Preamble Recitals

La directive (UE) 2016/1148 du Parlement européen et du Conseil(⁴)Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1). avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société.

Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés dans l’amélioration du niveau de cyberrésilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux sur la sécurité des réseaux et des systèmes d’information soient achevés en instaurant des stratégies nationales en matière de sécurité des réseaux et des systèmes d’information, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les entités essentielles identifiées par chacun des États membres. La directive (UE) 2016/1148 a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération et du réseau des centres de réponse aux incidents de sécurité informatique. En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.

Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, y compris dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des cybermenaces et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus essentielles que jamais pour le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

La base juridique de la directive (UE) 2016/1148 était l’article 114 du traité sur le fonctionnement de l’Union européenne, dont l’objectif est la création et le fonctionnement du marché intérieur par l’amélioration de mesures pour le rapprochement des règles nationales. Les exigences en matière de cybersécurité imposées aux entités fournissant des services ou exerçant des activités qui sont importantes d’un point de vue économique varient grandement d’un État membre à l’autre en ce qui concerne le type d’exigence, le niveau de précision et la méthode de surveillance. Ces disparités entraînent des coûts supplémentaires et créent des difficultés pour les entités qui fournissent des biens ou des services par-delà les frontières. Les exigences imposées par un État membre et qui diffèrent des exigences imposées par un autre État membre, voire qui les contredisent, peuvent avoir un impact considérable sur ces activités transfrontières. De surcroît, il est probable qu’une conception ou une mise en œuvre inadéquates des exigences de cybersécurité dans un État membre ait des répercussions sur le niveau de cybersécurité d’un autre État membre, en particulier en raison de l’intensité des échanges transfrontières. Le réexamen de la directive (UE) 2016/1148 a montré l’existence de fortes divergences dans sa mise en œuvre par les États membres, notamment eu égard à son champ d’application, dont la délimitation a dans une large mesure été laissée à l’appréciation des États membres. La directive (UE) 2016/1148 laissait également un large pouvoir d’appréciation aux États membres en ce qui concerne la mise en œuvre des obligations qu’elle prévoyait en matière de sécurité et de notification des incidents. Partant, ces obligations ont été mises en œuvre de manières considérablement différentes au niveau national. Des divergences de mise en œuvre similaires ont été constatées s’agissant des dispositions de ladite directive relatives à la supervision et à l’exécution.

L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et peuvent produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyberrésilience en raison de l’application de mesures qui divergent les unes des autres. En fin de compte, ces divergences pourraient aggraver la vulnérabilité de certains États membres aux cybermenaces, ce qui peut avoir des retombées dans l’ensemble de l’Union. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des mesures d’exécution effectifs qui sont essentiels à l’exécution effective de ces obligations. Il convient, par conséquent, d’abroger la directive (UE) 2016/1148 et de la remplacer par la présente directive.

Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociétales essentielles dans le marché intérieur. La présente directive a pour objectif, en particulier, de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

En vertu de la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques en matière de cybersécurité et les obligations d’information pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant quelles entités relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application d’une règle de plafond, selon laquelle toutes les entités constituant des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission(⁵)Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36)., ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui sont actives dans les secteurs, fournissent les types de services et exercent les activités couverts par la présente directive, relèvent de son champ d’application. Les États membres devraient également faire en sorte que certaines petites entreprises et microentreprises au sens de l’article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour la société, les économies ou pour des secteurs ou des types de services particuliers, relèvent également du champ d’application de la présente directive.

L’exclusion des entités de l’administration publique du champ d’application de la présente directive devrait s’appliquer aux entités dont les activités sont principalement exercées dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière. Toutefois, les entités de l’administration publique dont les activités ne sont que marginalement liées à ces domaines ne devraient pas être exclues du champ d’application de la présente directive. Aux fins de la présente directive, les entités disposant de compétences réglementaires ne sont pas considérées comme exerçant des activités dans le domaine de l’application de la loi et elles ne sont donc pas exclues, pour ce motif, du champ d’application de la présente directive. Les entités de l’administration publique qui sont établies conjointement avec un pays tiers conformément à un accord international sont exclues du champ d’application de la présente directive. La présente directive ne s’applique pas aux missions diplomatiques et consulaires des États membres dans des pays tiers ni à leurs réseaux et systèmes d’information, si ces systèmes sont situés dans les locaux de la mission ou sont exploités pour des utilisateurs dans un pays tiers.

Les États membres devraient pouvoir adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sécurité nationale, assurer l’action publique et la sécurité publique et permettre la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. À cette fin, les États membres devraient pouvoir exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, de certaines obligations prévues par la présente directive en ce qui concerne ces activités. Lorsqu’une entité fournit des services exclusivement à une entité de l’administration publique qui est exclue du champ d’application de la présente directive, les États membres devraient pouvoir exempter cette entité de certaines obligations prévues par la présente directive en ce qui concerne lesdits services. En outre, aucun État membre ne devrait être tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité nationale, sa sécurité publique ou sa défense. Les règles nationales ou de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole «Traffic Light Protocol», devraient être pris en compte dans ce contexte. Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer les limitations applicables à la diffusion plus large de ces informations. Il est utilisé par la quasi-totalité des centres de réponse aux incidents de sécurité informatique (CSIRT) et par certains centres d’échange et d’analyse d’informations.

Bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.

Certaines entités exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière, tout en fournissant également des services de confiance. Les prestataires de services de confiance qui relèvent du champ d’application du règlement (UE) n^o 910/2014 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). devraient relever du champ d’application de la présente directive afin d’assurer le même niveau d’exigences de sécurité et de contrôle que celui qui était précédemment prévu dans ledit règlement à l’égard des prestataires de services de confiance. Dans le droit fil de l’exclusion de certains services spécifiques du règlement (UE) n^o 910/2014, la présente directive ne devrait pas s’appliquer à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

Les prestataires de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil(⁷)Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14)., y compris les prestataires de services d’expédition, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri, le transport ou la distribution des envois postaux, y compris les services d’enlèvement, tout en tenant compte de leur degré de dépendance aux réseaux et aux systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient être exclus de la catégorie des services postaux.

Compte tenu de l’intensification et de la sophistication accrue des cybermenaces, les États membres devraient s’efforcer de faire en sorte que les entités exclues du champ d’application de la présente directive atteignent un niveau élevé de cybersécurité et de soutenir la mise en œuvre de mesures équivalentes de gestion des risques en matière de cybersécurité qui tiennent compte du caractère sensible de ces entités.

Le droit de l’Union en matière de protection des données et le droit de l’Union en matière de protection de la vie privée s’appliquent à tout traitement de données à caractère personnel au titre de la présente directive. En particulier, la présente directive est sans préjudice du règlement (UE) 2016/679 du Parlement européen et du Conseil(⁸)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). et de la directive 2002/58/CE du Parlement européen et du Conseil(⁹)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).. La présente directive ne devrait donc pas porter atteinte, entre autres, aux tâches et aux compétences des autorités compétentes pour contrôler le respect du droit de l’Union applicable en matière de protection des données et de protection de la vie privée.

Les entités qui relèvent du champ d’application de la présente directive aux fins du respect des mesures de gestion des risques en matière de cybersécurité et des obligations d’information devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte, le cas échéant, de toute évaluation des risques ou orientation sectorielle pertinente réalisée par les autorités compétentes. Les régimes de supervision et d’exécution applicables à ces deux catégories d’entités devraient être différenciés afin de garantir un juste équilibre entre les exigences et les obligations basées sur les risques, d’une part, et la charge administrative qui découle du contrôle de la conformité, d’autre part.

Afin d’éviter que des entités ayant des entreprises partenaires ou des entreprises liées ne soient considérées comme des entités essentielles ou importantes lorsque cela serait disproportionné, les États membres sont en mesure de tenir compte du degré d’indépendance dont jouit une entité à l’égard de ses partenaires et de ses entreprises liées lorsqu’ils appliquent l’article 6, paragraphe 2, de l’annexe de la recommandation 2003/361/CE. En particulier, les États membres sont en mesure de tenir compte du fait qu’une entité est indépendante de son partenaire ou d’entreprises liées en ce qui concerne le réseau et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit. Sur cette base, s’il y a lieu, les États membres peuvent considérer qu’une telle entité ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte. Cela ne modifie en rien les obligations prévues par la présente directive pour les entreprises partenaires et les entreprises liées qui relèvent du champ d’application de la présente directive.

Les États membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la présente directive, comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Afin de permettre une vue d’ensemble claire des entités relevant du champ d’application de la présente directive, les États membres devraient établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. À cette fin, les États membres devraient exiger des entités qu’elles communiquent aux autorités compétentes au moins les informations suivantes, à savoir le nom, l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone de l’entité, et, le cas échéant, le secteur et le sous-secteur concernés visés dans les annexes, ainsi que, le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente directive. À cette fin, la Commission, avec l’aide de l’Agence de l’Union européenne pour la cybersécurité (ENISA), devrait fournir, sans retard injustifié, des lignes directrices et des modèles concernant les obligations de communiquer des informations. Afin de faciliter l’établissement et la mise à jour de la liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine, les États membres devraient pouvoir mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes. Lorsque des registres existent au niveau national, les États membres peuvent décider des mécanismes appropriés permettant d’identifier les entités relevant du champ d’application de la présente directive.

Les États membres devraient être chargés de communiquer à la Commission au moins le nombre d’entités essentielles et importantes pour chaque secteur et sous-secteur visés dans les annexes, ainsi que les informations pertinentes sur le nombre d’entités identifiées et la disposition, parmi celles prévues par la présente directive, sur la base de laquelle elles ont été identifiées, et le type de service qu’elles fournissent. Les États membres sont encouragés à échanger avec la Commission des informations sur les entités essentielles et importantes et, en cas d’incident de cybersécurité majeur, des informations pertinentes telles que le nom de l’entité concernée.

La Commission devrait, en coopération avec le groupe de coopération et après consultation des acteurs concernés, fournir des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux petites entreprises permettant de déterminer si elles relèvent du champ d’application de la présente directive. La Commission devrait également veiller à ce que des orientations appropriées soient données aux microentreprises et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec l’aide des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard.

La Commission pourrait formuler des orientations afin d’aider les États membres à mettre en œuvre les dispositions de la présente directive relatives au champ d’application, et d’évaluer la proportionnalité des mesures devant être prises au titre de la présente directive, en particulier en ce qui concerne les entités dotées de modèles économiques ou d’environnements d’exploitation complexes, qui font qu’une entité peut satisfaire à la fois aux critères attribués aux entités essentielles et importantes, ou exercer simultanément des activités dont certaines relèvent du champ d’application de la présente directive et d’autres non.

La présente directive définit les exigences minimales pour les mesures de gestion des risques en matière de cybersécurité et les obligations d’information dans tous les secteurs relevant de son champ d’application. Afin d’éviter la fragmentation des dispositions en matière de cybersécurité des actes juridiques de l’Union, lorsque des actes juridiques sectoriels supplémentaires de l’Union relatifs aux mesures de gestion des risques en matière de cybersécurité et aux obligations d’information sont jugés nécessaires pour garantir un niveau élevé de cybersécurité dans toute l’Union, la Commission devrait évaluer si de telles dispositions supplémentaires pourraient être prévues dans un acte d’exécution au titre de la présente directive. Si un tel acte d’exécution devait ne pas convenir à cette fin, les actes juridiques sectoriels de l’Union pourraient contribuer à garantir un niveau élevé de cybersécurité dans toute l’Union tout en tenant pleinement compte du caractère spécifique et complexe des secteurs concernés. À cette fin, la présente directive n’empêche pas l’adoption d’actes juridiques sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et des obligations d’information qui tiennent dûment compte de la nécessité d’un cadre global et cohérent en matière de cybersécurité. La présente directive est sans préjudice des compétences d’exécution existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

Lorsque des actes juridiques sectoriels de l’Union contiennent des dispositions imposant à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier les incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, lesdites dispositions, y compris celles relatives à la supervision et à l’exécution, devraient s’appliquer auxdites entités. Lorsqu’un acte sectoriel de l’Union ne couvre pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive devraient continuer de s’appliquer aux entités non couvertes par ledit acte.

Lorsque les dispositions d’un acte juridique sectoriel de l’Union imposent aux entités essentielles ou importantes de se conformer à des obligations d’information ayant un effet au moins équivalent à celui des obligations d’information prévues dans la présente directive, il convient d’assurer la cohérence et l’efficacité du traitement des notifications d’incidents. À cette fin, les dispositions relatives à la notification des incidents de l’acte juridique sectoriel de l’Union devraient fournir aux CSIRT, aux autorités compétentes ou aux points de contact uniques en matière de cybersécurité (ci-après dénommés «points de contact uniques») en vertu de la présente directive un accès immédiat aux notifications d’incidents soumises conformément à l’acte juridique sectoriel de l’Union. En particulier, cet accès immédiat peut être garanti si les notifications d’incidents sont transmises sans retard injustifié au CSIRT, à l’autorité compétente ou au point de contact unique en vertu de la présente directive. S’il y a lieu, les États membres devraient mettre en place un mécanisme d’information automatique et directe qui garantisse un partage systématique et immédiat des informations avec les CSIRT, les autorités compétentes ou les points de contact uniques concernant le traitement de ces notifications d’incidents. Afin de simplifier les signalements et de mettre en œuvre le mécanisme d’information automatique et directe, les États membres pourraient, conformément à l’acte juridique sectoriel de l’Union, utiliser un point d’entrée unique.

Les actes juridiques sectoriels de l’Union qui prévoient des mesures de gestion des risques en matière de cybersécurité ou des obligations d’information ayant un effet au moins équivalent à celui des obligations d’information prévues dans la présente directive pourraient prévoir que les autorités compétentes en vertu desdits actes exercent leurs pouvoirs de supervision et d’exécution à l’égard de ces mesures ou obligations avec l’assistance des autorités compétentes en vertu de la présente directive. Les autorités compétentes concernées pourraient établir des accords de coopération à cet effet. Ces accords de coopération pourraient préciser, entre autres, les procédures relatives à la coordination des activités de supervision, y compris les procédures d’enquête et d’inspection sur place conformément au droit national ainsi qu’un mécanisme d’échange des informations pertinentes sur la supervision et l’exécution entre les autorités compétentes, y compris l’accès aux informations relatives au cyberespace demandées par les autorités compétentes en vertu de la présente directive.

Lorsque des actes juridiques sectoriels de l’Union imposent aux entités de notifier les cybermenaces importantes ou les incitent à le faire, les États membres devraient également encourager le partage d’informations sur les cybermenaces importantes avec les CSIRT, les autorités compétentes ou les points de contact uniques au titre de la présente directive, afin de garantir un niveau accru de sensibilisation de ces organismes au paysage des cybermenaces et de leur permettre de réagir efficacement et en temps utile si les cybermenaces importantes se concrétisent.

Les futurs actes juridiques sectoriels de l’Union devraient tenir dûment compte des définitions et du cadre de supervision et d’exécution établis dans la présente directive.

Le règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹⁰)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (voir page 1 du présent Journal officiel). devrait être considéré comme un acte juridique sectoriel de l’Union en lien avec la présente directive en ce qui concerne les entités financières. Les dispositions du règlement (UE) 2022/2554 portant sur les mesures de gestion des risques concernant les technologies de l’information et de la communication (TIC), la gestion des incidents liés aux TIC et notamment la notification des incidents majeurs liés aux TIC, ainsi que sur le test de la résilience opérationnelle numérique, les accords de partage d’informations et les risques liés aux tiers en matière de TIC devraient s’appliquer au lieu de celles prévues par la présente directive. Les États membres ne devraient par conséquent pas appliquer aux entités financières relevant du règlement (UE) 2022/2554 les dispositions de la présente directive concernant la gestion des risques de cybersécurité et les obligations d’information ainsi que la supervision et l’exécution. Dans le même temps, il est important de conserver une relation forte et de maintenir l’échange d’informations avec le secteur financier dans le cadre de la présente directive. À cet effet, le règlement (UE) 2022/2554 permet aux autorités européennes de surveillance (AES) et aux autorités compétentes en vertu dudit règlement de participer aux activités du groupe de coopération, ainsi que d’échanger des informations et de coopérer avec les points de contact uniques ainsi qu’avec les CSIRT et les autorités compétentes en vertu de la présente directive. Les autorités compétentes en vertu du règlement (UE) 2022/2554 devraient également communiquer les détails des incidents majeurs liés aux TIC et, s’il y a lieu, des cybermenaces importantes aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la présente directive. Cela est réalisable en prévoyant un accès immédiat aux notifications d’incidents et en les transmettant soit directement, soit par l’intermédiaire d’un point d’entrée unique. De plus, les États membres devraient continuer d’inclure le secteur financier dans leur stratégie en matière de cybersécurité et les CSIRT peuvent inclure le secteur financier dans leurs activités.

Afin d’éviter les écarts et les doubles emplois en ce qui concerne les obligations en matière de cybersécurité imposées aux entités du secteur de l’aviation, les autorités nationales en vertu des règlements (CE) n^o 300/2008(¹¹)Règlement (CE) n^o 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n^o 2320/2002 (JO L 97 du 9.4.2008, p. 72). et (UE) 2018/1139(¹²)Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n^o 2111/2005, (CE) n^o 1008/2008, (UE) n^o 996/2010, (UE) n^o 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n^o 552/2004 et (CE) n^o 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n^o 3922/91 du Conseil (JO L 212 du 22.8.2018, p. 1). du Parlement européen et du Conseil et les autorités compétentes en vertu de la présente directive devraient coopérer pour la mise en œuvre des mesures de gestion des risques en matière de cybersécurité et la surveillance du respect de ces mesures au niveau national. Le respect par une entité des exigences de sécurité prévues dans les règlements (CE) n^o 300/2008 et (UE) 2018/1139 et dans les actes délégués et d’exécution pertinents adoptés en vertu de ces règlements pourrait être considéré par les autorités compétentes en vertu de la présente directive comme constituant le respect des exigences correspondantes prévues dans la présente directive.

Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) 2022/2557 du Parlement européen et du Conseil(¹³)Règlement (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques et abrogeant la directive 2008/114/CE du Conseil (voir page 164 du présent Journal officiel). et la présente directive. À cet effet, les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles en vertu de la présente directive. De plus, chaque État membre devrait veiller à ce que sa stratégie nationale en matière de cybersécurité prévoie un cadre d’action pour une coordination renforcée en son sein entre ses autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557, dans le contexte du partage d’informations relatives aux risques et aux menaces et incidents en matière de cybersécurité, ainsi qu’aux risques et aux menaces et incidents non liés à la cybersécurité, et de l’exercice des tâches de supervision. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard injustifié, notamment en ce qui concerne le recensement des entités critiques, les risques, les menaces et incidents en matière de cybersécurité, ainsi que les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, y compris les mesures physiques et de cybersécurité adoptées par les entités critiques ainsi que les résultats des activités de supervision réalisées à l’égard de ces entités.

En outre, afin de rationaliser les activités de supervision entre les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 et de réduire au minimum la charge administrative pour les entités concernées, lesdites autorités compétentes devraient s’efforcer d’harmoniser les modèles de notification des incidents et les processus de supervision. Lorsqu’il y a lieu, les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient pouvoir demander aux autorités compétentes en vertu de la présente directive d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité qui est recensée en tant qu’entité critique en vertu de la directive (UE) 2022/2557. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient, si possible en temps réel, coopérer et échanger des informations à cette fin.

Les entités appartenant au secteur des infrastructures numériques sont par nature fondées sur les réseaux et les systèmes d’information et, par conséquent, les obligations qui leur incombent en vertu de la présente directive devraient porter, de manière globale, sur la sécurité physique de ces systèmes, dans le cadre de leurs mesures de gestion des risques en matière de cybersécurité et de leurs obligations d’information. Ces questions étant régies par la présente directive, les obligations prévues aux chapitres III, IV et VI de la directive (UE) 2022/2557 ne s’appliquent pas à ces entités.

Le fait de soutenir et préserver un système de noms de domaine (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer aux registres de noms de domaine de premier niveau et aux fournisseurs de services DNS, qui doivent s’entendre comme des entités fournissant des services de résolution de noms de domaine récursifs publiquement disponibles pour les utilisateurs finaux de l’internet ou des services de résolution de noms de domaine faisant autorité pour l’utilisation par des tiers. La présente directive ne devrait pas s’appliquer aux serveurs racines de noms de domaine.

Les services d’informatique en nuage devraient couvrir les services numériques qui permettent la gestion sur demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits. Les ressources informatiques comprennent des ressources telles que les réseaux, les serveurs ou d’autres infrastructures, les systèmes d’exploitation, les logiciels, le stockage, les applications et les services. Les modèles de services liés à l’informatique en nuage comprennent, entre autres, les infrastructures services (IaaS), les plateformes services (PaaS), les logiciels services (SaaS) et les réseaux services (NaaS). Les modèles de déploiement de l’informatique en nuage devraient inclure les modèles privés, communautaires, publics et hybrides en nuage. Les services d’informatique en nuage et les modèles de déploiement revêtent le même sens que celui des conditions de service et des modèles de déploiement définis dans la norme ISO/CEI 17788:2014. La capacité des utilisateurs de l’informatique en nuage de se fournir eux-mêmes unilatéralement en capacités informatiques, comme du temps de serveur ou du stockage en réseau, sans aucune intervention humaine de la part du fournisseur de service d’informatique en nuage, pourrait être décrite comme une gestion sur demande.

Le terme «accès large à distance» est utilisé pour décrire le fait que les capacités en nuage sont fournies sur le réseau et que l’accès à celles-ci se fait par des mécanismes encourageant le recours à des plateformes clients légères ou lourdes disparates, y compris les téléphones mobiles, les tablettes, les ordinateurs portables et les postes de travail. Le terme «modulable» renvoie aux ressources informatiques qui sont attribuées d’une manière souple par le fournisseur de services en nuage, indépendamment de la localisation géographique de ces ressources, pour gérer les fluctuations de la demande. Le terme «ensemble variable» est utilisé pour décrire les ressources informatiques qui sont mises à disposition et libérées en fonction de la demande pour pouvoir augmenter ou réduire rapidement les ressources disponibles en fonction de la charge de travail. L’expression «pouvant être partagées» est utilisée pour décrire les ressources informatiques qui sont mises à disposition de nombreux utilisateurs qui partagent un accès commun au service, le traitement étant effectué séparément pour chaque utilisateur bien que le service soit fourni à partir du même équipement électronique. Le terme «distribué» est utilisé pour décrire les ressources informatiques qui se trouvent sur des ordinateurs ou des appareils en réseau différents, qui communiquent et se coordonnent par transmission de messages.

Vu l’émergence de technologies innovantes et de nouveaux modèles commerciaux, de nouveaux modèles de service d’informatique en nuage et de déploiement devraient apparaître sur le marché intérieur en réaction aux besoins changeants des clients. Dans un tel contexte, les services d’informatique en nuage peuvent être fournis sous une forme extrêmement distribuée, toujours plus près de l’endroit où les données sont générées ou collectées, entraînant ainsi une transition du modèle traditionnel vers un modèle très distribué (le traitement des données à la périphérie, ou «edge computing»).

Il se peut que les services proposés par les fournisseurs de services de centre de données ne soient pas fournis sous la forme de service d’informatique en nuage. En conséquence, il se peut que les centres de données ne fassent pas partie d’une infrastructure d’informatique en nuage. Afin de gérer l’ensemble des risques qui menacent la sécurité des réseaux et des systèmes d’information, la présente directive devrait dès lors couvrir les fournisseurs de services de centres de données qui ne sont pas des services d’informatique en nuage. Aux fins de la présente directive, le terme «service de centre de données» devrait couvrir la fourniture d’un service qui englobe les structures, ou les groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des équipements de technologie de l’information (TI) et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et des infrastructures de distribution d’électricité et de contrôle environnemental. Le terme «service de centre de données» ne devrait pas s’appliquer aux centres de données internes propres à une entreprise et exploités par l’entité concernée pour ses propres besoins.

Les activités de recherche jouent un rôle clé dans le développement de nouveaux produits et processus. Nombre de ces activités sont menées par des entités qui partagent, diffusent ou exploitent les résultats de leurs recherches à des fins commerciales. Ces entités peuvent donc être des acteurs importants dans les chaînes de valeur, ce qui fait de la sécurité de leurs réseaux et systèmes d’information une partie intégrante de la cybersécurité globale du marché intérieur. L’expression «organismes de recherche» devrait s’entendre comme incluant les entités qui concentrent l’essentiel de leurs activités sur la conduite de la recherche appliquée ou du développement expérimental, au sens du Manuel de Frascati 2015 de l’Organisation de coopération et de développement économiques: Lignes directrices pour le recueil et la communication des données sur la recherche et le développement expérimental, en vue d’exploiter leurs résultats à des fins commerciales, telles que la fabrication ou la mise au point d’un produit ou d’un processus, la fourniture d’un service, ou la commercialisation d’un produit, d’un processus ou d’un service.

Les interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs tels que l’énergie, les transports, les infrastructures numériques, l’eau potable, les eaux usées, la santé, certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de son programme spatial. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des conséquences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. L’intensification des cyberattaques pendant la pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.

Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords sectoriels existants ou les autorités de surveillance et de régulation de l’Union, les États membres devraient pouvoir désigner ou créer une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision dans le cadre de la présente directive.

Afin de faciliter la coopération et la communication transfrontières entre les autorités et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre désigne un point de contact unique chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d’information et de la coopération transfrontière au niveau de l’Union.

Les points de contact uniques devraient assurer une coopération transfrontière efficace avec les autorités compétentes des autres États membres et, s’il y a lieu, avec la Commission et l’ENISA. Les points de contact uniques devraient dès lors être chargés de transmettre les notifications d’incidents importants ayant un impact transfrontière aux points de contact uniques des autres États membres touchés à la demande du CSIRT ou de l’autorité compétente. Au niveau national, les points de contact uniques devraient permettre une coopération intersectorielle harmonieuse avec les autorités compétentes. Les points de contact uniques pourraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes en vertu du règlement (UE) 2022/2554, qu’ils devraient pouvoir transmettre, s’il y a lieu, aux CSIRT ou aux autorités compétentes en vertu de la présente directive.

Les États membres devraient disposer de capacités suffisantes, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et les risques, y réagir et en atténuer l’impact. Les États membres devraient dès lors créer ou désigner un ou plusieurs CSIRT en vertu de la présente directive et veiller à ce qu’ils disposent des ressources et des capacités techniques adéquates. Les CSIRT devraient se conformer aux exigences établies dans la présente directive afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Les États membres devraient pouvoir désigner des équipes d’intervention en cas d’urgence informatique (CERT) existants en tant que CSIRT. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient pouvoir envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de supervision des autorités compétentes.

Les CSIRT sont chargés de la gestion des incidents. Cela comprend le traitement de grands volumes de données parfois sensibles. Les États membres devraient veiller à ce que les CSIRT disposent d’une infrastructure de partage et de traitement de l’information ainsi que d’un personnel bien équipé qui garantissent la confidentialité et la fiabilité de leurs opérations. Les CSIRT pourraient également adopter des codes de conduite à cet égard.

En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679, à la demande d’une entité essentielle ou importante, un scan proactif des réseaux et des systèmes d’information utilisés pour la fourniture des services de l’entité. Le cas échéant, les États membres devraient œuvrer à assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres devraient pouvoir solliciter l’assistance de l’ENISA pour la mise en place de leurs CSIRT.

Les CSIRT devraient avoir la faculté, à la demande d’une entité essentielle ou importante, de surveiller les ressources de l’entité en question connectées à l’internet, à la fois sur site et hors site, afin de repérer, comprendre et gérer les risques organisationnels globaux encourus par cette entité face aux compromissions nouvellement découvertes dans les chaînes d’approvisionnement ou vulnérabilités critiques. L’entité devrait être encouragée à indiquer au CSIRT si elle gère une interface de gestion privilégiée, car cela pourrait avoir un impact sur la rapidité de mise en œuvre de mesures d’atténuation.

Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive. Par conséquent, aux fins de l’accomplissement de leurs tâches, les CSIRT et les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les centres de réponses aux incidents de sécurité informatique nationaux ou les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l’Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l’article 49 du règlement (UE) 2016/679, soient remplies.

Il est essentiel de garantir des ressources suffisantes pour atteindre les objectifs de la présente directive et de donner aux autorités compétentes et aux CSIRT les moyens d’accomplir les tâches qu’elle prévoit. Les États membres peuvent mettre en place, au niveau national, un mécanisme de financement destiné à couvrir les dépenses nécessaires à l’exécution des tâches des entités publiques chargées de la cybersécurité dans l’État membre en vertu de la présente directive. Ce mécanisme devrait être conforme au droit de l’Union, proportionné et non discriminatoire et devrait tenir compte des différentes approches en matière de fourniture de services sécurisés.

Le réseau des CSIRT devrait continuer de contribuer à renforcer la confiance et à promouvoir une coopération opérationnelle rapide et efficace entre les États membres. Afin de renforcer la coopération opérationnelle au niveau de l’Union, le réseau des CSIRT devrait envisager d’inviter les organes et organismes de l’Union associés à la politique de cybersécurité, tels qu’Europol, à participer à ses travaux.

Afin d’atteindre et de maintenir un niveau élevé de cybersécurité, les stratégies nationales en matière de cybersécurité requises au titre de la présente directive devraient consister en des cadres cohérents prévoyant des objectifs stratégiques et des priorités dans le domaine de la cybersécurité et de la gouvernance pour les atteindre. Ces stratégies peuvent se composer d’un ou de plusieurs instruments législatifs ou non législatifs.

Les politiques de cyberhygiène jettent les bases qui permettent de protéger la sécurité des infrastructures des réseaux et systèmes d’information, du matériel, des logiciels et des applications en ligne, ainsi que les données relatives aux entreprises ou aux utilisateurs finaux sur lesquelles les entités s’appuient. Les politiques de cyberhygiène qui comportent une base commune de pratiques incluant les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents ou aux cybermenaces. L’ENISA devrait suivre et analyser les politiques des États membres en matière de cyberhygiène.

La sensibilisation à la cybersécurité et la cyberhygiène sont essentielles pour améliorer le niveau de cybersécurité au sein de l’Union, compte tenu notamment du nombre croissant de dispositifs connectés qui sont de plus en plus utilisés dans les cyberattaques. Des efforts devraient être consentis pour améliorer la prise de conscience globale des risques liés à ces dispositifs, tandis que les évaluations au niveau de l’Union pourraient contribuer à garantir une compréhension commune de ces risques au sein du marché intérieur.

Les États membres devraient encourager l’utilisation de toute technologie innovante, y compris l’intelligence artificielle, dont l’utilisation pourrait améliorer la détection et la prévention des cyberattaques, ce qui permettrait de réorienter plus efficacement les ressources vers les cyberattaques. Les États membres devraient dès lors encourager, dans le cadre de leur stratégie nationale en matière de cybersécurité, les activités de recherche et de développement visant à faciliter l’utilisation de ces technologies, en particulier celles relatives aux outils automatisés ou semi-automatisés en matière de cybersécurité, et, s’il y a lieu, le partage des données nécessaires pour former les utilisateurs de ces technologies et les améliorer. L’utilisation de toute technologie innovante, y compris l’intelligence artificielle, devrait être conforme au droit de l’Union en matière de protection des données, y compris aux principes de protection des données relatifs à l’exactitude des données, à la minimisation des données, à l’équité et à la transparence, et à la sécurité des données, comme les méthodes de chiffrement de pointe. Les exigences de protection des données dès la conception et par défaut, prévues par le règlement (UE) 2016/679, doivent être pleinement exploitées.

Les outils et applications de cybersécurité en sources ouvertes peuvent contribuer à augmenter le degré d’ouverture et avoir un effet positif sur l’efficacité de l’innovation industrielle. Les normes ouvertes facilitent l’interopérabilité entre les outils de sécurité, ce qui profite à la sécurité des acteurs industriels. Les outils et applications de cybersécurité en sources ouvertes peuvent mobiliser la communauté des développeurs au sens large, ce qui permet de diversifier les fournisseurs. Les sources ouvertes peuvent conduire à un processus de vérification plus transparent des outils liés à la cybersécurité et à un processus communautaire de détection des vulnérabilités. Les États membres devraient donc être en mesure de promouvoir l’utilisation de logiciels libres et de normes ouvertes en appliquant des politiques relatives à l’utilisation de données ouvertes et de codes sources ouverts dans le cadre de la sécurité par la transparence. Les politiques qui promeuvent l’introduction et l’utilisation durable d’outils de cybersécurité en sources ouvertes revêtent une importance particulière pour les petites et moyennes entreprises exposées à des coûts de mise en œuvre importants, qui peuvent être atténués grâce à une moindre nécessité d’applications ou d’outils spécifiques.

Les équipements sont de plus en plus connectés aux réseaux numériques dans les villes, dans le but d’améliorer les réseaux de transport urbain, d’améliorer l’approvisionnement en eau et les installations d’élimination des déchets et d’accroître l’efficacité de l’éclairage et du chauffage des bâtiments. Ces équipements numérisés sont vulnérables aux cyberattaques et risquent, en cas de succès d’une cyberattaque, de nuire à un grand nombre de citoyens en raison de leur interconnexion. Les États membres devraient élaborer une politique qui tienne compte du développement de ces villes connectées ou intelligentes et de leurs effets potentiels sur la société, dans le cadre de leur stratégie nationale en matière de cybersécurité.

Ces dernières années, l’Union a été confrontée à une augmentation exponentielle des attaques de rançongiciels, dans lesquelles des logiciels malveillants chiffrent les données et les systèmes et exigent un paiement de rançon pour les débloquer. La fréquence et la gravité croissantes des attaques par rançongiciel peuvent s’expliquer par plusieurs facteurs, tels que les différents schémas d’attaque, les modèles commerciaux criminels entourant le «rançongiciel en tant que service» et les cryptomonnaies, les demandes de rançon et l’augmentation des attaques contre la chaîne d’approvisionnement. Les États membres devraient élaborer une politique s’attaquant à l’augmentation des attaques de rançongiciels dans le cadre de leur stratégie nationale en matière de cybersécurité.

Les partenariats public-privé (PPP) dans le domaine de la cybersécurité peuvent offrir le cadre adapté pour les échanges de connaissances, le partage des bonnes pratiques et l’établissement d’un niveau de compréhension commun à toutes les parties prenantes. Les États membres devraient promouvoir des politiques favorisant l’établissement de PPP de cybersécurité. Ces politiques devraient clarifier, entre autres, la portée des PPP ainsi que les parties prenantes impliquées, le modèle de gouvernance, les options de financement disponibles et les interactions entre les parties prenantes participantes en ce qui concerne les PPP. Les PPP peuvent s’appuyer sur les connaissances d’expert des entités du secteur privé pour aider les autorités compétentes à développer des services et processus de pointe, comprenant les échanges d’informations, les alertes rapides, les exercices de gestion des cybermenaces et des incidents, la gestion des crises et la planification de la résilience.

Les États membres devraient, dans leur stratégie nationale en matière de cybersécurité, répondre aux besoins spécifiques des petites et moyennes entreprises en matière de cybersécurité. Les petites et moyennes entreprises représentent, dans l’Union, un grand pourcentage du marché de l’industrie et des entreprises et elles éprouvent souvent des difficultés à s’adapter aux nouvelles pratiques commerciales dans un monde plus connecté et à l’environnement numérique, avec des salariés qui travaillent à domicile et des affaires qui se font de plus en plus en ligne. Certaines petites et moyennes entreprises sont confrontées à des défis spécifiques en matière de cybersécurité, tels qu’une faible sensibilisation à la cybersécurité, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité et un niveau accru de menaces, comme les rançongiciels, pour lesquels elles devraient recevoir des orientations et une assistance. Les petites et moyennes entreprises sont de plus en plus la cible d’attaques de la chaîne d’approvisionnement en raison de leurs mesures moins rigoureuses de gestion des risques en matière de cybersécurité et de gestion des attaques, et du fait qu’elles disposent de ressources limitées en matière de sécurité. Ces attaques de la chaîne d’approvisionnement ont non seulement un impact sur les petites et moyennes entreprises et leurs activités propres, mais peuvent également avoir un effet en cascade dans le cadre des attaques de plus grande ampleur contre les entités qu’elles ont approvisionnées. Les États membres devraient, au travers de leur stratégie nationale en matière de cybersécurité, aider les petites et moyennes entreprises à relever les défis qu’elles rencontrent dans leurs chaînes d’approvisionnement. Les États membres devraient disposer d’un point de contact pour les petites et moyennes entreprises au niveau national ou régional, qui fournisse soit des orientations et une assistance aux petites et moyennes entreprises, soit les oriente vers les organismes appropriés pour leur fournir des orientations et une assistance en ce qui concerne les questions liées à la cybersécurité. Les États membres sont également encouragés à proposer des services tels que la configuration de sites internet et la journalisation pour les petites entreprises et les microentreprises qui ne disposent pas de ces capacités.

Dans leur stratégie nationale en matière de cybersécurité, les États membres devraient adopter des politiques de promotion de la cyberprotection active dans le cadre d’une stratégie plus large de cybersécurité. Plutôt que de d’agir de manière réactive, la cyberprotection active consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation actives des violations de la sécurité du réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. Il pourrait s’agir d’États membres offrant des services ou des outils gratuits à certaines entités, y compris des contrôles en libre-service, des outils de détection et des services de retrait. La capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la prévention, la détection, le traitement et le blocage des attaques ciblant des réseaux et systèmes d’information. La cyberprotection active repose sur une stratégie défensive qui exclut les mesures offensives.

Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque. Les entités qui mettent au point ou administrent des réseaux et systèmes d’information devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et divulguées par des tiers, le fabricant de produits TIC ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29147 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités. Le renforcement de la coordination entre les personnes physiques et morales effectuant le signalement et les fabricants de produits ou les fournisseurs de services TIC est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées au fabricant ou au fournisseur de produits TIC ou de services TIC potentiellement vulnérables, de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre la personne physique ou morale effectuant le signalement et le fabricant ou le fournisseur de produits TIC ou de services TIC potentiellement vulnérables en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

La Commission, l’ENISA et les États membres devraient continuer à encourager l’alignement sur les normes internationales et les bonnes pratiques existantes du secteur en matière de gestion des risques de cybersécurité, par exemple dans les domaines des évaluations de la sécurité de la chaîne d’approvisionnement, du partage d’informations et de la divulgation des vulnérabilités.

Les États membres, en coopération avec l’ENISA, devraient adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en mettant en place une politique nationale pertinente. Dans le cadre de leur politique nationale, les États membres devraient s’efforcer de relever, dans la mesure du possible, les défis auxquels sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à la responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Les États membres devraient désigner un de leurs CSIRT en tant que coordinateur et agir comme un intermédiaire de confiance entre les personnes physiques ou morales effectuant le signalement et les fabricants de produits TIC ou les fournisseurs de services TIC susceptibles d’être touchés par la vulnérabilité, lorsque cela est nécessaire. Les tâches du CSIRT désigné comme coordinateur devraient impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs entités (divulgation multipartite coordonnée de vulnérabilité). Lorsque les vulnérabilités signalées pourraient avoir un impact important sur des entités de plusieurs États membres, les CSIRT désignés comme coordinateurs devraient, s’il y a lieu, coopérer au sein du réseau des CSIRT.

L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits TIC et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. Les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et les utilisateurs, mais également pour les autorités compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données européenne des vulnérabilités dans laquelle les entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, et leurs fournisseurs de réseaux et de systèmes d’information, ainsi que les autorités compétentes et les CSIRT, peuvent, à titre volontaire, divulguer et enregistrer les vulnérabilités publiquement connues afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées. L’objectif de cette base de données est de relever les défis uniques que posent les risques aux entités de l’Union. En outre, l’ENISA devrait établir une procédure adéquate en ce qui concerne le processus de publication, afin de donner aux entités le temps de prendre des mesures d’atténuation à l’égard de leurs vulnérabilités, et recourir aux mesures de gestion des risques en matière de cybersécurité les plus récentes, ainsi qu’aux ensembles de données lisibles par machine et aux interfaces correspondantes. Afin d’encourager une culture de divulgation des vulnérabilités, une divulgation ne devrait pas se faire au détriment de la personne physique ou morale qui effectue le signalement.

Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Une base de données européenne des vulnérabilités gérée par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurée avec les bases de données ou registres similaires qui relèvent de la compétence de pays tiers. L’ENISA devrait en particulier étudier la possibilité d’une coopération étroite avec les opérateurs du système des vulnérabilités et expositions courantes (CVE).

Le groupe de coopération devrait soutenir et faciliter la coopération stratégique ainsi que l’échange d’informations, et renforcer la confiance entre les États membres. Le groupe de coopération devrait élaborer un programme de travail tous les deux ans. Le programme de travail devrait inclure les actions que le groupe de coopération doit réaliser afin de mettre en œuvre ses objectifs et ses tâches. Le calendrier d’élaboration du premier programme de travail adopté au titre de la présente directive devrait être aligné sur le calendrier du dernier programme de travail adopté au titre de la directive (UE) 2016/1148 afin d’éviter de perturber les travaux du groupe de coopération.

Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques, notamment en vue de faciliter l’alignement de la transposition de la présente directive entre les États membres, auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération pourrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique à travers l’Union. Cela est tout particulièrement pertinent pour les secteurs qui ont un caractère international ou transfrontière.

Le groupe de coopération devrait demeurer un forum souple et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il pourrait organiser régulièrement des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe de coopération et de recueillir des données et des informations sur les nouveaux défis politiques. En outre, le groupe de coopération devrait procéder à une évaluation régulière de l’état d’avancement des cybermenaces ou incidents, tels que les rançongiciels. Afin d’améliorer la coopération au niveau de l’Union, le groupe de coopération devrait envisager d’inviter les institutions, organes et organismes de l’Union pertinents participant à la politique de cybersécurité, comme le Parlement européen, Europol, le Comité européen de la protection des données, l’Agence de l’Union européenne pour la sécurité aérienne, établie par le règlement (UE) 2018/1139, et l’Agence de l’Union européenne pour le programme spatial, établie par le règlement (UE) 2021/696 du Parlement européen et du Conseil(¹⁴)Règlement (UE) 2021/696 du Parlement européen et du Conseil du 28 avril 2021 établissant le programme spatial de l’Union et l’Agence de l’Union européenne pour le programme spatial et abrogeant les règlements (UE) n^o 912/2010, (UE) n^o 1285/2013 et (UE) n^o 377/2014 et la décision n^o 541/2014/UE (JO L 170 du 12.5.2021, p. 69)., à participer à ses travaux.

Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres, dans un cadre spécifique et, s’il y a lieu, dans le respect de l’habilitation de sécurité requise des agents qui participent à de tels programmes d’échange, afin d’améliorer la coopération et de renforcer la confiance parmi les États membres. Les autorités compétentes devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte ou du CSIRT hôte.

Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité présenté dans la recommandation (UE) 2017/1584 de la Commission(¹⁵)Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36). via les réseaux de coopération existants, en particulier le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure qui précisent les conditions de cette coopération et éviter toute duplication des tâches. Le règlement intérieur d’EU-CyCLONe devrait préciser plus avant les modalités selon lesquelles le réseau devrait fonctionner, y compris les missions, les moyens de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré de l’Union pour une réaction au niveau politique dans les situations de crise en vertu de la décision d’exécution (UE) 2018/1993 du Conseil(¹⁶)Décision d’exécution (UE) 2018/1993 du Conseil du 11 décembre 2018 concernant le dispositif intégré de l’Union européenne pour une réaction au niveau politique dans les situations de crise (JO L 320 du 17.12.2018, p. 28). (ci-après dénommé «dispositif IPCR»). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune, le système de réponse aux crises du Service européen pour l’action extérieure devrait être activé.

Conformément à l’annexe de la recommandation (UE) 2017/1584, par «incident de cybersécurité majeur» on devrait entendre un incident qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné ou qui frappent plusieurs États membres. En fonction de leur cause et de leur impact, les incidents de cybersécurité majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou présentant de graves risques de sûreté et de sécurité publiques pour les entités ou les citoyens dans plusieurs États membres ou dans l’Union dans son ensemble. Vu la large portée et, dans la plupart des cas, la nature transfrontière de ces incidents, les États membres et les institutions, organes et organismes compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.

Les incidents de cybersécurité majeurs et les crises au niveau de l’Union nécessitent une action coordonnée pour assurer une réaction rapide et efficace, en raison du degré élevé d’interdépendance entre les secteurs et les États membres. La disponibilité de réseaux et de systèmes d’information cyberrésilients ainsi que la disponibilité, la confidentialité et l’intégrité des données sont essentielles pour la sécurité de l’Union et pour la protection de ses citoyens, de ses entreprises et de ses institutions contre les incidents et les cybermenaces, ainsi que pour renforcer la confiance des personnes et des organisations dans la capacité de l’Union à promouvoir et à protéger un cyberespace mondial, ouvert, libre, stable et sûr fondé sur les droits de l’homme, les libertés fondamentales, la démocratie et l’état de droit.

EU-CyCLONe devrait servir d’intermédiaire entre les niveaux technique et politique lors d’incidents de cybersécurité majeurs et de crises et devrait renforcer la coopération au niveau opérationnel et soutenir la prise de décision au niveau politique. En coopération avec la Commission, compte tenu de la compétence de cette dernière en matière de gestion des crises, EU-CyCLONe devrait s’appuyer sur les conclusions du réseau des CSIRT et utiliser ses propres capacités pour créer une analyse d’impact des incidents de cybersécurité majeurs et des crises.

Les cyberattaques sont de nature transfrontière et un incident important peut perturber et endommager des infrastructures d’information critiques dont dépend le bon fonctionnement du marché intérieur. La recommandation (UE) 2017/1584 porte sur le rôle de tous les acteurs concernés. En outre, la Commission est responsable, dans le cadre du mécanisme de protection civile de l’Union, établi par la décision n^o 1313/2013/UE du Parlement européen et du Conseil(¹⁷)Décision n^o 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union (JO L 347 du 20.12.2013, p. 924)., des actions générales en matière de préparation, comprenant la gestion du centre de coordination de la réaction d’urgence et du système commun de communication et d’information d’urgence, du maintien et du développement de la capacité d’appréciation et d’analyse de la situation, ainsi que de la mise en place et de la gestion des ressources permettant de mobiliser et d’envoyer des équipes d’experts en cas de demande d’aide émanant d’un État membre ou d’un pays tiers. La Commission est également chargée de fournir des rapports analytiques pour le dispositif IPCR au titre de la décision d’exécution (UE) 2018/1993, y compris en ce qui concerne la connaissance de la situation et la préparation en matière de cybersécurité, ainsi que la connaissance de la situation et la réaction aux crises dans les domaines de l’agriculture, des conditions météorologiques défavorables, de la cartographie et des prévisions des conflits, des systèmes d’alerte précoce en cas de catastrophes naturelles, des urgences sanitaires, de la surveillance des maladies infectieuses, de la santé des végétaux, des incidents chimiques, de la sécurité des denrées alimentaires et des aliments pour animaux, de la santé animale, des migrations, des douanes, des urgences nucléaires et radiologiques ainsi que de l’énergie.

L’Union peut, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération, du réseau des CSIRT ainsi que d’EU-CyCLONe. De tels accords devraient garantir les intérêts de l’Union et assurer une protection adéquate des données. Cela ne saurait porter atteinte au droit qu’ont les États membres de coopérer avec des pays tiers sur la gestion des vulnérabilités et des risques touchant la cybersécurité, dans le but de faciliter le signalement et le partage général d’informations en conformité avec le droit de l’Union.

Afin de faciliter la mise en œuvre effective de la présente directive, entre autres en ce qui concerne la gestion des vulnérabilités, les mesures de gestion des risques en matière de cybersécurité, les obligations d’information et les accords de partage d’informations en matière de cybersécurité, les États membres peuvent coopérer avec des pays tiers et entreprendre des activités jugées appropriées à cette fin, y compris des échanges d’informations sur les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et les procédures, la préparation et les exercices pour la gestion des crises de cybersécurité, la formation, le renforcement de la confiance ainsi que les arrangements permettant de partager les informations de façon structurée.

Des évaluations par les pairs devraient être introduites afin de contribuer à tirer les enseignements des expériences partagées, de renforcer la confiance mutuelle et d’atteindre un niveau commun élevé de cybersécurité. Les évaluations par les pairs peuvent déboucher sur des idées et des recommandations précieuses qui renforcent les capacités globales en matière de cybersécurité, créent une autre voie fonctionnelle pour le partage des bonnes pratiques entre les États membres et contribuent à améliorer le niveau de maturité des États membres en matière de cybersécurité. En outre, le système d’évaluation par les pairs devrait tenir compte des résultats de mécanismes similaires, comme le système d’évaluation par les pairs du réseau des CSIRT, et devrait apporter une valeur ajoutée et éviter les doubles emplois. La mise en œuvre des évaluations par les pairs devrait être sans préjudice du droit de l’Union ou du droit national relatif à la protection des informations confidentielles ou classifiées.

Le groupe de coopération devrait établir une méthode d’autoévaluation pour les États membres, visant à couvrir des facteurs tels que le niveau de mise en œuvre des mesures de gestion des risques en matière de cybersécurité et des obligations d’information, le niveau des capacités et l’efficacité de l’exercice des tâches des autorités compétentes, les capacités opérationnelles des CSIRT, le niveau de mise en œuvre de l’assistance mutuelle, le niveau de mise en œuvre des accords de partage d’informations en matière de cybersécurité, ou des questions spécifiques de nature transfrontière ou transsectorielle. Les États membres devraient être encouragés à effectuer régulièrement des autoévaluations et à présenter et examiner les résultats de leur autoévaluation au sein du groupe de coopération.

Dans une large mesure, il incombe aux entités essentielles et importantes de garantir la sécurité des réseaux et des systèmes d’information. Il convient de promouvoir et de faire progresser une culture de la gestion des risques impliquant une analyse des risques et l’application de mesures de gestion des risques en matière de cybersécurité adaptées aux risques encourus.

Les mesures de gestion des risques en matière de cybersécurité devraient tenir compte du degré de dépendance de l’entité essentielle ou importante à l’égard des réseaux et des systèmes d’information, et comprendre des mesures permettant de déterminer tous les risques d’incidents, de prévenir et de repérer les incidents, ainsi que de réagir face à ces incidents, de se rétablir après les incidents et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées. Les mesures de gestion des risques en matière de cybersécurité devraient prévoir une analyse systémique qui tienne compte du facteur humain, afin de disposer d’une vue d’ensemble complète sur la sécurité des réseaux et des systèmes d’information.

Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, les mesures de gestion des risques en matière de cybersécurité devraient se fonder sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité essentielle ou importante et aux installations de traitement de l’information de l’entité, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les mesures de gestion des risques en matière de cybersécurité devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels, conformément aux normes européennes et internationales, par exemple celles figurant dans la série ISO/CEI 27000. À cet égard, les entités essentielles et importantes devraient, dans le cadre de leurs mesures de gestion des risques en matière de cybersécurité, tenir également compte de la sécurité liée aux ressources humaines et mettre en place des politiques appropriées en matière de contrôle de l’accès. Ces mesures devraient être cohérentes avec la directive (UE) 2022/2557.

Afin de démontrer la conformité avec les mesures de gestion des risques en matière de cybersécurité, et en l’absence de schémas européens de certification de cybersécurité appropriés adoptés conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil(¹⁸)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15)., les États membres devraient, en concertation avec le groupe de coopération et le groupe européen de certification de cybersécurité, promouvoir l’utilisation des normes européennes et internationales pertinentes par les entités essentielles et importantes ou peuvent exiger des entités qu’elles utilisent des produits TIC, services TIC et processus TIC certifiés.

Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit disproportionnée, il convient que les mesures de gestion des risques en matière de cybersécurité soient proportionnées aux risques auxquels le réseau et le système d’information concernés sont exposés, en prenant en compte l’état de l’art de ces mesures ainsi que, s’il y a lieu, des normes européennes ou internationales pertinentes, et du coût de mise en œuvre de ces mesures.

Les mesures de gestion des risques en matière de cybersécurité devraient être proportionnées au degré d’exposition de l’entité essentielle ou importante aux risques et à l’impact sociétal et économique potentiel d’un incident. Lors de la mise en place de mesures de gestion des risques en matière de cybersécurité adaptées aux entités essentielles et importantes, il convient de tenir dûment compte des différents niveaux d’exposition aux risques des entités essentielles et importantes, telles que la criticité de l’entité, les risques, y compris les risques sociétaux, auxquels elle est exposée, la taille de l’entité et la probabilité de survenance d’incidents et leur gravité, y compris leur impact sociétal et économique.

Les entités essentielles et importantes devraient garantir la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités. Il s’agit principalement de réseaux et de systèmes d’information privés qui sont gérés par les services informatiques des entités essentielles ou importantes ou dont la gestion de la sécurité a été sous-traitée. Les mesures de gestion des risques en matière de cybersécurité et les obligations d’information prévues par la présente directive devraient s’appliquer aux entités essentielles et importantes, indépendamment du fait que ces entités effectuent la maintenance de leurs réseaux et systèmes d’information en interne ou qu’elles l’externalisent.

Compte tenu de leur nature transfrontière, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centre de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, ainsi que les fournisseurs de services de confiance devraient faire l’objet d’un degré d’harmonisation élevé au niveau de l’Union. La mise en œuvre de mesures de gestion des risques en matière de cybersécurité à l’égard de ces entités devrait donc être facilitée par un acte d’exécution.

Il est tout particulièrement important de répondre aux risques découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou les fournisseurs de services de sécurité gérés et les éditeurs de logiciels, vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et où des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités essentielles et importantes devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de gestion des risques en matière de cybersécurité qui y sont intégrées et les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisées. Les entités essentielles et importantes devraient en particulier être encouragées à intégrer des mesures de gestion des risques en matière de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services directs. Ces entités pourraient prendre en considération les risques découlant d’autres niveaux de fournisseurs et de prestataires de services.

Parmi tous les fournisseurs de services, les fournisseurs de services de sécurité gérés dans des domaines comme la réaction aux incidents, les tests d’intrusion, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour prévenir et détecter les incidents, y réagir ou se rétablir après ceux-ci. Toutefois, des fournisseurs de services de sécurité gérés ont été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque particulier. Les entités essentielles et importantes doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés.

Les autorités compétentes, dans le cadre de leurs tâches de supervision, peuvent également bénéficier de services de cybersécurité, par exemple des audits de sécurité et des tests d’intrusion ou de réaction en cas d’incident.

Les entités essentielles et importantes devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large, y compris pour contrer l’espionnage industriel et protéger les secrets d’affaires. Plus particulièrement, ces entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant, en général, l’accès et la diffusion d’informations en toute sécurité et, en particulier, la protection des droits de propriété intellectuelle. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités essentielles et importantes devraient prendre toutes les mesures de gestion des risques en matière de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.

Les entités essentielles et importantes devraient adopter une vaste gamme de pratiques de cyberhygiène de base, comme les principes «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, organiser une formation pour leur personnel et sensibiliser aux cybermenaces, au hameçonnage ou aux techniques d’ingénierie sociale. En outre, ces entités devraient évaluer leurs propres capacités en matière de cybersécurité et, s’il y a lieu, poursuivre l’intégration des technologies de renforcement de la cybersécurité, telles que l’intelligence artificielle ou les systèmes d’apprentissage automatique, afin d’améliorer leurs capacités et la sécurité des réseaux et des systèmes d’information.

Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités essentielles et importantes actives dans les secteurs couverts par la présente directive à bien gérer les risques liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération devrait, en collaboration avec la Commission et l’ENISA et, s’il y a lieu, en consultation avec les parties prenantes concernées, y compris celles du secteur, réaliser des évaluations coordonnées des risques pour la sécurité liés aux chaînes d’approvisionnement critiques, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 de la Commission(¹⁹)Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42)., dans le but de déterminer, secteur par secteur, les services TIC, systèmes TIC ou produits TIC critiques, et les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques pour la sécurité devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités essentielles et importantes. Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.

Les évaluations coordonnées des risques pour la sécurité liés aux chaînes d’approvisionnement critiques, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée pour l’UE des risques concernant la cybersécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques pour la sécurité, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services TIC, systèmes TIC ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services TIC, systèmes TIC ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, y compris le traitement de données à caractère personnel; iii) la disponibilité d’autres services TIC, systèmes TIC ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services TIC, systèmes TIC ou produits TIC tout au long de leur cycle de vie face aux événements perturbateurs, et v) concernant les services TIC, systèmes TIC ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services TIC, systèmes TIC ou produits TIC soumis à des exigences spécifiques émanant de pays tiers.

Afin de rationaliser les obligations imposées aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public et aux prestataires de services de confiance en lien avec la sécurité de leurs réseaux et systèmes d’information, ainsi que de permettre à ces entités et à leurs autorités compétentes en vertu de la directive (UE) 2018/1972 du Parlement européen et du Conseil(²⁰)Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (JO L 321 du 17.12.2018, p. 36). et du règlement (UE) n^o 910/2014, respectivement, de bénéficier du cadre juridique établi par la présente directive, y compris la désignation d’un CSIRT chargé de la gestion des incidents, la participation des autorités compétentes concernées aux activités du groupe de coopération et le réseau des CSIRT, ces entités devraient entrer dans le champ d’application de la présente directive. Il convient donc de supprimer les dispositions correspondantes prévues par le règlement (UE) n^o 910/2014 et par la directive (UE) 2018/1972 portant sur l’imposition d’exigences en matière de sécurité et de notification à ce type d’entité. Les règles relatives aux obligations d’information prévues par la présente directive devraient être sans préjudice du règlement (UE) 2016/679 et de la directive 2002/58/CE.

Les obligations en matière de cybersécurité énoncées dans la présente directive devraient être considérées comme complémentaires des exigences imposées aux prestataires de services de confiance en vertu du règlement (UE) n^o 910/2014. Les prestataires de services de confiance devraient être tenus de prendre toutes les mesures appropriées et proportionnées pour gérer les risques qui pèsent sur leurs services, y compris en ce qui concerne les clients et les tiers utilisateurs, et de notifier les incidents relevant de la présente directive. Ces obligations en matière de cybersécurité et d’information devraient également concerner la protection physique des services fournis. Les exigences applicables aux prestataires de services de confiance qualifiés énoncées à l’article 24 du règlement (UE) n^o 910/2014 continuent de s’appliquer.

Les États membres peuvent confier le rôle des autorités compétentes pour les services de confiance aux organes de contrôle désignés en vertu du règlement (UE) n^o 910/2014 afin d’assurer le maintien des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de l’application dudit règlement. En pareil cas, les autorités compétentes en vertu de la présente directive devraient coopérer étroitement et en temps utile avec ces organes de contrôle, en échangeant les informations pertinentes afin de garantir une supervision efficace et le respect, par les prestataires de services de confiance, des exigences énoncées dans la présente directive et dans le règlement (UE) n^o 910/2014. Le cas échéant, le CSIRT ou l’autorité compétente en vertu de la présente directive devrait informer immédiatement l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 de toute cybermenace ou incident important notifié dans le domaine de la cybersécurité affectant les services de confiance, ainsi que de toute violation de la présente directive par un prestataire de services de confiance. Aux fins de la notification, les États membres peuvent utiliser, le cas échéant, le point d’entrée unique mis en place pour effectuer une notification commune et automatique à la fois à l’organe de contrôle désigné en vertu du règlement (UE) n^o 910/2014 et au CSIRT ou à l’autorité compétente en vertu de la présente directive.

Lorsque cela est approprié et afin d’éviter toute perturbation inutile, il convient de tenir compte, pour la transposition de la présente directive, des lignes directrices nationales existantes adoptées en vue de la transposition des règles portant sur les mesures de sécurité prévues par les articles 40 et 41 de la directive (UE) 2018/1972, en s’appuyant ainsi sur les connaissances et compétences déjà acquises dans le cadre de la directive (UE) 2018/1972 en ce qui concerne les mesures de sécurité et les notifications d’incidents. L’ENISA peut également élaborer des orientations sur les exigences en matière de sécurité et les obligations d’information qui incombent aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public afin de faciliter l’harmonisation et la transition et de réduire autant que possible les perturbations. Les États membres peuvent confier le rôle des autorités compétentes pour les communications électroniques aux autorités de régulation nationales en vertu de la directive (UE) 2018/1972, afin d’assurer la continuité des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de la mise en œuvre de ladite directive.

Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation au sens de la directive (UE) 2018/1972, il est nécessaire de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Étant donné que la surface d’attaque continue de s’étendre, les services de communications interpersonnelles non fondés sur la numérotation, comme les services de messagerie, deviennent des vecteurs d’attaque courants. Les acteurs malveillants utilisent des plateformes pour communiquer avec les victimes et les inciter à ouvrir des pages internet compromises, ce qui augmente la probabilité d’incidents impliquant l’exploitation de données à caractère personnel et, par extension, la sécurité des réseaux et des systèmes d’information. Les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation devraient garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant aux risques encourus. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles au sens de la directive (UE) 2018/1972 qui sont fondés sur la numérotation et n’exercent aucun contrôle effectif sur la transmission de signaux.

Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que tous les fournisseurs de réseaux de communications électroniques publics disposent de mesures de gestion des risques en matière de cybersécurité appropriées et notifient les incidents importants qui les concernent. Les États membres devraient veiller au maintien de la sécurité des réseaux de communications électroniques publics et veiller à la protection de leurs intérêts vitaux sur le plan de la sécurité contre le sabotage et l’espionnage. Étant donné que la connectivité internationale renforce et accélère la numérisation compétitive de l’Union et de son économie, les incidents affectant les câbles de communication sous-marins devraient être signalés au CSIRT ou, le cas échéant, à l’autorité compétente. La stratégie nationale en matière de cybersécurité devrait, le cas échéant, tenir compte de la cybersécurité des câbles de communication sous-marins et inclure une cartographie des risques potentiels en matière de cybersécurité et des mesures d’atténuation afin de garantir le niveau de protection le plus élevé possible.

Afin de préserver la sécurité des réseaux et services de communications électroniques publics, il convient d’encourager l’utilisation de techniques de chiffrement, notamment du chiffrement de bout en bout ainsi que des concepts de sécurité axés sur les données, comme la cartographie, la segmentation, le balisage, une politique d’accès et la gestion de l’accès, ainsi que des décisions d’accès automatisé. L’utilisation du chiffrement, notamment du chiffrement de bout en bout, devrait si nécessaire être imposée aux fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de la présente directive. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la prévention et la détection d’infractions pénales ainsi que les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Toutefois, cela ne devrait pas affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour une protection efficace des données, de la vie privée et de la sécurité des communications.

Afin de préserver la sécurité et de prévenir les abus et la manipulation des réseaux publics de communications électroniques et des services de communications électroniques accessibles au public, il convient de promouvoir l’utilisation de normes de routage sécurisé pour garantir l’intégrité et la solidité des fonctions de routage dans l’ensemble de l’écosystème des fournisseurs de services d’accès à internet.

Afin de préserver la fonctionnalité et l’intégrité de l’internet et de promouvoir la sécurité et la résilience du DNS, les parties prenantes concernées, y compris les entités du secteur privé de l’Union, les fournisseurs de services de communications électroniques accessibles au public, en particulier les fournisseurs de services d’accès à internet, et les fournisseurs de moteurs de recherche en ligne devraient être encouragés à adopter une stratégie de diversification de la résolution DNS. En outre, les États membres devraient encourager la mise au point et l’utilisation d’un service européen public et sécurisé de résolution de noms de domaine.

La présente directive établit une approche en plusieurs étapes de la notification des incidents importants afin de trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers. À cet égard, la présente directive devrait inclure la notification des incidents qui, sur la base d’une évaluation initiale effectuée par l’entité concernée, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité, de la gravité et des caractéristiques techniques de la cybermenace et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité en matière d’incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

Lorsque les entités essentielles ou importantes prennent connaissance d’un incident important, elles devraient être tenues de soumettre une alerte précoce sans retard injustifié et en tout état de cause dans les 24 heures. Cette alerte précoce devrait être suivie d’une notification d’incident. Les entités concernées devraient soumettre une notification d’incident sans retard injustifié et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident important, dans le but, notamment, de mettre à jour les informations transmises dans le cadre de l’alerte précoce et d’indiquer une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles. Un rapport final devrait être présenté au plus tard un mois après la notification de l’incident. L’alerte précoce devrait inclure uniquement les informations nécessaires pour porter l’incident important à la connaissance du CSIRT, ou, le cas échéant, de l’autorité compétente, et permettre à l’entité concernée de demander une assistance, si nécessaire. Cette alerte précoce devrait, le cas échéant, indiquer si l’incident important est soupçonné d’être causé par des actes illicites ou malveillants et s’il est susceptible d’avoir un impact transfrontière. Les États membres devraient veiller à ce que l’obligation de soumettre cette alerte précoce, ou la notification d’incident ultérieure, ne détourne pas les ressources de l’entité effectuant la notification des activités liées à la gestion des incidents qui devraient avoir la priorité, afin d’éviter que les obligations de notification des incidents ne détournent les ressources de la gestion des incidents importants ou ne compromettent d’une autre manière les efforts déployés par l’entité à cet égard. En cas d’incident en cours au moment de la présentation du rapport final, les États membres devraient veiller à ce que les entités concernées fournissent un rapport d’avancement à ce moment-là, et un rapport final dans un délai d’un mois à compter du traitement de l’incident important.

Le cas échéant, les entités essentielles et importantes devraient informer sans retard injustifié les destinataires de leurs services de toute mesure ou correction qu’elles peuvent appliquer pour atténuer les risques découlant d’une cybermenace importante. Lorsque cela est approprié, et en particulier lorsque la cybermenace importante est susceptible de se concrétiser, ces entités devraient également informer les destinataires de leurs services de la menace en question. L’obligation qui est faite aux entités d’informer les destinataires des cybermenaces importantes devrait être respectée par les entités dans toute la mesure du possible mais ne saurait les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute menace pour la sécurité et pour rétablir le niveau normal de sécurité du service. La fourniture de telles informations aux destinataires du service au sujet des cybermenaces importantes devrait être gratuite et formulée dans un langage facile à comprendre.

Il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public mettent en œuvre la sécurité dès la conception et par défaut, et informent les destinataires de leurs services des cybermenaces importantes et des mesures qu’ils peuvent prendre pour sécuriser leurs appareils et communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.

Une approche proactive à l’égard des cybermenaces est un élément essentiel de la gestion des risques en matière de cybersécurité, qui devrait permettre aux autorités compétentes d’empêcher efficacement que les cybermenaces n’aboutissent à des incidents susceptibles de causer un dommage matériel, corporel ou moral considérable. À cette fin, la notification des cybermenaces revêt une importance capitale. Les entités sont dès lors encouragées à notifier les cybermenaces à titre volontaire.

Afin de simplifier la communication des informations requises en vertu de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques, tels qu’un point d’entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles et des plateformes dédiées à l’utilisation des entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, pour la communication des informations pertinentes à transmettre. Le financement de l’Union destiné à soutenir la mise en œuvre de la présente directive, en particulier dans le cadre du programme pour une Europe numérique, établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil(²¹)Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240 (JO L 166 du 11.5.2021, p. 1)., pourrait inclure un soutien aux points d’entrée uniques. En outre, les entités se retrouvent souvent dans une situation dans laquelle un incident particulier, en raison de ses caractéristiques, doit être notifié à différentes autorités en raison d’obligations de notification figurant dans différents instruments juridiques. De tels cas créent une charge administrative supplémentaire et pourraient également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. Lorsqu’un point d’entrée unique est établi, les États membres sont encouragés à utiliser également ce point d’entrée unique pour les notifications d’incidents de sécurité requises en vertu d’autres dispositions du droit de l’Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L’utilisation de ce point d’entrée unique pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices pour simplifier et rationaliser les informations à transmettre en vertu du droit de l’Union et réduire la charge administrative pesant sur les entités qui effectuent la notification.

Lorsqu’il y a lieu de suspecter qu’un incident est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à notifier aux autorités répressives compétentes tout incident de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) et l’ENISA.

Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE.

Le maintien à jour des bases de données précises et complètes de données d’enregistrement de noms de domaine (données WHOIS) ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du DNS, lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. À cette fin spécifique, les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de traiter certaines données nécessaires à cette fin. Un tel traitement devrait constituer une obligation légale au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Cette obligation est sans préjudice de la possibilité de collecter des données relatives à l’enregistrement de noms de domaine à d’autres fins, par exemple sur la base de dispositions contractuelles ou d’exigences légales établies dans d’autres dispositions du droit de l’Union ou du droit national. Cette obligation vise à obtenir un ensemble complet et précis de données d’enregistrement et ne devrait pas aboutir à recueillir les mêmes données à de multiples reprises. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient coopérer entre eux afin d’éviter la duplication de cette tâche.

La disponibilité et l’accessibilité, en temps utile, des données relatives à l’enregistrement des noms de domaine pour les demandeurs d’accès légitimes sont essentielles pour prévenir et combattre les abus de DNS, ainsi que pour prévenir et détecter les incidents et y réagir. Par «demandeurs d’accès légitimes», il convient d’entendre toute personne physique ou morale qui formule une demande en vertu du droit de l’Union ou du droit national. Il peut s’agir des autorités compétentes en vertu de la présente directive et des autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, et des CERT ou des CSIRT. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement des noms de domaine devraient être tenus de permettre aux demandeurs d’accès légitimes conformément au droit de l’Union et au droit national d’accéder légalement à des données spécifiques d’enregistrement des noms de domaine qui sont nécessaires aux fins de la demande d’accès. La demande des demandeurs d’accès légitimes devrait être accompagnée d’une motivation permettant d’évaluer la nécessité de l’accès aux données.

Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaine, les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaine. En particulier, les registres de noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures aux fins de collecter des données d’enregistrement de noms de domaine et de les maintenir exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément au droit de l’Union en matière de protection des données. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient adopter et appliquer des procédures proportionnées de vérification des données d’enregistrement de noms de domaine. Ces procédures devraient refléter les meilleures pratiques utilisées dans le secteur et, dans la mesure du possible, les progrès réalisés dans le domaine de l’identification électronique. Parmi les exemples de procédures de vérification, on peut citer les contrôles ex ante effectués au moment de l’enregistrement et les contrôles ex post effectués après l’enregistrement. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient, en particulier, vérifier au moins un moyen de contact du titulaire.

Les registres des noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de rendre publiques les données relatives à l’enregistrement de noms de domaine qui ne relèvent pas du champ d’application du droit de l’Union en matière de protection des données, telles que les données concernant les personnes morales, conformément au préambule du règlement (UE) 2016/679. Pour les personnes morales, les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient mettre à la disposition du public au moins le nom du titulaire et le numéro de téléphone de contact. L’adresse électronique de contact devrait également être publiée, à condition qu’elle ne contienne aucune donnée à caractère personnel, comme lors de l’utilisation de pseudonymes de courrier électronique ou de comptes fonctionnels. Les registres des noms de domaine de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaine devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaine concernant des personnes physiques, conformément au droit de l’Union en matière de protection des données. Les États membres devraient veiller à ce que les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine répondent sans retard injustifié aux demandes de divulgation de données d’enregistrement de noms de domaine émanant de demandeurs d’accès légitimes. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaine devraient établir des politiques et des procédures pour la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. Ces politiques et procédures devraient tenir compte, dans la mesure du possible, des orientations et des normes élaborées par les structures de gouvernance multipartites au niveau international. La procédure d’accès pourrait également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut, sans préjudice des compétences du comité européen de la protection des données, fournir des lignes directrices eu égard à ces procédures, qui tiennent compte, dans la mesure du possible, des normes élaborées par les structures de gouvernance multipartites au niveau international. Les États membres devraient veiller à ce que tous les types d’accès aux données d’enregistrement de noms de domaine à caractère personnel ou non personnel soient gratuits.

Les entités relevant du champ d’application de la présente directive devraient être considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies. Toutefois, les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services. Les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union. Les entités de l’administration publique devraient relever de la compétence de l’État membre qui les a établies. Si l’entité fournit des services ou est établie dans plus d’un État membre, elle devrait dès lors relever de la compétence distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, s’il y a lieu, mener des actions communes de supervision. Lorsque les États membres exercent leur compétence, ils ne devraient pas imposer de mesures d’exécution ou de sanctions plus d’une fois pour un même comportement, conformément au principe non bis in idem.

Afin de tenir compte de la nature transfrontière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, un seul État membre devrait avoir compétence concernant ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel établissement, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. Il convient de considérer que l’établissement principal se trouve dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entités dans l’Union. S’il n’est pas possible de déterminer l’État membre dont il s’agit ou si de telles décisions ne sont pas prises dans l’Union, il convient de considérer que l’établissement principal se trouve dans l’État membre où sont effectuées les opérations de cybersécurité. S’il n’est pas possible de déterminer l’État membre dont il s’agit, il convient de considérer que l’établissement principal se trouve dans l’État membre où l’entité possède l’établissement comptant le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, il convient de considérer que l’établissement principal de l’entreprise qui exerce le contrôle est l’établissement principal du groupe d’entreprises.

Lorsqu’un service DNS récursif accessible au public est fourni uniquement dans le cadre du service d’accès à l’internet par un fournisseur de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, il convient de considérer que l’entité relève de la compétence de tous les États membres dans lesquels ses services sont fournis.

Lorsqu’un fournisseur de services DNS, un registre des noms de domaine de premier niveau, une entité fournissant des services d’enregistrement de noms de domaine, un fournisseur de services d’informatique en nuage, un fournisseur de services de centres de données, un fournisseur de réseaux de diffusion de contenu, un fournisseur de services gérés, un fournisseur de services de sécurité gérés, ou un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, qui n’est pas établi dans l’Union, propose des services dans l’Union, il devrait désigner un représentant dans l’Union. Afin de déterminer si une telle entité propose des services dans l’Union, il convient d’examiner si elle envisage d’offrir des services à des personnes dans un ou plusieurs États membres. La seule accessibilité, dans l’Union, du site internet de l’entité ou d’un intermédiaire ou d’une adresse électronique ou d’autres coordonnées ou encore l’utilisation d’une langue généralement utilisée dans le pays tiers où l’entité est établie devraient être considérées comme ne suffisant pas pour établir une telle intention. Cependant, des facteurs tels que l’utilisation d’une langue ou d’une monnaie généralement utilisée dans un ou plusieurs États membres avec la possibilité de commander des services dans cette langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union pourraient indiquer que l’entité envisage d’offrir des services dans l’Union. Le représentant devrait agir pour le compte de l’entité et devrait pouvoir être contacté par les autorités compétentes ou les CSIRT. Le représentant devrait être expressément désigné par un mandat écrit de l’entité le chargeant d’agir en son nom pour remplir les obligations, y compris la notification des incidents, qui lui incombent en vertu de la présente directive.

Afin d’assurer une bonne vue d’ensemble des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités fournissant des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, qui fournissent dans toute l’Union des services relevant du champ d’application de la présente directive, l’ENISA devrait créer et tenir à jour un registre de ces entités, sur la base des informations reçues par les États membres, le cas échéant par l’intermédiaire de mécanismes nationaux mis en place pour que les entités s’inscrivent elles-mêmes. Les points de contact uniques devraient transmettre à l’ENISA les informations et toute modification qui y serait apportée. Afin de garantir l’exactitude et l’exhaustivité des informations qui doivent figurer dans ce registre, les États membres peuvent soumettre à l’ENISA les informations disponibles dans tout registre national sur ces entités. L’ENISA et les États membres devraient prendre des mesures pour faciliter l’interopérabilité de ces registres, tout en assurant la protection des informations confidentielles ou classifiées. L’ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées, et réserver l’accès, le stockage et la transmission de ces informations aux utilisateurs à qui elles sont destinées.

Lorsque des informations qui sont classifiées conformément au droit national ou au droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu de la présente directive, les règles correspondantes relatives au traitement des informations classifiées devraient être appliquées. En outre, l’ENISA devrait disposer de l’infrastructure, des procédures et des règles nécessaires pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables à la protection des informations classifiées de l’Union européenne.

Face à la complexité et à la sophistication croissantes des cybermenaces, l’efficacité des mesures de détection et de prévention de ces menaces dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l’incertitude quant à la compatibilité avec les règles en matière de concurrence et de responsabilité.

Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à prévenir et détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données.

Le traitement de données à caractère personnel, dans la mesure nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des systèmes d’information par des entités essentielles et importantes, pourrait être considéré comme licite au motif qu’il respecte une obligation légale à laquelle le responsable du traitement est soumis, conformément aux exigences de l’article 6, paragraphe 1, point c), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679. Le traitement des données à caractère personnel pourrait également être nécessaire à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par des fournisseurs de technologies et de services de sécurité agissant pour le compte de ces entités, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, y compris lorsque ce traitement est nécessaire à des accords de partage d’informations en matière de cybersécurité ou à la notification volontaire d’informations pertinentes conformément à la présente directive. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse et à la réaction aux incidents, les mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée des vulnérabilités, l’échange volontaire d’informations sur ces incidents et les cybermenaces et les vulnérabilités, les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration pourraient nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques et, lorsqu’il révèlent des données à caractère personnel, les horodatages. Le traitement des données à caractère personnel par les autorités compétentes, les points de contact uniques et les CSIRT pourrait constituer une obligation légale ou être considéré comme nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement en vertu de l’article 6, paragraphe 1, point c) ou e), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679, ou à la poursuite d’un intérêt légitime des entités essentielles et importantes comme visé à l’article 6, paragraphe 1, point f), dudit règlement. En outre, le droit national pourrait établir des règles permettant aux autorités compétentes, aux points de contact uniques et aux CSIRT, dans la mesure nécessaire et proportionnée aux fins d’assurer la sécurité des réseaux et des systèmes d’information des entités essentielles et importantes, de traiter des catégories particulières de données à caractère personnel conformément à l’article 9 du règlement (UE) 2016/679, notamment en prévoyant des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes physiques, y compris des limitations techniques à la réutilisation de ces données et le recours aux mesures de sécurité et de protection de la vie privée les plus récentes, telles que la pseudonymisation, ou le chiffrement lorsque l’anonymisation peut avoir un effet important sur la finalité poursuivie.

Afin de renforcer les pouvoirs et mesures de supervision qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de supervision par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de supervision entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations qui incombent à ces entités et aux autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la supervision et, par conséquent, ne pas être assujetties à une obligation générale de supervision de ces entités. La supervision ex post des entités importantes peut être déclenchée par des éléments de preuve ou toute indication ou information portés à l’attention des autorités compétentes et considérés par ces autorités comme suggérant des violations potentielles de la présente directive. Par exemple, ces éléments de preuve, indications ou informations pourraient être du type fourni aux autorités compétentes par d’autres autorités, entités, citoyens, médias ou autres sources, ou des informations publiquement disponibles, ou pourraient résulter d’autres activités menées par les autorités compétentes dans l’accomplissement de leurs tâches.

L’exécution de tâches de supervision par les autorités compétentes ne devrait pas entraver inutilement les activités économiques de l’entité concernée. Lorsque les autorités compétentes exécutent leurs tâches de supervision à l’égard d’entités essentielles, y compris la conduite d’inspections sur place et de contrôles hors site, les enquêtes sur les violations de la présente directive et la réalisation d’audits de sécurité ou d’analyses de sécurité, elles devraient réduire autant que possible l’impact sur les activités économiques de l’entité concernée.

Lorsqu’elles exercent une supervision ex ante, les autorités compétentes devraient être en mesure de fixer les priorités en ce qui concerne le recours proportionné aux mesures et moyens de supervision dont elles disposent. Cela signifie que les autorités compétentes peuvent fixer ces priorités sur la base de méthodes de supervision qui devraient suivre une approche basée sur les risques. Plus précisément, ces méthodes pourraient inclure des critères ou des valeurs de référence pour le classement des entités essentielles en catégories de risque, et les mesures et moyens de supervision correspondants recommandés par catégorie de risque, tels que l’utilisation, la fréquence ou les types d’inspections sur place, d’audits de sécurité ciblés ou de scans de sécurité, le type d’informations à demander et le niveau de détail de ces informations. Ces méthodes de supervision pourraient également être accompagnées de programmes de travail et faire l’objet d’une évaluation et d’un réexamen réguliers, y compris sur des aspects tels que l’affectation des ressources et les besoins de ressources. En ce qui concerne les entités de l’administration publique, les pouvoirs de supervision devraient être exercés conformément aux cadres législatif et institutionnel nationaux.