronique. Parmi les exemples de procédures de vérification, on peut citer les contrôles ex ante effectués au moment de l’enregistrement et les contrôles ex post effectués après l’enregistrement. Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient, en particulier, vérifier au moins un moyen de contact du titulaire.

Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de rendre publiques les données relatives à l’enregistrement de noms de domaine qui ne relèvent pas du champ d’application du droit de l’Union en matière de protection des données, telles que les données concernant les personnes morales, conformément au préambule du règlement (UE) 2016/679. Pour les personnes morales, les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; et les entités fournissant des services d’enregistrement de noms de domaine devraient mettre à la disposition du public au moins le nom du titulaire et le numéro de téléphone de contact. L’adresse électronique de contact devrait également être publiée, à condition qu’elle ne contienne aucune donnée à caractère personnel, comme lors de l’utilisation de pseudonymes de courrier électronique ou de comptes fonctionnels. Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaine concernant des personnes physiques, conformément au droit de l’Union en matière de protection des données. Les États membres devraient veiller à ce que les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine répondent sans retard injustifié aux demandes de divulgation de données d’enregistrement de noms de domaine émanant de demandeurs d’accès légitimes. Les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage; ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures pour la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des orientations et des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; élaborées par les structures de gouvernance multipartites au niveau international. La procédure d’accès pourrait également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut, sans préjudice des compétences du comité européen de la protection des données, fournir des lignes directrices eu égard à ces procédures, qui tiennent compte, dans la mesure du possible, des normes: une norme au sens de l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(29) Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12).; élaborées par les structures de gouvernance multipartites au niveau international. Les États membres devraient veiller à ce que tous les types d’accès aux données d’enregistrement de noms de domaine à caractère personnel ou non personnel soient gratuits.

Les entités relevant du champ d’application de la présente directive devraient être considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies. Toutefois, les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services. Les fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, les fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, ainsi que les fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations; devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union. Les entités de l’administration publique devraient relever de la compétence de l’État membre qui les a établies. Si l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; fournit des services ou est établie dans plus d’un État membre, elle devrait dès lors relever de la compétence distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, s’il y a lieu, mener des actions communes de supervision. Lorsque les États membres exercent leur compétence, ils ne devraient pas imposer de mesures d’exécution ou de sanctions plus d’une fois pour un même comportement, conformément au principe non bis in idem.

Afin de tenir compte de la nature transfrontière des services et des opérations des fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, des registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, des fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, des fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, ainsi que des fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;, un seul État membre devrait avoir compétence concernant ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel établissement, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. Il convient de considérer que l’établissement principal se trouve dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entités dans l’Union. S’il n’est pas possible de déterminer l’État membre dont il s’agit ou si de telles décisions ne sont pas prises dans l’Union, il convient de considérer que l’établissement principal se trouve dans l’État membre où sont effectuées les opérations de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. S’il n’est pas possible de déterminer l’État membre dont il s’agit, il convient de considérer que l’établissement principal se trouve dans l’État membre où l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; possède l’établissement comptant le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, il convient de considérer que l’établissement principal de l’entreprise qui exerce le contrôle est l’établissement principal du groupe d’entreprises.

Lorsqu’un service DNS récursif accessible au public est fourni uniquement dans le cadre du service d’accès à l’internet par un fournisseur de réseaux publics de communications électroniques ou de services de communications électroniques: un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972; accessibles au public, il convient de considérer que l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; relève de la compétence de tous les États membres dans lesquels ses services sont fournis.

Lorsqu’un fournisseur de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, un registre des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, une entité fournissant des services d’enregistrement de noms de domaine: un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;, un fournisseur de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, un fournisseur de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, un fournisseur de réseaux de diffusion de contenu, un fournisseur de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, un fournisseur de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, ou un fournisseur de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; ou de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;, qui n’est pas établi dans l’Union, propose des services dans l’Union, il devrait désigner un représentant: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive; dans l’Union. Afin de déterminer si une telle entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; propose des services dans l’Union, il convient d’examiner si elle envisage d’offrir des services à des personnes dans un ou plusieurs États membres. La seule accessibilité, dans l’Union, du site internet de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ou d’un intermédiaire ou d’une adresse électronique ou d’autres coordonnées ou encore l’utilisation d’une langue généralement utilisée dans le pays tiers où l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; est établie devraient être considérées comme ne suffisant pas pour établir une telle intention. Cependant, des facteurs tels que l’utilisation d’une langue ou d’une monnaie généralement utilisée dans un ou plusieurs États membres avec la possibilité de commander des services dans cette langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union pourraient indiquer que l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; envisage d’offrir des services dans l’Union. Le représentant: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive; devrait agir pour le compte de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; et devrait pouvoir être contacté par les autorités compétentes ou les CSIRT. Le représentant: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive; devrait être expressément désigné par un mandat écrit de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; le chargeant d’agir en son nom pour remplir les obligations, y compris la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, qui lui incombent en vertu de la présente directive.

Afin d’assurer une bonne vue d’ensemble des fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, des registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, des entités fournissant des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, des fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, des fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, ainsi que des fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;, qui fournissent dans toute l’Union des services relevant du champ d’application de la présente directive, l’ENISA devrait créer et tenir à jour un registre de ces entités, sur la base des informations reçues par les États membres, le cas échéant par l’intermédiaire de mécanismes nationaux mis en place pour que les entités s’inscrivent elles-mêmes. Les points de contact uniques devraient transmettre à l’ENISA les informations et toute modification qui y serait apportée. Afin de garantir l’exactitude et l’exhaustivité des informations qui doivent figurer dans ce registre, les États membres peuvent soumettre à l’ENISA les informations disponibles dans tout registre national sur ces entités. L’ENISA et les États membres devraient prendre des mesures pour faciliter l’interopérabilité de ces registres, tout en assurant la protection des informations confidentielles ou classifiées. L’ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées, et réserver l’accès, le stockage et la transmission de ces informations aux utilisateurs à qui elles sont destinées.

Lorsque des informations qui sont classifiées conformément au droit national ou au droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu de la présente directive, les règles correspondantes relatives au traitement des informations classifiées devraient être appliquées. En outre, l’ENISA devrait disposer de l’infrastructure, des procédures et des règles nécessaires pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables à la protection des informations classifiées de l’Union européenne.

Face à la complexité et à la sophistication croissantes des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, l’efficacité des mesures de détection et de prévention de ces menaces dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; réels et leur permet de mieux contenir les effets des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l’incertitude quant à la compatibilité avec les règles en matière de concurrence et de responsabilité.

Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à prévenir et détecter les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, à y réagir, à s’en rétablir ou à atténuer leur impact. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données.

Le traitement de données à caractère personnel, dans la mesure nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des systèmes d’information par des entités essentielles et importantes, pourrait être considéré comme licite au motif qu’il respecte une obligation légale à laquelle le responsable du traitement est soumis, conformément aux exigences de l’article 6, paragraphe 1, point c), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679. Le traitement des données à caractère personnel pourrait également être nécessaire à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par des fournisseurs de technologies et de services de sécurité agissant pour le compte de ces entités, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, y compris lorsque ce traitement est nécessaire à des accords de partage d’informations en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; ou à la notification volontaire d’informations pertinentes conformément à la présente directive. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse et à la réaction aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les mesures de sensibilisation à des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée des vulnérabilités, l’échange volontaire d’informations sur ces incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; et les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les vulnérabilités, les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les outils de configuration pourraient nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques et, lorsqu’il révèlent des données à caractère personnel, les horodatages. Le traitement des données à caractère personnel par les autorités compétentes, les points de contact uniques et les CSIRT pourrait constituer une obligation légale ou être considéré comme nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement en vertu de l’article 6, paragraphe 1, point c) ou e), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679, ou à la poursuite d’un intérêt légitime des entités essentielles et importantes comme visé à l’article 6, paragraphe 1, point f), dudit règlement. En outre, le droit national pourrait établir des règles permettant aux autorités compétentes, aux points de contact uniques et aux CSIRT, dans la mesure nécessaire et proportionnée aux fins d’assurer la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; des entités essentielles et importantes, de traiter des catégories particulières de données à caractère personnel conformément à l’article 9 du règlement (UE) 2016/679, notamment en prévoyant des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes physiques, y compris des limitations techniques à la réutilisation de ces données et le recours aux mesures de sécurité et de protection de la vie privée les plus récentes, telles que la pseudonymisation, ou le chiffrement lorsque l’anonymisation peut avoir un effet important sur la finalité poursuivie.

Afin de renforcer les pouvoirs et mesures de supervision qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de supervision par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de supervision entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations qui incombent à ces entités et aux autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des exigences en matière de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la supervision et, par conséquent, ne pas être assujetties à une obligation générale de supervision de ces entités. La supervision ex post des entités importantes peut être déclenchée par des éléments de preuve ou toute indication ou information portés à l’attention des autorités compétentes et considérés par ces autorités comme suggérant des violations potentielles de la présente directive. Par exemple, ces éléments de preuve, indications ou informations pourraient être du type fourni aux autorités compétentes par d’autres autorités, entités, citoyens, médias ou autres sources, ou des informations publiquement disponibles, ou pourraient résulter d’autres activités menées par les autorités compétentes dans l’accomplissement de leurs tâches.

L’exécution de tâches de supervision par les autorités compétentes ne devrait pas entraver inutilement les activités économiques de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée. Lorsque les autorités compétentes exécutent leurs tâches de supervision à l’égard d’entités essentielles, y compris la conduite d’inspections sur place et de contrôles hors site, les enquêtes sur les violations de la présente directive et la réalisation d’audits de sécurité ou d’analyses de sécurité, elles devraient réduire autant que possible l’impact sur les activités économiques de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée.

Lorsqu’elles exercent une supervision ex ante, les autorités compétentes devraient être en mesure de fixer les priorités en ce qui concerne le recours proportionné aux mesures et moyens de supervision dont elles disposent. Cela signifie que les autorités compétentes peuvent fixer ces priorités sur la base de méthodes de supervision qui devraient suivre une approche basée sur les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;. Plus précisément, ces méthodes pourraient inclure des critères ou des valeurs de référence pour le classement des entités essentielles en catégories de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, et les mesures et moyens de supervision correspondants recommandés par catégorie de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, tels que l’utilisation, la fréquence ou les types d’inspections sur place, d’audits de sécurité ciblés ou de scans de sécurité, le type d’informations à demander et le niveau de détail de ces informations. Ces méthodes de supervision pourraient également être accompagnées de programmes de travail et faire l’objet d’une évaluation et d’un réexamen réguliers, y compris sur des aspects tels que l’affectation des ressources et les besoins de ressources. En ce qui concerne les entités de l’administration publique, les pouvoirs de supervision devraient être exercés conformément aux cadres législatif et institutionnel nationaux.

Les autorités compétentes devraient veiller à ce que leurs tâches de supervision concernant les entités essentielles et importantes soient exercées par des professionnels formés, qui devraient avoir les compétences nécessaires à l’exécution de ces tâches, notamment en ce qui concerne la réalisation d’inspections sur place et les contrôles hors site, y compris l’identification des faiblesses dans les bases de données, le matériel, les pare-feux, le chiffrement et les réseaux. Ces inspections et contrôles devraient être effectués de manière objective.

Dans les cas dûment motivés où elle a connaissance d’une cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; ou d’un risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; imminent, l’autorité compétente devrait être en mesure de prendre des décisions d’exécution immédiates dans le but de prévenir un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ou d’y réagir.

Afin de rendre l’exécution effective, il convient d’établir une liste minimale des pouvoirs d’exécution pouvant être exercés pour violation des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et des obligations d’information prévues par la présente directive, en établissant un cadre clair et cohérent pour l’exécution dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation de la présente directive, du dommage matériel, corporel ou moral causé, du fait que la violation ait été commise intentionnellement ou par négligence, des mesures prises pour prévenir ou atténuer le dommage matériel, corporel ou moral subi, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. Les mesures d’exécution, y compris les amendes administratives, devraient être proportionnées et leur imposition soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense.

La présente directive n’impose pas aux États membres de prévoir une responsabilité pénale ou civile à l’égard des personnes physiques chargées de veiller à ce qu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; se conforme à la présente directive pour les dommages subis par des tiers du fait d’une violation de la présente directive.

Afin de garantir une exécution efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives.

Lorsqu’une amende administrative est imposée à une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle ou importante qui est une entreprise, le terme «entreprise» devrait, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsqu’une amende administrative est imposée à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’imposition d’une amende administrative n’affecte pas l’exercice d’autres pouvoirs des autorités compétentes ou l’imposition d’autres sanctions prévues dans les dispositions nationales transposant la présente directive.

Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe non bis in idem tel qu’il a été interprété par la Cour de justice de l’Union européenne.

Lorsque la présente directive n’harmonise pas les sanctions administratives ou, si nécessaire dans d’autres circonstances, par exemple en cas de violation grave de la présente directive, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions et le fait qu’elles soient pénales ou administratives devraient être déterminés par le droit national.

Afin de renforcer encore l’efficacité et le caractère dissuasif des mesures d’exécution applicables aux violations de la présente directive, les autorités compétentes devraient être habilitées à suspendre temporairement ou à demander la suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services concernés fournis ou des activités menées par une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; essentielle et à demander l’imposition d’une interdiction temporaire de l’exercice de fonctions de direction par une personne physique à un niveau de directeur général ou de représentant: une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente directive; légal. Compte tenu de leur gravité et de leur effet sur les activités des entités et, en définitive, sur les utilisateurs, ces suspensions ou interdictions temporaires ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances de chaque cas, y compris le fait que la violation ait été commise intentionnellement ou par négligence, et toute action entreprise pour prévenir ou atténuer le dommage matériel, corporel ou moral. Ces suspensions ou interdictions temporaires ne devraient être appliquées qu’en dernier recours, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée prend les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces suspensions ou interdictions temporaires ont été appliquées. L’imposition de ces suspensions ou interdictions temporaires devrait être soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte, y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense.

Afin de garantir le respect par les entités des obligations qui leur incombent en vertu de la présente directive, les États membres devraient coopérer et se prêter mutuellement assistance en ce qui concerne les mesures de supervision et d’exécution, en particulier lorsqu’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; fournit des services dans plus d’un État membre ou lorsque son réseau et ses systèmes d’information sont situés dans un État membre autre que celui où elle fournit des services. Lorsqu’une autorité compétente fournit une assistance qui lui est demandée, elle devrait prendre des mesures de supervision ou d’exécution conformément au droit national. Afin d’assurer le bon fonctionnement de l’assistance mutuelle au titre de la présente directive, les autorités compétentes devraient faire appel au groupe de coopération pour examiner les divers cas et les demandes d’assistance particulières.

Afin d’assurer une supervision et une exécution efficaces, notamment lorsqu’une situation revêt une dimension transfrontière, l’État membre qui a reçu une demande d’assistance mutuelle devraient, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; faisant l’objet de cette demande et qui fournit des services ou possède un réseau et un système d’information sur le territoire dudit État membre.

La présente directive devrait établir des règles de coopération entre les autorités compétentes et les autorités de contrôle au titre du règlement (UE) 2016/679 pour traiter les violations de la présente directive touchant aux données à caractère personnel.

La présente directive devrait viser à assurer un niveau de responsabilité important pour les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information au niveau des entités essentielles et importantes. Par conséquent, les organes de direction des entités essentielles et importantes devraient approuver les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et superviser leur mise en œuvre.

Afin de garantir un niveau commun élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’ensemble de l’Union sur la base de la présente directive, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes doivent être tenues d’utiliser certains produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;, services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; et processus TIC: un processus TIC au sens de l’article 2, point 14), du règlement (UE) 2019/881; certifiés ou d’obtenir un certificat dans le cadre d’un régime européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(²²)JO L 123 du 12.5.2016, p. 1.. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, de cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; évités et des communications relatives aux cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;, ainsi que les cas dans lesquels un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(²³)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13)..

La Commission devrait réexaminer périodiquement la présente directive, après consultation avec les parties intéressées, notamment en vue de déterminer s’il y a lieu de proposer des modifications pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Dans le cadre de ces réexamens, la Commission devrait évaluer la pertinence de la taille des entités concernées, et des secteurs, sous-secteurs et types d’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; visés dans les annexes de la présente directive pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. La Commission devrait évaluer, entre autres, si les fournisseurs relevant de la présente directive qui sont désignés en tant que très grandes plateformes en ligne au sens de l’article 33 du règlement (UE) 2022/2065 du Parlement européen et du Conseil(²⁴)Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du 27.10.2022, p. 1). pourraient être identifiés comme des entités essentielles en vertu de la présente directive.

La présente directive crée de nouvelles tâches pour l’ENISA, en renforçant ainsi son rôle, et pourrait également conduire à ce que l’ENISA soit tenue d’accomplir les tâches qui lui incombent en vertu du règlement (UE) 2019/881 à un niveau plus élevé qu’auparavant. Afin de veiller à ce que l’ENISA dispose des ressources financières et humaines nécessaires pour mener à bien les tâches existantes et nouvelles, et pour atteindre un niveau plus élevé d’exécution de ces tâches résultant de son rôle accru, il convient d’augmenter son budget en conséquence. En outre, afin de garantir une utilisation efficace des ressources, l’ENISA devrait bénéficier d’une plus grande flexibilité dans la manière dont elle peut allouer les ressources en interne, afin de pouvoir accomplir correctement ses tâches et de répondre aux attentes.

Étant donné que l’objectif de la présente directive, qui vise à atteindre un niveau élevé commun de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans l’ensemble de l’Union, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif.

La présente directive respecte les droits fondamentaux et observe les principes reconnus par la Charte, en particulier le droit au respect de la vie privée et du caractère privé des communications, le droit à la protection des données à caractère personnel, la liberté d’entreprise, le droit de propriété, le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense. Le droit à un recours effectif vaut également pour les destinataires de services fournis par des entités essentielles et importantes. La présente directive devrait être mise en œuvre conformément à ces droits et principes.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(²⁵)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes e organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). et a rendu un avis le 11 mars 2021(²⁶)JO C 183 du 11.5.2021, p. 3.,