Article 23 Obligations d’information

1. Chaque État membre veille à ce que les entités essentielles et importantes notifient, sans retard injustifié, à son CSIRT ou, selon le cas, à son autorité compétente, conformément au paragraphe 4, tout incident ayant un impact important sur leur fourniture des services visés au paragraphe 3 (ci-après dénommé «incident important»). Le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. Chaque État membre veille à ce que ces entités signalent, entre autres, toute information permettant au CSIRT ou, le cas échéant, à l’autorité compétente de déterminer si l’incident a un impact transfrontière. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification.
2. Lorsque les entités concernées notifient un incident important à l’autorité compétente en application du premier alinéa, l’État membre veille à ce que cette autorité compétente transmette la notification au CSIRT dès qu’elle la reçoit.
3. En cas d’incident important transfrontière ou transsectoriel, les États membres veillent à ce que leurs points de contact uniques reçoivent en temps utile les informations notifiées conformément au paragraphe 4.
1. Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même.
1. Un incident est considéré comme important si:
  1. il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée;
  2. il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
1. Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent au CSIRT ou, selon le cas, à l’autorité compétente:
  1. sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important, une alerte précoce qui, le cas échéant, indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière;
  2. sans retard injustifié et en tout état de cause dans les 72 heures après avoir eu connaissance de l’incident important, une notification d’incident qui, le cas échéant, met à jour les informations visées au point a) et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;
  3. à la demande d’un CSIRT ou, selon le cas, de l’autorité compétente, un rapport intermédiaire sur les mises à jour pertinentes de la situation;
  4. un rapport final au plus tard un mois après la présentation de la notification d’incident visée au point b), comprenant les éléments suivants:
    une description détaillée de l’incident, y compris de sa gravité et de son impact;
    le type de menace ou la cause profonde qui a probablement déclenché l’incident;
    les mesures d’atténuation appliquées et en cours;
    le cas échéant, l’impact transfrontière de l’incident;
  5. en cas d’incident en cours au moment de la présentation du rapport final visé au point d), les États membres veillent à ce que les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement de l’incident.
2. Par dérogation au premier alinéa, point b), un prestataire de services de confiance notifie au CSIRT ou, selon le cas, à l’autorité compétente les incidents importants qui ont un impact sur la fourniture de ses services de confiance, sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l’incident important.
1. Le CSIRT ou l’autorité compétente fournissent, sans retard injustifié et si possible dans les 24 heures suivant la réception de l’alerte précoce visée au paragraphe 4, point a), une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident important et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation. Lorsque le CSIRT n’est pas le premier destinataire de la notification visée au paragraphe 1, l’orientation est émise par l’autorité compétente en coopération avec le CSIRT. Le CSIRT fournit un soutien technique supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, le CSIRT ou l’autorité compétente fournit également des orientations sur les modalités de notification de l’incident important aux autorités répressives.
1. Lorsque c’est approprié, et notamment si l’incident important concerne deux États membres ou plus, le CSIRT, l’autorité compétente ou le point de contact unique informent sans retard injustifié les autres États membres touchés et l’ENISA de l’incident important. Sont alors partagées des informations du type de celles reçues conformément au paragraphe 4. Ce faisant, le CSIRT, l’autorité compétente ou le point de contact unique doivent, dans le respect du droit de l’Union ou du droit national, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.
1. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, le CSIRT d’un État membre ou, selon le cas, son autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse.
1. À la demande du CSIRT ou de l’autorité compétente, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres touchés.
1. Le point de contact unique soumet tous les trois mois à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1 du présent article et à l’article 30. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut adopter des orientations techniques sur les paramètres des informations à inclure dans le rapport de synthèse. L’ENISA informe le groupe de coopération et le réseau des CSIRT de ses conclusions concernant les notifications reçues tous les six mois.
1. Les CSIRT ou, selon le cas, les autorités compétentes fournissent aux autorités compétentes en vertu de la directive (UE) 2022/2557 des informations sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1 du présent article et à l’article 30 par les entités identifiées comme des entités critiques en vertu de la directive (UE) 2022/2557.
1. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure des notifications présentées en vertu du paragraphe 1 du présent article et de l’article 30 ainsi que des communications présentées en vertu du paragraphe 2 du présent article.
2. Au plus tard le 17 octobre 2024, la Commission adopte, en ce qui concerne les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, des actes d’exécution précisant plus en détail les cas dans lesquels un incident est considéré comme important au sens du paragraphe 3. La Commission peut adopter de tels actes d’exécution pour d’autres entités essentielles et importantes.
3. La Commission échange des conseils et coopère avec le groupe de coopération sur les projets d’actes d’exécution visés aux premier et deuxième alinéas du présent paragraphe conformément à l’article 14, paragraphe 4, point e).
4. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 39, paragraphe 2.

Relevant recitals

Considérant 83 Responsibility regardless of outsourcing

Les entités essentielles et importantes devraient garantir la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités. Il s’agit principalement de réseaux et de systèmes d’information privés qui sont gérés par les services informatiques des entités essentielles ou importantes ou dont la gestion de la sécurité a été sous-traitée. Les mesures de gestion des risques en matière de cybersécurité et les obligations d’information prévues par la présente directive devraient s’appliquer aux entités essentielles et importantes, indépendamment du fait que ces entités effectuent la maintenance de leurs réseaux et systèmes d’information en interne ou qu’elles l’externalisent.

Considérant 101 Multi-stage incident reporting approach

La présente directive établit une approche en plusieurs étapes de la notification des incidents importants afin de trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers. À cet égard, la présente directive devrait inclure la notification des incidents qui, sur la base d’une évaluation initiale effectuée par l’entité concernée, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité, de la gravité et des caractéristiques techniques de la cybermenace et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité en matière d’incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

Considérant 102 Early warning, incident notification and final report

Lorsque les entités essentielles ou importantes prennent connaissance d’un incident important, elles devraient être tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures. Cette alerte précoce devrait être suivie d’une notification d’incident. Les entités concernées devraient soumettre une notification d’incident sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident important, dans le but, notamment, de mettre à jour les informations transmises dans le cadre de l’alerte précoce et d’indiquer une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles. Un rapport final devrait être présenté au plus tard un mois après la notification de l’incident. L’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident important à la connaissance du CSIRT, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité concernée de demander une assistance, si nécessaire. Cette alerte précoce devrait, le cas échéant, indiquer si l’incident important est soupçonné d’être causé par des actes illicites ou malveillants et s’il est susceptible d’avoir un impact transfrontière. Les États membres devraient veiller à ce que l’obligation de soumettre cette alerte précoce, ou la notification d’incident ultérieure, ne détourne pas les ressources de l’entité effectuant la notification des activités liées à la gestion des incidents qui devraient avoir la priorité, afin d’éviter que les obligations de notification des incidents ne détournent les ressources de la gestion des incidents importants ou ne compromettent d’une autre manière les efforts déployés par l’entité à cet égard. En cas d’incident en cours au moment de la présentation du rapport final, les États membres devraient veiller à ce que les entités concernées fournissent un rapport d’avancement à ce moment-là, et un rapport final dans un délai d’un mois à compter du traitement de l’incident important.

Considérant 103 Communication of significant cyber threats

Le cas échéant, les entités essentielles et importantes devraient informer sans retard injustifié les destinataires de leurs services de toute mesure ou correction qu’elles peuvent appliquer pour atténuer les risques découlant d’une cybermenace importante. Lorsque cela est approprié, et en particulier lorsque la cybermenace importante est susceptible de se concrétiser, ces entités devraient également informer les destinataires de leurs services de la menace en question. L’obligation qui est faite aux entités d’informer les destinataires des cybermenaces importantes devrait être respectée par les entités dans toute la mesure du possible mais ne saurait les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute menace pour la sécurité et pour rétablir le niveau normal de sécurité du service. La fourniture de telles informations aux destinataires du service au sujet des cybermenaces importantes devrait être gratuite et formulée dans un langage facile à comprendre.

Considérant 105 Voluntary reporting of cyber threats

Une approche proactive à l’égard des cybermenaces est un élément essentiel de la gestion des risques en matière de cybersécurité, qui devrait permettre aux autorités compétentes d’empêcher efficacement que les cybermenaces n’aboutissent à des incidents susceptibles de causer un dommage matériel, corporel ou moral considérable. À cette fin, la notification des cybermenaces revêt une importance capitale. Les entités sont dès lors encouragées à notifier les cybermenaces à titre volontaire.

Considérant 106 Technical means for simplify reporting

Afin de simplifier la communication des informations requises en vertu de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques, tels qu’un point d’entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles et des plateformes dédiées à l’utilisation des entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, pour la communication des informations pertinentes à transmettre. Le financement de l’Union destiné à soutenir la mise en œuvre de la présente directive, en particulier dans le cadre du programme pour une Europe numérique, établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil(²¹)Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1)., pourrait inclure un soutien aux points d’entrée uniques. En outre, les entités se retrouvent souvent dans une situation dans laquelle un incident particulier, en raison de ses caractéristiques, doit être notifié à différentes autorités en raison d’obligations de notification figurant dans différents instruments juridiques. De tels cas créent une charge administrative supplémentaire et pourraient également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. Lorsqu’un point d’entrée unique est établi, les États membres sont encouragés à utiliser également ce point d’entrée unique pour les notifications d’incidents de sécurité requises en vertu d’autres dispositions du droit de l’Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L’utilisation de ce point d’entrée unique pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices pour simplifier et rationaliser les informations à transmettre en vertu du droit de l’Union et réduire la charge administrative pesant sur les entités qui effectuent la notification.

Considérant 107 Reporting incidents to law enforcement

Lorsqu’il y a lieu de suspecter qu’un incident est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à notifier aux autorités répressives compétentes tout incident de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) et l’ENISA.

Considérant 139 Implementing acts on the Cooperation Group, measures and reporting

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques en matière de cybersécurité, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents, de cybermenaces et d’incidents évités et des communications relatives aux cybermenaces importantes, ainsi que les cas dans lesquels un incident doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) n^o 182/2011 du Parlement européen et du Conseil(²³)Règlement (UE) n^o 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13)..

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.