Les risques cyber encadrés par un nouveau règlement européen
Le règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, établissant des règles relatives à l’application de la directive (UE) 2022/2555, a été publié au Journal officiel de l’Union européenne le vendredi 18 octobre 2024.
Ce texte est pris en application de la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne.
Des exigences techniques sur la gestion des risques cyber
Il définit les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité en ce qui concerne :
- les fournisseurs de services DNS (systèmes de noms de domaine) ;
- les registres des noms de domaines de premier niveau ;
- les fournisseurs de services d’informatique en nuage ;
- les fournisseurs de services de centres de données ;
- les fournisseurs de réseaux de diffusion de contenu ;
- les fournisseurs de services gérés ;
- les fournisseurs de services de sécurité gérés ;
- les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et les fournisseurs de services de confiance.
Lorsque ces entités mettent en œuvre et appliquent les exigences énoncées en annexe, elles assurent un niveau de sécurité des réseaux et des systèmes d’information adapté aux risques présents. Pour ce faire, elles doivent tenir compte de leur degré d’exposition aux risques, de leur taille et de la probabilité de survenance d’incidents, ainsi que de leur gravité, y compris de leur impact sociétal et économique.
Lorsque l’annexe prévoit qu’une exigence technique ou méthodologique liée à une mesure de gestion des risques de cybersécurité est appliquée «s’il est besoin», «s’il y a lieu» ou «dans la mesure du possible», et qu’une entité estime ne pas avoir à respecter cette exigence (ou ne pas pouvoir le faire), elle documente de manière compréhensible son argumentation en ce sens.
Des critères pour définir un “incident important”
Le texte clarifie les cas dans lesquels un incident est considéré comme important. Il définit, pour ce faire, des critères. Ainsi, un incident est considéré comme important notamment si un ou plusieurs des critères suivants sont satisfaits :
- l’incident a causé ou est susceptible de causer à l’entité concernée une perte financière directe supérieure à 500000 euros ou à 5 % du chiffre d’affaires annuel total de l’entité concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu ;
- l’incident a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité concernée ;
- l’incident a causé ou est susceptible de causer la mort d’une personne physique ;
- l’incident a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique.
Il ne qualifie pas les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte comme des incidents importants.
Des “incidents non importants” peuvent devenir un “incident important”
Néanmoins, les incidents qui, pris isolément, ne sont pas considérés comme des incidents importants sont considérés collectivement comme un incident important lorsqu’ils remplissent l’ensemble des critères suivants :
- ils se sont produits au moins deux fois en six mois ;
- ils ont la même cause originelle apparente ;
- ils causent ou sont susceptibles de causer aux entités concernées la perte financière répondant aux critères fixées ci-dessus.
Le texte liste les incidents considérés importants pour chacune des entités concernées.
Il abroge le règlement d’exécution 2018/151 du 30 janvier 2018 portant modalités d’application de la directive 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
En savoir plus
Le règlement d’exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 est disponible dans sa version intégrale sur le site EUR-lex.
Manon Janvier
Consultante au service Assistance réglementaire de CNPP Conseil & Formation
Les plus lus…
Le rapport annuel 2023 de l'Assurance maladie - Risques professionnels a été dévoilé le vendredi 13 décembre 2024. Voici…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…