Article 22 Évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques

Il est tout particulièrement important de répondre aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant de la chaîne d’approvisionnement d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité; et les éditeurs de logiciels, vu la prévalence d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; dans le cadre desquels les entités ont été victimes de cyberattaques et où des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui y sont intégrées et les pratiques de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisées. Les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs. Ces entités pourraient prendre en considération les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant d’autres niveaux de fournisseurs et de prestataires de services.

Afin de mieux répondre aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; principaux liés aux chaînes d’approvisionnement et d’aider les entités essentielles et importantes actives dans les secteurs couverts par la présente directive à bien gérer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération devrait, en collaboration avec la Commission et l’ENISA et, s’il y a lieu, en consultation avec les parties prenantes concernées, y compris celles du secteur, réaliser des évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité liés aux chaînes d’approvisionnement critiques, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 de la Commission(¹⁹)Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42)., dans le but de déterminer, secteur par secteur, les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques, et les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités essentielles et importantes. Les éventuels facteurs de risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.

Les évaluations coordonnées des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité liés aux chaînes d’approvisionnement critiques, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée pour l’UE des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; concernant la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; pour la sécurité, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques spécifiques et en dépendent; ii) la pertinence des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, y compris le traitement de données à caractère personnel; iii) la disponibilité d’autres services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881;; iv) la résilience de la chaîne d’approvisionnement générale des services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; tout au long de leur cycle de vie face aux événements perturbateurs, et v) concernant les services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881;, systèmes TIC ou produits TIC: un produit TIC au sens de l’article 2, point 12), du règlement (UE) 2019/881; soumis à des exigences spécifiques émanant de pays tiers.