Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 11 Obligations, capacités techniques et tâches des CSIRT
Les CSIRT satisfont aux exigences suivantes:
les CSIRT veillent à un niveau élevé de disponibilité de leurs canaux de communication en évitant les points uniques de défaillance et disposent de plusieurs moyens pour être contactés et contacter autrui à tout moment; ils spécifient clairement les canaux de communication et les font connaître aux partenaires et collaborateurs;
les locaux des CSIRT et les systèmes d’information utilisés se trouvent sur des sites sécurisés;
les CSIRT sont dotés d’un système approprié de gestion et de routage des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;
les CSIRT garantissent la confidentialité et la fiabilité de leurs opérations;
les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente de leurs services et ils veillent à ce que leur personnel reçoive une formation appropriée;
les CSIRT sont dotés de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de leurs services.
Les CSIRT peuvent participer à des réseaux de coopération internationale.
Les États membres veillent à ce que leurs CSIRT disposent conjointement des capacités techniques nécessaires pour pouvoir s’acquitter des tâches visées au paragraphe 3. Les États membres veillent à ce que des ressources suffisantes soient allouées à leurs CSIRT pour garantir des effectifs suffisants leur permettant de développer leurs capacités techniques.
Les CSIRT assument les tâches suivantes:
surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d’information;
activer le mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes concernées ainsi qu’auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel;
réagir aux incidents et apporter une assistance aux entités essentielles et importantes concernées, le cas échéant;
rassembler et analyser des données de police scientifique, et assurer une analyse dynamique des risques et incidents et une appréciation de la situation en matière de cybersécurité;
réaliser, à la demande d’une entité essentielle ou importante, un scan proactif du réseau et des systèmes d’information de l’entité concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important;
participer au réseau des CSIRT et apporter une assistance mutuelle en fonction de leurs capacités et de leurs compétences aux autres membres du réseau des CSIRT à leur demande;
le cas échéant, agir en qualité de coordinateur aux fins du processus de divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1;
contribuer au déploiement d’outils de partage d’informations sécurisés conformément à l’article 10, paragraphe 3.
Les CSIRT peuvent procéder à un scan proactif et non intrusif des réseaux et systèmes d’information accessibles au public d’entités essentielles et importantes. Ce scan est effectué dans le but de détecter les réseaux et systèmes d’information vulnérables ou configurés de façon peu sûre et d’informer les entités concernées. Ce scan n’a pas d’effet négatif sur le fonctionnement des services des entités.
Lorsqu’ils exécutent les tâches visées au premier alinéa, les CSIRT peuvent donner la priorité à certaines tâches sur la base d’une approche basée sur les risques.
Les CSIRT établissent des relations de coopération avec les acteurs concernés du secteur privé, en vue d’atteindre les objectifs de la présente directive.
Afin de faciliter la coopération visée au paragraphe 4, les CSIRT encouragent l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne:
les procédures de gestion des incidents;
la gestion de crise; et
la divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1.
Relevant recitals
Considérant 42 Tasks of CSIRTs
Les CSIRT sont chargés de la gestion des incidents. Cela comprend le traitement de grands volumes de données parfois sensibles. Les États membres devraient veiller à ce que les CSIRT disposent d’une infrastructure de partage et de traitement de l’information ainsi que d’un personnel bien équipé qui garantissent la confidentialité et la fiabilité de leurs opérations. Les CSIRT pourraient également adopter des codes de conduite à cet égard.
Considérant 43 CSIRT proactive scanning
En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679, à la demande d’une entité essentielle ou importante, un scan proactif des réseaux et des systèmes d’information utilisés pour la fourniture des services de l’entité. Le cas échéant, les États membres devraient œuvrer à assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres devraient pouvoir solliciter l’assistance de l’ENISA pour la mise en place de leurs CSIRT.
Considérant 44 CSIRT monitoring of internet-facing assets
Les CSIRT devraient avoir la faculté, à la demande d’une entité essentielle ou importante, de surveiller les ressources de l’entité en question connectées à l’internet, à la fois sur site et hors site, afin de repérer, comprendre et gérer les risques organisationnels globaux encourus par cette entité face aux compromissions nouvellement découvertes dans les chaînes d’approvisionnement ou vulnérabilités critiques. L’entité devrait être encouragée à indiquer au CSIRT si elle gère une interface de gestion privilégiée, car cela pourrait avoir un impact sur la rapidité de mise en œuvre de mesures d’atténuation.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;