Beta

Source: OJ L 333, 27.12.2022, p. 80–152

Current language: FR

Article 7 Stratégie nationale en matière de cybersécurité

    1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et de le maintenir. La stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; comprend:

      1. les objectifs et priorités de la stratégie de l’État membre en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, couvrant en particulier les secteurs visés aux annexes I et II;

      2. un cadre de gouvernance visant à atteindre les objectifs et priorités visés au point a) du présent paragraphe, y compris les politiques visées au paragraphe 2;

      3. un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées au niveau national, et sur lequel reposent la coopération et la coordination au niveau national entre les autorités compétentes, les points de contact uniques et les CSIRT en vertu de la présente directive, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union;

      4. un mécanisme visant à déterminer les actifs pertinents et une évaluation des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; dans cet État membre;

      5. un inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;, y compris la coopération entre les secteurs public et privé;

      6. une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;;

      7. un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) 2022/2557 aux fins du partage d’informations relatives aux risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;, aux menaces et aux incidents: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles; dans les domaines cyber et non cyber et de l’exercice des tâches de supervision, le cas échéant;

      8. un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;.

    1. Dans le cadre de la stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, les États membres adoptent notamment des politiques portant sur les éléments suivants:

      1. la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; dans le cadre de la chaîne d’approvisionnement des produits et services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; utilisés par des entités pour la fourniture de leurs services;

      2. l’inclusion et la spécification d’exigences liées à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; pour les produits et services TIC: un service TIC au sens de l’article 2, point 13), du règlement (UE) 2019/881; dans les marchés publics, y compris concernant la certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, le chiffrement et l’utilisation de produits de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; en sources ouvertes;

      3. la gestion des vulnérabilités, y compris la promotion et la facilitation de la divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1;

      4. le maintien de la disponibilité générale, de l’intégrité et de la confidentialité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des câbles de communication sous-marins;

      5. la promotion du développement et de l’intégration de technologies avancées pertinentes visant à mettre en œuvre des mesures de pointe dans la gestion des risques: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise; en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;;

      6. la promotion et le développement de l’éducation et de la formation en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, des compétences en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités;

      7. le soutien aux institutions universitaires et de recherche visant à développer, améliorer et promouvoir le déploiement des outils de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; et à sécuriser les infrastructures de réseau;

      8. la mise en place de procédures pertinentes et d’outils de partage d’informations appropriés visant à soutenir le partage volontaire d’informations sur la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; entre les entités conformément au droit de l’Union;

      9. le renforcement des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente directive, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques;

      10. la promotion d’une cyberprotection active.

    1. Les États membres notifient leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; à la Commission dans un délai de trois mois suivant leur adoption. Les États membres peuvent exclure de ces notifications les informations relatives à leur sécurité nationale.

    1. Les États membres évaluent régulièrement leur stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre;, et au moins tous les cinq ans, sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’ENISA aide les États membres, à leur demande, à élaborer ou actualiser une stratégie nationale en matière de cybersécurité: le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser dans cet État membre; et des indicateurs clés de performance aux fins de l’évaluation de cette stratégie, afin de l’aligner sur les exigences et les obligations prévues par la présente directive.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod