Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 29 Accords de partage d’informations en matière de cybersécurité
Les États membres veillent à ce que les entités relevant du champ d’application de la présente directive et, le cas échéant, les autres entités concernées ne relevant pas du champ d’application de la présente directive puissent échanger entre elles, à titre volontaire, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations:
vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact;
renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.
Les États membres veillent à ce que l’échange d’informations ait lieu au sein de communautés d’entités essentielles et importantes ainsi que, le cas échéant, de leurs fournisseurs ou prestataires de services. Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.
Les États membres facilitent la mise en place des accords de partage d’informations en matière de cybersécurité visés au paragraphe 2 du présent article. Ces accords peuvent préciser les éléments opérationnels, y compris l’utilisation de plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions des accords de partage d’informations. Lorsqu’ils précisent la participation des autorités publiques à ces accords, les États membres peuvent imposer des conditions en ce qui concerne les informations mises à disposition par les autorités compétentes ou les CSIRT. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 7, paragraphe 2, point h).
Les États membres veillent à ce que les entités essentielles et importantes notifient aux autorités compétentes leur participation aux accords de partage d’informations en matière de cybersécurité visés au paragraphe 2, lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords, une fois que le retrait prend effet.
L’ENISA fournit une assistance pour la mise en place des accords de partage d’informations en matière de cybersécurité visés au paragraphe 2 par l’échange de bonnes pratiques et l’apport d’orientations.
Relevant recitals
Considérant 119 Obstacles to information sharing
Face à la complexité et à la sophistication croissantes des cybermenaces, l’efficacité des mesures de détection et de prévention de ces menaces dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l’incertitude quant à la compatibilité avec les règles en matière de concurrence et de responsabilité.
Considérant 120 Encouragement of information sharing
Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à prévenir et détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.