Les risques cyber encadrés par un nouveau règlement européen
Le règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, établissant des règles relatives à l’application de la directive (UE) 2022/2555, a été publié au Journal officiel de l’Union européenne le vendredi 18 octobre 2024.
Ce texte est pris en application de la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne.
Des exigences techniques sur la gestion des risques cyber
Il définit les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité en ce qui concerne :
- les fournisseurs de services DNS (systèmes de noms de domaine) ;
- les registres des noms de domaines de premier niveau ;
- les fournisseurs de services d’informatique en nuage ;
- les fournisseurs de services de centres de données ;
- les fournisseurs de réseaux de diffusion de contenu ;
- les fournisseurs de services gérés ;
- les fournisseurs de services de sécurité gérés ;
- les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et les fournisseurs de services de confiance.
Lorsque ces entités mettent en œuvre et appliquent les exigences énoncées en annexe, elles assurent un niveau de sécurité des réseaux et des systèmes d’information adapté aux risques présents. Pour ce faire, elles doivent tenir compte de leur degré d’exposition aux risques, de leur taille et de la probabilité de survenance d’incidents, ainsi que de leur gravité, y compris de leur impact sociétal et économique.
Lorsque l’annexe prévoit qu’une exigence technique ou méthodologique liée à une mesure de gestion des risques de cybersécurité est appliquée «s’il est besoin», «s’il y a lieu» ou «dans la mesure du possible», et qu’une entité estime ne pas avoir à respecter cette exigence (ou ne pas pouvoir le faire), elle documente de manière compréhensible son argumentation en ce sens.
Des critères pour définir un “incident important”
Le texte clarifie les cas dans lesquels un incident est considéré comme important. Il définit, pour ce faire, des critères. Ainsi, un incident est considéré comme important notamment si un ou plusieurs des critères suivants sont satisfaits :
- l’incident a causé ou est susceptible de causer à l’entité concernée une perte financière directe supérieure à 500000 euros ou à 5 % du chiffre d’affaires annuel total de l’entité concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu ;
- l’incident a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité concernée ;
- l’incident a causé ou est susceptible de causer la mort d’une personne physique ;
- l’incident a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique.
Il ne qualifie pas les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte comme des incidents importants.
Des “incidents non importants” peuvent devenir un “incident important”
Néanmoins, les incidents qui, pris isolément, ne sont pas considérés comme des incidents importants sont considérés collectivement comme un incident important lorsqu’ils remplissent l’ensemble des critères suivants :
- ils se sont produits au moins deux fois en six mois ;
- ils ont la même cause originelle apparente ;
- ils causent ou sont susceptibles de causer aux entités concernées la perte financière répondant aux critères fixées ci-dessus.
Le texte liste les incidents considérés importants pour chacune des entités concernées.
Il abroge le règlement d’exécution 2018/151 du 30 janvier 2018 portant modalités d’application de la directive 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
En savoir plus
Le règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 est disponible dans sa version intégrale sur le site EUR-lex.
Manon Janvier
Consultante au service Assistance réglementaire de CNPP Conseil & Formation
Les plus lus…
À l’ancre depuis le 25 septembre, le vraquier Ruby, chargé de nitrate d’ammonium, est présenté comme une «bombe flottante»…
Jusqu’à six explosions, dues à une série de dysfonctionnements organisationnels et humains, retentissent ce 23 octobre 1989 dans le complexe…
Les associations Mor Gaz et Robin des Bois font le point sur la situation du cargo Ruby. …
Dans quelles conditions, un lieu de travail n’est-il pas soumis à l’obligation de disposer de places de stationnement aménagées…
Communiqué commun de l'Afrata (Association française de téléassistance), de la FAS (Fédération des ascenseurs), du GPMSE (Groupement des Métiers…
Redoutées par tous, les défaillances de la sécurité privée ne se sont pas produites durant les Jeux olympiques. Bien…