Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 10 Centres de réponse aux incidents de sécurité informatique (CSIRT)
Chaque État membre désigne ou met en place un ou plusieurs CSIRT. Les CSIRT peuvent être désignés ou établis au sein d’une autorité compétente. Les CSIRT se conforment aux exigences énumérées à l’article 11, paragraphe 1, couvrent au moins les secteurs, les sous-secteurs et les types d’entités visés aux annexes I et II, et sont chargés de la gestion des incidents selon un processus bien défini.
Les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes pour pouvoir s’acquitter efficacement de ses tâches énumérées à l’article 11, paragraphe 3.
Les États membres veillent à ce que chaque CSIRT dispose d’une infrastructure de communication et d’information adaptée, sécurisée et résiliente leur permettant d’échanger des informations avec les entités essentielles et importantes et les autres parties prenantes. À cette fin, les États membres veillent à ce que chaque CSIRT contribue au déploiement d’outils sécurisés de partage d’informations.
Les CSIRT coopèrent et, le cas échéant, échangent des informations pertinentes conformément à l’article 29 avec des communautés sectorielles ou intersectorielles d’entités essentielles et importantes.
Les CSIRT participent aux évaluations par les pairs organisées conformément à l’article 19.
Les États membres veillent à ce que leurs CSIRT coopèrent de manière effective, efficace et sécurisée au sein du réseau des CSIRT.
Les CSIRT peuvent établir des relations de coopération avec les centres de réponse aux incidents de sécurité informatique nationaux de pays tiers. Dans le cadre de ces relations de coopération, les États membres facilitent un échange d’informations effectif, efficace et sécurisé avec ces centres de réponse aux incidents de sécurité informatique nationaux de pays tiers, en utilisant les protocoles d’échange d’informations appropriés, y compris le «Traffic Light Protocol». Les CSIRT peuvent échanger des informations pertinentes avec des centres de réponse aux incidents de sécurité informatique nationaux de pays tiers, y compris des données à caractère personnel, dans le respect du droit de l’Union en matière de protection des données.
Les CSIRT peuvent coopérer avec des centres de réponse aux incidents de sécurité informatique nationaux de pays tiers ou des organismes équivalents de pays tiers, notamment dans le but de leur fournir une assistance en matière de cybersécurité.
Chaque État membre notifie à la Commission, sans retard injustifié, l’identité des CSIRT visés au paragraphe 1 du présent article et du CSIRT désigné comme coordinateur conformément à l’article 12, paragraphe 1, leurs tâches respectives à l’égard des entités essentielles et importantes, et toute modification ultérieure dans ce cadre.
Les États membres peuvent solliciter l’assistance de l’ENISA pour la mise en place de leurs CSIRT.
Relevant recitals
Considérant 41 National CSIRTs
Les États membres devraient disposer de capacités suffisantes, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et les risques, y réagir et en atténuer l’impact. Les États membres devraient dès lors créer ou désigner un ou plusieurs CSIRT en vertu de la présente directive et veiller à ce qu’ils disposent des ressources et des capacités techniques adéquates. Les CSIRT devraient se conformer aux exigences établies dans la présente directive afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Les États membres devraient pouvoir désigner des équipes d’intervention en cas d’urgence informatique (CERT) existants en tant que CSIRT. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient pouvoir envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de supervision des autorités compétentes.
Considérant 61 Designated coordinating CSIRT
Les États membres devraient désigner un de leurs CSIRT en tant que coordinateur et agir comme un intermédiaire de confiance entre les personnes physiques ou morales effectuant le signalement et les fabricants de produits TIC ou les fournisseurs de services TIC susceptibles d’être touchés par la vulnérabilité, lorsque cela est nécessaire. Les tâches du CSIRT désigné comme coordinateur devraient impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs entités (divulgation multipartite coordonnée de vulnérabilité). Lorsque les vulnérabilités signalées pourraient avoir un impact important sur des entités de plusieurs États membres, les CSIRT désignés comme coordinateurs devraient, s’il y a lieu, coopérer au sein du réseau des CSIRT.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.