Article 23 Obligations d’information

1. Chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, selon le cas, à son autorité compétente, conformément au paragraphe 4, tout incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ayant un impact important sur leur fourniture des services visés au paragraphe 3 (ci-après dénommé «incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important»). Le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants susceptibles de nuire à la fourniture de ces services. Chaque État membre veille à ce que ces entités signalent, entre autres, toute information permettant au CSIRT ou, le cas échéant, à l’autorité compétente de déterminer si l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; a un impact transfrontière. Le simple fait de notifier un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; n’accroît pas la responsabilité de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; qui est à l’origine de la notification.
2. Lorsque les entités concernées notifient un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important à l’autorité compétente en application du premier alinéa, l’État membre veille à ce que cette autorité compétente transmette la notification au CSIRT dès qu’elle la reçoit.
3. En cas d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important transfrontière ou transsectoriel, les États membres veillent à ce que leurs points de contact uniques reçoivent en temps utile les informations notifiées conformément au paragraphe 4.
1. Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; elle-même.
1. Un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est considéré comme important si:
  1. il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée;
  2. il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
1. Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent au CSIRT ou, selon le cas, à l’autorité compétente:
  1. sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, une alerte précoce qui, le cas échéant, indique si l’on suspecte l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière;
  2. sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, une notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;
  3. à la demande d’un CSIRT ou, selon le cas, de l’autorité compétente, un rapport intermédiaire sur les mises à jour pertinentes de la situation;
  4. un rapport final au plus tard un mois après la présentation de la notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; visée au point b), comprenant les éléments suivants:
    une description détaillée de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, y compris de sa gravité et de son impact;
    le type de menace ou la cause profonde qui a probablement déclenché l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;;
    les mesures d’atténuation appliquées et en cours;
    le cas échéant, l’impact transfrontière de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;;
  5. en cas d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en cours au moment de la présentation du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;.
2. Par dérogation au premier alinéa, point b), un prestataire de services de confiance: un prestataire de services de confiance au sens de l’article 3, point 19, du règlement (UE) no 910/2014; notifie au CSIRT ou, selon le cas, à l’autorité compétente les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants qui ont un impact sur la fourniture de ses services de confiance: un service de confiance au sens de l’article 3, point 16, du règlement (UE) no 910/2014;, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important.
1. Le CSIRT ou l’autorité compétente fournissent, sans retard injustifié et si possible dans les 24 heures suivant la réception de l’alerte précoce visée au paragraphe 4, point a), une réponse à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; émettrice de la notification, y compris un retour d’information initial sur l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important et, à la demande de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation. Lorsque le CSIRT n’est pas le premier destinataire de la notification visée au paragraphe 1, l’orientation est émise par l’autorité compétente en coopération avec le CSIRT. Le CSIRT fournit un soutien technique supplémentaire si l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est de nature criminelle, le CSIRT ou l’autorité compétente fournit également des orientations sur les modalités de notification de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important aux autorités répressives.
1. Lorsque c’est approprié, et notamment si l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important concerne deux États membres ou plus, le CSIRT, l’autorité compétente ou le point de contact unique informent sans retard injustifié les autres États membres touchés et l’ENISA de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important. Sont alors partagées des informations du type de celles reçues conformément au paragraphe 4. Ce faisant, le CSIRT, l’autorité compétente ou le point de contact unique doivent, dans le respect du droit de l’Union ou du droit national, préserver la sécurité et les intérêts commerciaux de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; ainsi que la confidentialité des informations communiquées.
1. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important ou pour faire face à un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important en cours, ou lorsque la divulgation de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, informer le public de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important ou exiger de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; qu’elle le fasse.
1. À la demande du CSIRT ou de l’autorité compétente, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres touchés.
1. Le point de contact unique soumet tous les trois mois à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants, les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; évités notifiés conformément au paragraphe 1 du présent article et à l’article 30. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut adopter des orientations techniques sur les paramètres des informations à inclure dans le rapport de synthèse. L’ENISA informe le groupe de coopération et le réseau des CSIRT de ses conclusions concernant les notifications reçues tous les six mois.
1. Les CSIRT ou, selon le cas, les autorités compétentes fournissent aux autorités compétentes en vertu de la directive (UE) 2022/2557 des informations sur les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants, les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; évités notifiés conformément au paragraphe 1 du présent article et à l’article 30 par les entités identifiées comme des entités critiques en vertu de la directive (UE) 2022/2557.
1. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure des notifications présentées en vertu du paragraphe 1 du présent article et de l’article 30 ainsi que des communications présentées en vertu du paragraphe 2 du présent article.
2. Au plus tard le 17 octobre 2024, la Commission adopte, en ce qui concerne les fournisseurs de services DNS: une entité qui fournit:des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; oudes services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;, les registres des noms de domaine de premier niveau: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;, les fournisseurs de services d’informatique en nuage: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;, les fournisseurs de services de centres de données: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;, les fournisseurs de services de sécurité gérés: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;, ainsi que les fournisseurs de places de marché en ligne: une place de marché en ligne au sens de l’article 2, point n), de la directive 2005/29/CE du Parlement européen et du Conseil(31) Directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil («directive sur les pratiques commerciales déloyales») (JO L 149 du 11.6.2005, p. 22).;, de moteurs de recherche en ligne: un moteur de recherche en ligne au sens de l’article 2, point 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil(32) Règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne (JO L 186 du 11.7.2019, p. 57).; et de plateformes de services de réseaux sociaux: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;, des actes d’exécution précisant plus en détail les cas dans lesquels un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est considéré comme important au sens du paragraphe 3. La Commission peut adopter de tels actes d’exécution pour d’autres entités essentielles et importantes.
3. La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d’actes d’exécution visés aux premier et deuxième alinéas du présent paragraphe conformément à l’article 14, paragraphe 4, point e).
4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 39, paragraphe 2.

Relevant recitals

Considérant 83 Responsibility regardless of outsourcing

Les entités essentielles et importantes devraient garantir la sécurité des réseaux et des systèmes d’information: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles; qu’elles utilisent dans le cadre de leurs activités. Il s’agit principalement de réseaux et de systèmes d’information privés qui sont gérés par les services informatiques des entités essentielles ou importantes ou dont la gestion de la sécurité a été sous-traitée. Les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et les obligations d’information prévues par la présente directive devraient s’appliquer aux entités essentielles et importantes, indépendamment du fait que ces entités effectuent la maintenance de leurs réseaux et systèmes d’information en interne ou qu’elles l’externalisent.

Considérant 101 Multi-stage incident reporting approach

La présente directive établit une approche en plusieurs étapes de la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants afin de trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers. À cet égard, la présente directive devrait inclure la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui, sur la base d’une évaluation initiale effectuée par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;, de la gravité et des caractéristiques techniques de la cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; en matière d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

Considérant 102 Early warning, incident notification and final report

Lorsque les entités essentielles ou importantes prennent connaissance d’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, elles devraient être tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures. Cette alerte précoce devrait être suivie d’une notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. Les entités concernées devraient soumettre une notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, dans le but, notamment, de mettre à jour les informations transmises dans le cadre de l’alerte précoce et d’indiquer une évaluation initiale de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles. Un rapport final devrait être présenté au plus tard un mois après la notification de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;. L’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important à la connaissance du CSIRT, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; concernée de demander une assistance, si nécessaire. Cette alerte précoce devrait, le cas échéant, indiquer si l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important est soupçonné d’être causé par des actes illicites ou malveillants et s’il est susceptible d’avoir un impact transfrontière. Les États membres devraient veiller à ce que l’obligation de soumettre cette alerte précoce, ou la notification d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ultérieure, ne détourne pas les ressources de l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; effectuant la notification des activités liées à la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; qui devraient avoir la priorité, afin d’éviter que les obligations de notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; ne détournent les ressources de la gestion des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; importants ou ne compromettent d’une autre manière les efforts déployés par l’entité: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations; à cet égard. En cas d’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; en cours au moment de la présentation du rapport final, les États membres devraient veiller à ce que les entités concernées fournissent un rapport d’avancement à ce moment-là, et un rapport final dans un délai d’un mois à compter du traitement de l’incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; important.

Considérant 103 Communication of significant cyber threats

Le cas échéant, les entités essentielles et importantes devraient informer sans retard injustifié les destinataires de leurs services de toute mesure ou correction qu’elles peuvent appliquer pour atténuer les risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; découlant d’une cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;. Lorsque cela est approprié, et en particulier lorsque la cybermenace importante: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; est susceptible de se concrétiser, ces entités devraient également informer les destinataires de leurs services de la menace en question. L’obligation qui est faite aux entités d’informer les destinataires des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; devrait être respectée par les entités dans toute la mesure du possible mais ne saurait les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute menace pour la sécurité et pour rétablir le niveau normal de sécurité du service. La fourniture de telles informations aux destinataires du service au sujet des cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable; devrait être gratuite et formulée dans un langage facile à comprendre.

Considérant 105 Voluntary reporting of cyber threats

Une approche proactive à l’égard des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; est un élément essentiel de la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, qui devrait permettre aux autorités compétentes d’empêcher efficacement que les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; n’aboutissent à des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; susceptibles de causer un dommage matériel, corporel ou moral considérable. À cette fin, la notification des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; revêt une importance capitale. Les entités sont dès lors encouragées à notifier les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; à titre volontaire.

Considérant 106 Technical means for simplify reporting

Afin de simplifier la communication des informations requises en vertu de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques, tels qu’un point d’entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles et des plateformes dédiées à l’utilisation des entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, pour la communication des informations pertinentes à transmettre. Le financement de l’Union destiné à soutenir la mise en œuvre de la présente directive, en particulier dans le cadre du programme pour une Europe numérique, établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil(²¹)Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1)., pourrait inclure un soutien aux points d’entrée uniques. En outre, les entités se retrouvent souvent dans une situation dans laquelle un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; particulier, en raison de ses caractéristiques, doit être notifié à différentes autorités en raison d’obligations de notification figurant dans différents instruments juridiques. De tels cas créent une charge administrative supplémentaire et pourraient également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. Lorsqu’un point d’entrée unique est établi, les États membres sont encouragés à utiliser également ce point d’entrée unique pour les notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité requises en vertu d’autres dispositions du droit de l’Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L’utilisation de ce point d’entrée unique pour la notification des incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices pour simplifier et rationaliser les informations à transmettre en vertu du droit de l’Union et réduire la charge administrative pesant sur les entités qui effectuent la notification.

Considérant 107 Reporting incidents to law enforcement

Lorsqu’il y a lieu de suspecter qu’un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à notifier aux autorités répressives compétentes tout incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) et l’ENISA.

Considérant 139 Implementing acts on the Cooperation Group, measures and reporting

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, de cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et d’incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; évités et des communications relatives aux cybermenaces importantes: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;, ainsi que les cas dans lesquels un incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(²³)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13)..

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.