Les risques cyber encadrés par un nouveau règlement européen

Ce texte est pris en application de la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne.

Il définit les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité en ce qui concerne :

• les fournisseurs de services DNS (systèmes de noms de domaine) ;

• les registres des noms de domaines de premier niveau ;

• les fournisseurs de services d’informatique en nuage ;

• les fournisseurs de services de centres de données ;

• les fournisseurs de réseaux de diffusion de contenu ;

• les fournisseurs de services gérés ;

• les fournisseurs de services de sécurité gérés ;

• les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et les fournisseurs de services de confiance.

Lorsque ces entités mettent en œuvre et appliquent les exigences énoncées en annexe, elles assurent un niveau de sécurité des réseaux et des systèmes d’information adapté aux risques présents. Pour ce faire, elles doivent tenir compte de leur degré d’exposition aux risques, de leur taille et de la probabilité de survenance d’incidents, ainsi que de leur gravité, y compris de leur impact sociétal et économique.

Lorsque l’annexe prévoit qu’une exigence technique ou méthodologique liée à une mesure de gestion des risques de cybersécurité est appliquée «s’il est besoin», «s’il y a lieu» ou «dans la mesure du possible», et qu’une entité estime ne pas avoir à respecter cette exigence (ou ne pas pouvoir le faire), elle documente de manière compréhensible son argumentation en ce sens.

Le texte clarifie les cas dans lesquels un incident est considéré comme important. Il définit, pour ce faire, des critères. Ainsi, un incident est considéré comme important notamment si un ou plusieurs des critères suivants sont satisfaits :

• l’incident a causé ou est susceptible de causer à l’entité concernée une perte financière directe supérieure à 500000 euros ou à 5 % du chiffre d’affaires annuel total de l’entité concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu ;

• l’incident a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité concernée ;

• l’incident a causé ou est susceptible de causer la mort d’une personne physique ;

• l’incident a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique.

Il ne qualifie pas les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte comme des incidents importants.

Néanmoins, les incidents qui, pris isolément, ne sont pas considérés comme des incidents importants sont considérés collectivement comme un incident important lorsqu’ils remplissent l’ensemble des critères suivants :

• ils se sont produits au moins deux fois en six mois ;

• ils ont la même cause originelle apparente ;

• ils causent ou sont susceptibles de causer aux entités concernées la perte financière répondant aux critères fixées ci-dessus.

Le texte liste les incidents considérés importants pour chacune des entités concernées.

Il abroge le règlement d’exécution 2018/151 du 30 janvier 2018 portant modalités d’application de la directive 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.