RAPPORT sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

    4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

    Commission de l’industrie, de la recherche et de l’énergie
    Rapporteurs: Bart Groothuis
    Rapporteur pour avis (*):
    Lukas Mandl, Commission des libertés civiles, de la justice et des affaires intérieures
    (*) Commissions associées – article 57 du règlement intérieur

    PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

    sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

    (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

    (Procédure législative ordinaire: première lecture)

    Le Parlement européen,

     vu la proposition de la Commission au Parlement européen et au Conseil (COM(2020)0823),

     vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C9‑422/2020),

     vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

     vu l’avis du Comité économique et social européen du 27 avril 2021[1],

     après consultation du Comité des régions,

     vu l’article 59 de son règlement,

     vu les avis de la commission des libertés civiles, de la justice et des affaires intérieures, de la commission des affaires étrangères, de la commission du marché intérieur et de la protection des consommateurs ainsi que de la commission des transports et du tourisme,

     vu le rapport de la commission de l’industrie, de la recherche et de l’énergie (A9-0313/2021),

    1. arrête la position en première lecture figurant ci-après;

    2. demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

    3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.


    Amendement  1

     

    Proposition de directive

    Titre

     

    Texte proposé par la Commission

    Amendement

    Proposition de

    Proposition de

    DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL

    DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL

    concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

    concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2), abrogeant la directive (UE) 2016/1148

    Amendement  2

     

    Proposition de directive

    Considérant 1

     

    Texte proposé par la Commission

    Amendement

    (1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11 avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi au fonctionnement efficace de l’économie et de la société de l’Union.

    (1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11, communément appelée «directive SRI», avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi à la sécurité de l’Union et au fonctionnement efficace de son économie et de sa société.

    __________________

    __________________

    11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1). 1).

    11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1). 1).

    Amendement  3

     

    Proposition de directive

    Considérant 3

     

    Texte proposé par la Commission

    Amendement

    (3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur.

    (3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

    Amendement  4

     

    Proposition de directive

    Considérant 3 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (3 bis) Les incidents et crises de cybersécurité majeurs au niveau de l’Union nécessitent une action coordonnée pour assurer une réaction rapide et efficace, en raison du degré élevé d’interdépendance entre les secteurs et les pays. La cyberrésilience des réseaux et des systèmes d’information ainsi que la disponibilité, la confidentialité et l’intégrité des données sont indispensables pour garantir la sécurité de l’Union, à l’intérieur comme à l’extérieur de ses frontières, étant donné que les menaces informatiques pourraient trouver leur origine en dehors de l’Union. L’ambition de l’Union de jouer un rôle géopolitique plus important repose aussi sur des capacités de cyberdéfense et de cyberdissuasion crédibles, y compris sur la capacité à détecter des actes malveillants de manière effective et en temps opportun ainsi qu’à y répondre de manière appropriée.

    Amendement  5

     

    Proposition de directive

    Considérant 5

     

    Texte proposé par la Commission

    Amendement

    (5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.

    (5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. En fin de compte, ces divergences pourraient aggraver la vulnérabilité de certains États membres aux menaces en matière de cybersécurité, ce qui peut avoir des retombées dans l’ensemble de l’Union. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive (directive SRI 2).

    Amendement  6

     

    Proposition de directive

    Considérant 6

     

    Texte proposé par la Commission

    Amendement

    (6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.

    (6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la prévention, la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.

    __________________

    __________________

    14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).

    14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).

    Amendement  7

     

    Proposition de directive

    Considérant 7

     

    Texte proposé par la Commission

    Amendement

    (7) Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie au regard des considérations exposées aux considérants 4 à 6. Les secteurs couverts par la directive (UE) 2016/1148 devraient dès lors être étendus pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociales essentielles au sein du marché intérieur. Les règles ne devraient pas être différentes selon que les entités sont des opérateurs de services essentiels ou des fournisseurs de services numériques: cette différenciation s’est avérée obsolète puisqu’elle ne reflète pas l’importance réelle des secteurs ou des services pour les activités économiques et sociales sur le marché intérieur.

    (7) Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie au regard des considérations exposées aux considérants 4 à 6. Les secteurs couverts par la directive (UE) 2016/1148 devraient dès lors être étendus pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociales essentielles au sein du marché intérieur. Les exigences en matière de gestion des risques et les obligations de signalement ne devraient pas être différentes selon que les entités sont des opérateurs de services essentiels ou des fournisseurs de services numériques: cette différenciation s’est avérée obsolète puisqu’elle ne reflète pas l’importance réelle des secteurs ou des services pour les activités économiques et sociales sur le marché intérieur.

    Amendement  8

     

    Proposition de directive

    Considérant 8

     

    Texte proposé par la Commission

    Amendement

    (8) Conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»). Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE15 de la Commission, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application. Les États membres ne devraient pas être tenus de dresser la liste des entités qui remplissent ce critère d’application générale portant sur la taille.

    (8) Conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»). Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE15 de la Commission, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application.

    __________________

    __________________

    15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

    15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

    Amendement  9

     

    Proposition de directive

    Considérant 9

     

    Texte proposé par la Commission

    Amendement

    (9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.

    (9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive,

    Amendement  10

     

    Proposition de directive

    Considérant 9 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (9 bis) Les États membres devraient établir une liste de toutes les entités essentielles et importantes. Cette liste devrait inclure les entités qui remplissent le critère d’application générale portant sur la taille ainsi que les petites entreprises et les microentreprises qui remplissent certains critères indiquant leur rôle clé pour les économies ou les sociétés des États membres. Afin que les équipes de réponse aux incidents de sécurité informatique (CSIRT) et les autorités compétentes puissent fournir une assistance et avertir les entités des incidents informatiques qui pourraient les toucher, il est important que ces autorités disposent des coordonnées correctes des entités. Les entités essentielles et importantes devraient donc soumettre au moins les informations suivantes aux autorités compétentes: le nom de l’entité, l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP, les numéros de téléphone et le ou les secteurs et sous-secteurs concernés mentionnés aux annexes I et II. Les entités devraient informer les autorités compétentes de toute modification de ces informations. Les États membres devraient veiller, dans les meilleurs délais, à ce que ces informations puissent être fournies facilement par l’intermédiaire d’un point d’entrée unique. À cette fin, l’ENISA, en coopération avec le groupe de coopération, devrait publier dans les meilleurs délais des lignes directrices et des modèles concernant les obligations de notification. Les États membres devraient notifier à la Commission et au groupe de coopération le nombre d’entités essentielles et importantes. Ils devraient également notifier à la Commission, aux fins de la révision visée dans la présente directive, le nom des petites entreprises et des microentreprises identifiées comme des entités essentielles et importantes, afin de permettre à la Commission d’évaluer la cohérence entre les approches des États membres. Ces informations devraient être traitées de manière strictement confidentielle.

    Amendement  11

     

    Proposition de directive

    Considérant 10

     

    Texte proposé par la Commission

    Amendement

    (10) La Commission, en coopération avec le groupe de coopération, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.

    (10) La Commission, en coopération avec le groupe de coopération et les acteurs concernés, devrait publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille. La Commission devrait également veiller à ce que des orientations appropriées soient données à toutes les microentreprises et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec le soutien des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard.

    Amendement  12

     

    Proposition de directive

    Considérant 10 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (10 bis) La Commission devrait également publier des lignes directrices afin d’aider les États membres à mettre correctement en œuvre les dispositions relatives au champ d’application, et d’évaluer la proportionnalité des obligations énoncées dans la présente directive, en particulier en ce qui concerne les entités dotées de modèles économiques ou d’environnements d’exploitation complexes, qui font qu’une entité peut satisfaire à la fois aux critères attribués aux entités essentielles et importantes, ou exercer simultanément des activités dont certaines relèvent du champ d’application de la présente directive et d’autres non.

    Amendement  13

     

    Proposition de directive

    Considérant 12

     

    Texte proposé par la Commission

    Amendement

    (12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission peut publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

    (12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Les actes juridiques sectoriels de l'Union qui imposent aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de signaler les incidents significatifs devraient, dans la mesure du possible, être cohérents avec la terminologie et se rapporter aux définitions figurant dans la présente directive. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents, et lorsque ces exigences produisent un effet au moins équivalent à celui des obligations prévues par la présente directive et s’appliquent à l’intégralité des aspects des opérations et services fournis par les entités essentielles et importantes relatifs à la sécurité, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission devrait publier des lignes directrices détaillées relatives à la mise en œuvre de la lex specialis en tenant compte des avis pertinents, de l’expertise et des bonnes pratiques de l’ENISA et du groupe de coopération. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents qui tiennent dûment compte de la nécessité d’un cadre global et cohérent en matière de cybersécurité. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

    Amendement  14

     

    Proposition de directive

    Considérant 14

     

    Texte proposé par la Commission

    Amendement

    (14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil 17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations à cette fin.

    (14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil 17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre les autorités compétentes au sein d’un même État membre et entre les autorités compétentes de différents États membres en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations dans les meilleurs délais, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations, si possible en temps réel, à cette fin.

    __________________

    __________________

    17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

    17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

    Amendement  15

     

    Proposition de directive

    Considérant 15

     

    Texte proposé par la Commission

    Amendement

    (15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer à tous les fournisseurs de services DNS, y compris les opérateurs de serveurs racines de noms de domaines, aux serveurs de noms de domaines de premier niveau (TLD), aux serveurs d’autorité pour les noms de domaines et aux résolveurs récursifs.

    (15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer aux serveurs de noms de domaines de premier niveau (TLD), aux services de résolution de noms de domaines récursifs publiquement disponibles pour les utilisateurs finaux de l’internet, ainsi qu’aux services de résolution de noms de domaines faisant autorité. La présente directive ne s’applique pas aux serveurs racines de noms de domaines.

    Amendement  16

     

    Proposition de directive

    Considérant 19

     

    Texte proposé par la Commission

    Amendement

    (19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.

    (19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil 18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement, compte tenu de leur degré de dépendance aux réseaux et systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.

    __________________

    __________________

    18Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).

    18Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).

    Amendement  17

     

    Proposition de directive

    Considérant 20

     

    Texte proposé par la Commission

    Amendement

    (20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.

    (20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. Les attaques intensifiées menées contre les réseaux et systèmes d’information durant la pandémie de COVID-19 ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.

    Amendement  18

     

    Proposition de directive

    Considérant 24

     

    Texte proposé par la Commission

    Amendement

    (24) Les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes d’information et prendre les mesures d’intervention et d’atténuation nécessaires. Les États membres devraient dès lors veiller à disposer de CSIRT, également connus sous la dénomination de centres de réponse aux urgences informatiques (CERT), opérationnels et conformes aux exigences essentielles afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de surveillance des autorités compétentes.

    (24) Les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes d’information et prendre les mesures d’intervention et d’atténuation nécessaires. Les États membres devraient dès lors désigner un ou plusieurs CSIRT au titre de la présente directive et s’assurer qu’ils sont opérationnels et conformes aux exigences essentielles afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Les États membres peuvent désigner des centres de réponse aux urgences informatiques («CERT») existants en tant que CSIRT. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de surveillance des autorités compétentes.

    Amendement  19

     

    Proposition de directive

    Considérant 25

     

    Texte proposé par la Commission

    Amendement

    (25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.

    (25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, ou dans le cas d’une menace sérieuse pour la sécurité nationale, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.

    __________________

    __________________

    19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

    19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

    Amendement  20

     

    Proposition de directive

    Considérant 25 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (25 bis) Les CSIRT devraient avoir la faculté, agissant à la demande d’une entité, de découvrir, gérer et surveiller en continu l’ensemble des ressources connectées à l’internet, à la fois sur site et hors site, afin de comprendre les risques organisationnels globaux encourus face aux failles dans les chaînes d’approvisionnement ou vulnérabilités critiques nouvellement découvertes. Il est important de savoir si une entité exploite une interface de gestion privilégiée, car cela influe sur la rapidité des mesures d’atténuation.

    Amendement  21

     

    Proposition de directive

    Considérant 26

     

    Texte proposé par la Commission

    Amendement

    (26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive.

    (26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux, y compris avec des CISRT de pays tiers, permettant un échange d’informations réciproque et bénéfique pour la sécurité des citoyens et des entités, en plus du réseau des CSIRT institué par la présente directive, afin de contribuer à l’élaboration de normes de l’Union susceptibles de façonner le paysage de la cybersécurité à l’échelle internationale. Les États membres pourraient également étudier la possibilité de renforcer la coopération avec des pays partenaires partageant les mêmes valeurs et des organisations internationales en vue de parvenir à des accords multilatéraux sur les normes en matière de cybersécurité, le comportement responsable des États et des acteurs non étatiques dans le cyberespace et une gouvernance numérique mondiale efficace, ainsi que de créer un cyberespace ouvert, libre, stable et sûr fondé sur le droit international.

    Amendement  22

     

    Proposition de directive

    Considérant 26 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (26 bis) Les politiques d’hygiène informatique jettent les bases qui permettent de protéger la sécurité des infrastructures des réseaux et systèmes d’information, du matériel, des logiciels et des applications en ligne, ainsi que les données relatives aux entreprises ou aux utilisateurs finaux sur lesquelles les entités s’appuient. Les politiques d’hygiène informatique qui comportent une base commune de pratiques incluant, entre autres, les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents ou aux menaces. L’ENISA devrait suivre et évaluer les politiques d’hygiène informatique des États membres, et explorer des programmes à l’échelle de l’Union afin de faciliter les contrôles transfrontières permettant de garantir une équivalence indépendamment des exigences de chaque État membre.

    Amendement  23

     

    Proposition de directive

    Considérant 26 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (26 ter) Le recours à l’intelligence artificielle dans le domaine de la cybersécurité peut améliorer la détection et la neutralisation des attaques contre les réseaux et systèmes d’information, et permettre d’affecter des ressources à la lutte contre les attaques plus sophistiquées. Les États membres devraient par conséquent encourager, dans le cadre de leurs stratégies nationales, l’utilisation d’outils de cybersécurité (semi-)automatisés ainsi que le partage des données nécessaires pour entraîner et améliorer ces outils. Afin d’atténuer les risques d’ingérence excessive dans les droits et libertés des personnes que les systèmes fondés sur l’IA pourraient présenter, les exigences en matière de protection des données dès la conception et par défaut prévues à l’article 25 du règlement (UE) 2016/679 doivent s’appliquer. L’intégration de garanties appropriées telles que la pseudonymisation, le cryptage, l’exactitude des données et la minimisation des données pourrait en outre atténuer ces risques.

    Amendement  24

     

    Proposition de directive

    Considérant 26 quater (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (26 quater) Les outils et applications de cybersécurité à code source ouvert peuvent contribuer à augmenter le degré de transparence et avoir un effet positif sur l’efficacité de l’innovation industrielle. Les normes ouvertes facilitent l’interopérabilité entre les outils de sécurité, ce qui profite à la sécurité des acteurs industriels. Les outils et applications de cybersécurité à code source ouvert peuvent mobiliser la communauté des développeurs au sens large, ce qui permet aux entités de mener des stratégies de diversification des fournisseurs et de sécurité ouverte. La sécurité ouverte peut conduire à un processus de vérification plus transparent des outils liés à la cybersécurité et à un processus communautaire de détection des vulnérabilités. Les États membres devraient donc promouvoir l’adoption de logiciels libres et de normes ouvertes en appliquant des politiques relatives à l’utilisation de données ouvertes et de codes sources ouverts dans le cadre de la sécurité par la transparence. Les politiques qui promeuvent l’adoption et l’utilisation durable d’outils de cybersécurité à code source ouvert revêtent une importance particulière pour les petites et moyennes entreprises (PME) exposées à des coûts de mise en œuvre importants, qui peuvent être atténués grâce à une moindre nécessité d’applications ou d’outils spécifiques.

    Amendement  25

     

    Proposition de directive

    Considérant 26 quinquies (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (26 quinquies) Les partenariats public-privé (PPP) dans le domaine de la cybersécurité peuvent offrir le cadre adapté pour les échanges de connaissances, le partage des bonnes pratiques et l’établissement d’un niveau de compréhension commun à toutes les parties prenantes. Les États membres devraient adopter des politiques favorisant l’établissement de PPP de cybersécurité dans le cadre de leurs stratégies nationales de cybersécurité. Ces politiques devraient clarifier, entre autres, la portée des PPP ainsi que les parties prenantes impliquées, le modèle de gouvernance, les options de financement disponibles et les interactions entre les parties prenantes participantes. Les PPP peuvent s’appuyer sur l’expertise des entités du secteur privé pour soutenir les autorités compétentes des États membres dans leur travail de développement de services et processus de pointe, comprenant, entre autres, les échanges d’informations, les alertes rapides, les exercices de gestion des cybermenaces et des incidents, la gestion des crises et la planification de la résilience.

    Amendement  26

     

    Proposition de directive

    Considérant 27

     

    Texte proposé par la Commission

    Amendement

    (27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.

    (27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou présentant de graves risques de sûreté et de sécurité publique pour les entités ou les citoyens dans plusieurs États membres ou dans l’Union dans son ensemble. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.

    __________________

    __________________

    Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

    Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

    Amendement  27

     

    Proposition de directive

    Considérant 27 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (27 bis) Les États membres devraient, dans leurs stratégies nationales de cybersécurité, répondre aux besoins spécifiques des PME en matière de cybersécurité. Les PME représentent, dans le contexte de l’Union, un grand pourcentage du marché de l’industrie et des entreprises et elles éprouvent souvent des difficultés à s’adapter aux nouvelles pratiques commerciales dans un monde plus connecté, à naviguer dans l’environnement numérique, avec des salariés qui travaillent à domicile et des affaires qui se font de plus en plus en ligne. Certaines PME sont confrontées à des défis spécifiques en matière de cybersécurité, tels qu’une faible sensibilisation à la cybersécurité, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité et un niveau accru de menaces, comme les logiciels rançonneurs, pour lesquels elles devraient recevoir des conseils et un soutien. Les États membres devraient disposer d’un point de contact unique pour les PME en matière de cybersécurité, qui soit fournit des conseils et un soutien aux PME, soit les oriente vers les entités appropriées pour obtenir des conseils et un soutien sur les questions liées à la cybersécurité. Les États membres sont encouragés à proposer également des services tels que la configuration de sites web et la journalisation pour les petites entreprises et les microentreprises qui ne disposent pas de ces capacités.

    Amendement  28

     

    Proposition de directive

    Considérant 27 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (27 ter) Les États membres devraient adopter des politiques de promotion de la cyberdéfense active dans le cadre de leurs stratégies nationales de cybersécurité. La cyberdéfense active consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation proactives des violations de la sécurité de réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. La capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la détection, la prévention et la lutte efficaces contre les attaques ciblant des réseaux et systèmes d’information. La cyberdéfense active repose sur une stratégie défensive qui exclut les mesures offensives contre les infrastructures civiles critiques.

    Amendement  29

     

    Proposition de directive

    Considérant 28

     

    Texte proposé par la Commission

    Amendement

    (28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. En ce qui concerne la divulgation des vulnérabilités, la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement importante. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

    (28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. Le renforcement de la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

    Amendement  30

     

    Proposition de directive

    Considérant 28 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (28 bis) La Commission, l’ENISA et les États membres devraient continuer à encourager l’harmonisation internationale avec les normes et les bonnes pratiques existantes du secteur en matière de gestion des risques, par exemple dans les domaines des évaluations de la sécurité de la chaîne d’approvisionnement, du partage d’informations et de la divulgation des vulnérabilités.

    Amendement  31

     

    Proposition de directive

    Considérant 29

     

    Texte proposé par la Commission

    Amendement

    (29) Les États membres devraient par conséquent adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en créant une politique nationale pertinente. À cet égard, les États membres devraient désigner un CSIRT pour jouer le rôle de «coordinateur» et agir comme un intermédiaire entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC lorsque cela est nécessaire. Les missions du CSIRT agissant en tant que coordinateur devraient notamment impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux entités effectuant le signalement, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs organisations (divulgation de vulnérabilité multipartite). Lorsque les vulnérabilités touchent plusieurs fabricants ou fournisseurs de produits ou services TIC établis dans plusieurs États membres, les CSIRT désignés par chaque État membre touché devraient coopérer au sein du réseau des CSIRT.

    (29) Les États membres, en coopération avec l’ENISA, devraient par conséquent adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en créant une politique nationale pertinente. Dans le cadre de cette politique nationale, les États membres devraient s’attaquer aux problèmes rencontrés par les experts qui recherchent les vulnérabilités. Dans certains États membres, les entités et les personnes physiques qui recherchent des vulnérabilités peuvent s'exposer à une responsabilité pénale et civile. Les États membres sont donc encouragés à publier des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour ces activités.

    Amendement  32

     

    Proposition de directive

    Considérant 29 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (29 bis) Les États membres devraient désigner un CSIRT pour jouer le rôle de «coordinateur» et agir comme un intermédiaire entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC susceptibles d’être touchés par la vulnérabilité, lorsque cela est nécessaire. Les missions du CSIRT agissant en tant que coordinateur devraient notamment impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux entités effectuant le signalement, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs organisations (divulgation de vulnérabilité multipartite). Lorsque les vulnérabilités touchent plusieurs fabricants ou fournisseurs de produits ou services TIC établis dans plusieurs États membres, les CSIRT désignés par chaque État membre touché devraient coopérer au sein du réseau des CSIRT.

    Amendement  33

     

    Proposition de directive

    Considérant 30

     

    Texte proposé par la Commission

    Amendement

    (30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. À cet égard, les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place un registre des vulnérabilités dans lequel les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées.

    (30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. Les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données des vulnérabilités dans laquelle les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées. L’objectif de cette base de données est de relever les défis uniques que posent les risques en matière de cybersécurité aux entités européennes. En outre, l’ENISA devrait établir une procédure responsable en ce qui concerne le processus de publication, afin de donner aux entités le temps de prendre des mesures d’atténuation à l’égard de leurs vulnérabilités, et recourir aux mesures de cybersécurité les plus récentes, ainsi qu’aux ensembles de données lisibles par machine et aux interfaces correspondantes (API). L’encouragement d’une culture de divulgation des vulnérabilités ne devrait pas se faire au détriment de l’entité qui effectue le signalement.

    Amendement  34

     

    Proposition de directive

    Considérant 31

     

    Texte proposé par la Commission

    Amendement

    (31) Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Un registre européen des vulnérabilités géré par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec les registres existants sur le territoire de pays tiers.

    (31) La base de données européenne des vulnérabilités gérée par l’ENISA devrait tirer parti du registre Common Vulnerabilities and Exposures (CVE), en utilisant son cadre pour l’identification, le suivi et la notation des vulnérabilités. En outre, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec d’autres registres ou bases de données similaires relevant des juridictions de pays tiers, afin d’éviter les doubles emplois et de rechercher la complémentarité.

    Amendement  35

     

    Proposition de directive

    Considérant 33

     

    Texte proposé par la Commission

    Amendement

    (33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques auxquelles il convient de répondre par une meilleure application des règles existantes.

    (33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques - notamment en vue de faciliter l’harmonisation de la transposition de la présente directive entre les États membres - auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération devrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique à travers l’Union. Cela vaut tout particulièrement pour les secteurs qui ont un caractère international et transfrontière.

    Amendement  36

     

    Proposition de directive

    Considérant 34

     

    Texte proposé par la Commission

    Amendement

    (34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.

    (34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences concernés de l’Union participant à la politique de cybersécurité, comme Europol, l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.

    Amendement  37

     

    Proposition de directive

    Considérant 35

     

    Texte proposé par la Commission

    Amendement

    (35) Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres afin d’améliorer la coopération. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte.

    (35) Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres dans le respect de règles et de mécanismes structurés concernant le champ d’application et, le cas échéant, l’habilitation de sécurité requise des agents qui participent à de tels programmes d’échange, afin d’améliorer la coopération et de renforcer la confiance parmi les États membres. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte ou du CSIRT.

    Amendement  38

     

    Proposition de directive

    Considérant 36

     

    Texte proposé par la Commission

    Amendement

    (36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient assurer un niveau suffisant de protection des données.

    (36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient garantir les intérêts de l’Union et assurer un niveau suffisant de protection des données. Ceci ne préjuge pas du droit qu’ont les États membres de coopérer avec des pays tiers partageant les mêmes valeurs sur la gestion des vulnérabilités et des risques touchant la cybersécurité dans le but de faciliter le signalement et le partage général d’informations en conformité avec la législation de l’Union.

    Amendement  39

     

    Proposition de directive

    Considérant 38

     

    Texte proposé par la Commission

    Amendement

    (38) Aux fins de la présente directive, le terme «risque» devrait faire référence au potentiel de perte ou de perturbation causé par un incident de cybersécurité et devrait être exprimé comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise.

    supprimé

    Amendement  40

     

    Proposition de directive

    Considérant 39

     

    Texte proposé par la Commission

    Amendement

    (39) Aux fins de la présente directive, le terme «incidents évités» devrait faire référence à un événement qui aurait potentiellement pu causer des dommages, mais dont la réalisation totale a pu être empêchée.

    supprimé

    Amendement  41

     

    Proposition de directive

    Considérant 40

     

    Texte proposé par la Commission

    Amendement

    (40) Parmi les mesures de gestion des risques devraient figurer celles permettant de déterminer tous les risques d’incidents, de prévenir, de repérer et de gérer les incidents et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées.

    (40) Parmi les mesures de gestion des risques devraient figurer celles permettant de déterminer tous les risques d’incidents, de prévenir et de repérer les incidents, d’y réagir et de s’en remettre, et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées. Ces systèmes devraient prévoir une analyse systémique qui décompose les divers processus et les interactions entre les sous-systèmes et tient compte du facteur humain, afin de disposer d’une vue d’ensemble complète sur la sécurité du système d’information.

    Amendement  42

     

    Proposition de directive

    Considérant 41

     

    Texte proposé par la Commission

    Amendement

    (41) Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit excessive, il convient que les exigences en matière de gestion des risques de cybersécurité soient proportionnées aux risques que présentent le réseau et le système d’information concernés, compte tenu de l’état le plus avancé de la technique en ce qui concerne ces mesures.

    (41) Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit excessive, il convient que les exigences en matière de gestion des risques de cybersécurité soient proportionnées aux risques que présentent le réseau et le système d’information concernés, compte tenu de l’état le plus avancé de la technique en ce qui concerne ces mesures ainsi que des normes européennes ou internationales, telles que l’ISO31000 et l’ISA/IEC 27005.

    Amendement  43

     

    Proposition de directive

    Considérant 43

     

    Texte proposé par la Commission

    Amendement

    (43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs procédures de développement sécurisées.

    (43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou de services gérés de sécurité, vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes d’attaques contre les réseaux et systèmes d’information et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de cybersécurité qui y sont intégrées et les pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs procédures de développement sécurisées. Les entités devraient en particulier être encouragées à intégrer des mesures de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services de premier niveau. Elles pourraient prendre en considération les risques en matière de cybersécurité découlant d’autres niveaux de fournisseurs et de prestataires de services.

    Amendement  44

     

    Proposition de directive

    Considérant 44

     

    Texte proposé par la Commission

    Amendement

    (44) Parmi tous les fournisseurs de services, les fournisseurs de services gérés de sécurité dans des domaines comme la réaction aux incidents, les tests de pénétration, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour détecter les incidents et y réagir. Ces fournisseurs de services gérés de sécurité ont également été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque considérable en matière de cybersécurité. Les entités doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services gérés de sécurité.

    (44) Parmi tous les fournisseurs de services, les fournisseurs de services gérés de sécurité dans des domaines comme la réaction aux incidents, les tests de pénétration, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour prévenir et détecter les incidents, y réagir ou s’en remettre. Ces fournisseurs de services gérés de sécurité ont également été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque considérable en matière de cybersécurité. Les entités doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services gérés de sécurité.

    Amendement  45

     

    Proposition de directive

    Considérant 45

     

    Texte proposé par la Commission

    Amendement

    (45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.

    (45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large, y compris pour éviter l’espionnage industriel et protéger les secrets d'affaires. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.

    Amendement  46

     

    Proposition de directive

    Considérant 45 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (45 bis) Les entités devraient adopter une vaste gamme de pratiques d’hygiène informatique de base, comme l’architecture «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, et organiser une formation pour leur personnel en ce qui concerne les cybermenaces liées à la messagerie d’entreprise, le hameçonnage ou les techniques d’ingénierie sociale. En outre, les entités devraient évaluer leurs propres capacités en matière de cybersécurité et, le cas échéant, poursuivre l’intégration des technologies de cybersécurité basées sur l’intelligence artificielle ou les systèmes d’apprentissage automatique afin d’automatiser leurs capacités et la protection des architectures en réseau.

    Amendement  47

     

    Proposition de directive

    Considérant 46

     

    Texte proposé par la Commission

    Amendement

    (46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G21 suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.

    (46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC et SIC critiques, les menaces pertinentes et les vulnérabilités. Ces évaluations des risques devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités. Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.

    __________________

    __________________

    21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

    21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

    Amendement  48

     

    Proposition de directive

    Considérant 47

     

    Texte proposé par la Commission

    Amendement

    (47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.

    (47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC, tout au long de leur cycle de vie, face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services, systèmes ou produits TIC soumis à des exigences spécifiques émanant de pays tiers.

    Amendement  49

     

    Proposition de directive

    Considérant 47 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (47 bis) Le Groupe des parties prenantes pour la certification de cybersécurité institué en vertu de l’article 22 du règlement (UE) 2019/881 du Parlement européen et du Conseil1a devrait émettre un avis sur les évaluations des risques de sécurité des chaînes d’approvisionnement de services, systèmes ou produits TIC et SIC spécifiques d’importance critique. Le groupe de coopération et l’ENISA devraient tenir compte de cet avis.

     

    __________________

     

    1a Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

    Amendement  50

     

    Proposition de directive

    Considérant 50

     

    Texte proposé par la Commission

    Amendement

    (50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux.

    (50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque lié à la sécurité des réseaux pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux. Toutefois, étant donné que la surface d’attaque continue de s’étendre, les services de communications interpersonnelles non fondés sur la numérotation, y compris, mais pas seulement, les messageries de réseaux sociaux, deviennent des vecteurs d’attaque courants. Les acteurs malveillants utilisent des plateformes pour communiquer avec les victimes et les inciter à ouvrir des pages web compromises, ce qui augmente la probabilité d’incidents impliquant l’exploitation de données à caractère personnel, et par extension, la sécurité des systèmes d’information.

    Amendement  51

     

    Proposition de directive

    Considérant 51

     

    Texte proposé par la Commission

    Amendement

    (51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents qui les concernent.

    (51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que tous les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents significatifs qui les concernent. Les États membres devraient veiller au maintien de l’intégrité et de la disponibilité de ces réseaux de communications électroniques publics et considérer que leur protection contre le sabotage et l’espionnage présente un intérêt vital sur le plan de la sécurité. Les informations sur les incidents, par exemple sur les câbles de communication sous-marins, devraient être activement partagées entre les États membres.

    Amendement  52

     

    Proposition de directive

    Considérant 52

     

    Texte proposé par la Commission

    Amendement

    (52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. L’obligation qui est faite aux entités d’informer les destinataires de ces menaces ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. Informer les destinataires au sujet des menaces pour la sécurité devrait être gratuit.

    (52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. Cela ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. L’information fournie aux destinataires au sujet des menaces pour la sécurité devrait être gratuite et formulée dans un langage facile à comprendre.

    Amendement  53

     

    Proposition de directive

    Considérant 53

     

    Texte proposé par la Commission

    Amendement

    (53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.

    (53) Il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public mettent en œuvre des mesures de sécurité dès la conception et par défaut, et informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs dispositifs et communications, par exemple en recourant à des types spécifiques de logiciels de cryptage ou à d’autres techniques de sécurité axées sur les données.

    Amendement  54

     

    Proposition de directive

    Considérant 54

     

    Texte proposé par la Commission

    Amendement

    (54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications, tout en apportant une réponse efficace à la criminalité.

    (54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation de techniques de chiffrement et d’autres techniques de sécurité axées sur les données, telles que la tokenisation, la segmentation, l’accès limité, le marquage, le balisage, la gestion forte des accès et identités, et les décisions d’accès automatisées, voire si nécessaire de l’imposer pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Toutefois, cela ne devrait pas conduire à des efforts pour affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour une protection efficace des données et de la vie privée .

    Amendement  55

     

    Proposition de directive

    Considérant 54 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (54 bis) Afin de préserver la sécurité et de prévenir les abus et la manipulation des réseaux et services de communications électroniques, il convient de promouvoir l’utilisation de normes de routage sécurisé interopérables pour garantir l’intégrité et la solidité des fonctions de routage dans l’ensemble de l’écosystème des transporteurs Internet.

    Amendement  56

     

    Proposition de directive

    Considérant 54 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (54 ter) Afin de préserver la fonctionnalité et l’intégrité de l’internet et de réduire les problèmes de sécurité liés au DNS, les parties prenantes concernées, notamment les entreprises de l’Union, les fournisseurs de services internet et les vendeurs de navigateurs, devraient être encouragées à adopter une stratégie de diversification de la résolution DNS. En outre, les États membres devraient encourager la mise au point et l’utilisation d’un service européen public et sécurisé de résolution de noms de domaines.

    Amendement  57

     

    Proposition de directive

    Considérant 55

     

    Texte proposé par la Commission

    Amendement

    (55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale dans les 24 heures, suivie d’un rapport final un mois après au plus tard. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’évider que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais de 24 heures pour la notification initiale et de un mois pour le rapport final.

    (55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale suivie d’un rapport complet un mois au plus tard après la soumission de la notification initiale. Le délai de notification initiale de l’incident ne devrait pas empêcher les entités de signaler les incidents plus tôt, de façon à ce qu’elles puissent chercher rapidement de l’aide auprès des CSIRT dans un but d’atténuation de l’éventuelle propagation de l’incident signalé. Les CSIRT peuvent demander un rapport intermédiaire sur les mises à jour pertinentes de la situation, tout en tenant compte des efforts déployés par l’entité à l’origine du signalement pour réagir et remédier à l’incident.

    Amendement  58

     

    Proposition de directive

    Considérant 55 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (55 bis) Un incident important peut avoir une incidence sur la confidentialité, l’intégrité ou la disponibilité du service. Les entités essentielles et importantes devraient informer les CSIRT des incidents importants qui ont une incidence sur la disponibilité de leur service dans les 24 heures suivant la prise de connaissance de l’incident. Elles devraient informer les CSIRT des incidents importants qui portent atteinte à la confidentialité et à l’intégrité de leurs services dans un délai de 72 heures à compter de la prise de connaissance de l’incident. La distinction entre les types d’incidents n’est pas fondée sur la gravité de l’incident, mais sur la difficulté pour l’entité à l’origine du signalement d’évaluer l’incident et son importance et sur la capacité à communiquer des informations qui peuvent être utiles pour le CSIRT. La notification initiale devrait inclure les informations nécessaires pour porter l’incident à la connaissance du CSIRT et permettre à l’entité de demander une assistance, le cas échéant. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’éviter que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou puissent compromettre de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec le CSIRT, l’entité concernée peut ne pas respecter les délais pour la notification initiale et pour le rapport complet.

    Amendement  59

     

    Proposition de directive

    Considérant 59

     

    Texte proposé par la Commission

    Amendement

    (59) Le maintien à jour des bases de données précises et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.

    (59) Le maintien à jour des bases de données précises, vérifiées et complètes contenant les données d’enregistrement des noms de domaines (appelées «données WHOIS») est essentiel pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union, et pour lutter contre les activités illégales. Les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient donc être tenus de collecter les données d’enregistrement des noms de domaines, lesquelles devraient comprendre au moins le nom des titulaires de noms de domaines, leur adresse physique et électronique ainsi que leur numéro de téléphone. Dans la pratique, les données collectées ne seront peut-être pas toujours entièrement exactes, mais les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient adopter et mettre en œuvre des processus proportionnés pour vérifier que les personnes physiques ou morales qui demandent ou détiennent un nom de domaine ont fourni des coordonnées auxquelles elles peuvent être jointes et sont censées répondre. Dans toute la mesure du possible, ces processus de vérification devraient refléter les meilleures pratiques actuellement utilisées dans le secteur. Ces meilleures pratiques appliquées dans le processus de vérification devraient traduire les progrès réalisés dans le processus d’identification électronique. Les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient rendre publiques leurs politiques et procédures visant à garantir l’intégrité et la disponibilité des données d’enregistrement des noms de domaines. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.

    Amendement  60

     

    Proposition de directive

    Considérant 60

     

    Texte proposé par la Commission

    Amendement

    (60) La disponibilité de ces données, et leur accessibilité, en temps opportun, pour les autorités publiques, y compris les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, les CERT (ou CSIRT) et, en ce qui concerne les données de leurs clients, pour les fournisseurs de réseaux et de services de communications électroniques et les fournisseurs de technologies et de services de cybersécurité agissant pour le compte de ces clients, sont essentielles pour prévenir et à combattre l’utilisation abusive des noms de domaines, en particulier pour prévenir, détecter et répondre aux incidents de cybersécurité. Cet accès doit être conforme au droit de l’Union en matière de protection des données dans la mesure où il concerne des données à caractère personnel.

    (60) La disponibilité et l’accessibilité en temps utile des données d’enregistrement des noms de domaines pour les demandeurs d’accès légitimes sont essentielles à des fins de cybersécurité et de lutte contre les activités illégales dans l’écosystème en ligne. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement des noms de domaines devraient donc être tenus de permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement des noms de domaines, y compris à des données à caractère personnel, conformément à la législation de l’Union sur la protection des données. Les demandeurs d’accès légitimes, qui pourraient être les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que les CERT ou CSIRT nationaux, devraient présenter une demande dûment justifiée d’accès aux données d’enregistrement des noms de domaines sur la base du droit de l’Union ou du droit national. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais et dans tous les cas dans un délai de 72 heures aux demandes de divulgation de données d’enregistrement de noms de domaines émanant de demandeurs d’accès légitimes. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures pour la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’autres outils techniques afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices à l’égard de ces procédures sans préjudice des compétences du comité européen de la protection des données.

    Amendement  61

    Proposition de directive

    Considérant 61

     

    Texte proposé par la Commission

    Amendement

    (61) Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaines, les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau (appelées «bureaux d’enregistrement») doivent collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaines. En particulier, les registres de noms domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément aux règles de l’Union en matière de protection des données.

    supprimé

    Amendement  62

     

    Proposition de directive

    Considérant 62

     

    Texte proposé par la Commission

    Amendement

    (62) Les registres des noms de domaines de premier niveau ainsi que les entités leur fournissant des services d’enregistrement de noms de domaines devraient rendre publiques les données relatives à l’enregistrement de noms de domaines qui ne relèvent pas du champ d’application des règles de l’Union en matière de protection des données, telles que les données concernant les personnes morales. Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaines concernant des personnes physiques, conformément à la législation de l’Union sur la protection des données. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais aux demandes de divulgation de données d’enregistrement de noms de domaines émanant de demandeurs d’accès légitimes. Les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures entourant la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices eu égard à ces procédures sans préjudice des compétences du comité européen de la protection des données.

    (62) Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines devraient être tenus de rendre publiques les données d’enregistrement de noms de domaines qui ne contiennent pas de données à caractère personnel. Il faut opérer une distinction entre les personnes physiques et morales25. Pour les personnes morales, les registres des noms de domaines de premier niveau ainsi que les entités devraient rendre publics, au minimum, le nom des titulaires de noms de domaines, leur adresse physique et électronique ainsi que leur numéro de téléphone. La personne morale devrait être tenue soit de fournir une adresse électronique générique qui puisse être rendue publique, soit de donner son consentement à la publication d’une adresse électronique personnelle. La personne morale devrait être en mesure de démontrer ce consentement à la demande des registres des noms de domaines de premier niveau ainsi que des entités fournissant des services d’enregistrement de noms de domaines.

    __________________

    __________________

    25 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, considérant 14, aux termes duquel «Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale».

    25 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, considérant 14, aux termes duquel «Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale».

    Amendement  63

     

    Proposition de directive

    Considérant 63

     

    Texte proposé par la Commission

    Amendement

    (63) Toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions communes de surveillance.

    (63) Toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services ou exercent leurs activités. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions communes de surveillance.

    Amendement  64

     

    Proposition de directive

    Considérant 64

     

    Texte proposé par la Commission

    Amendement

    (64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.

    (64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré soit comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union, soit comme étant l’établissement où les opérations de cybersécurité sont menées. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.

    Amendement  65

     

    Proposition de directive

    Considérant 65 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (65 bis) L’ENISA devrait créer et gérer un registre contenant des informations sur les entités essentielles et importantes, lesquelles comprennent les fournisseurs de services DNS, les registres des noms de domaines de premier niveau et les fournisseurs de services d’informatique en nuage, de services de centres de données, de réseaux d’acheminement de contenu, de marchés en ligne, de moteurs de recherche en ligne et de plateformes de réseaux sociaux. Ces entités essentielles et importantes devraient soumettre à l’ENISA leurs noms, adresses et coordonnées à jour. Elles devraient notifier à l’ENISA toute modification de ces informations sans retard et, en tout état de cause, dans un délai de deux semaines à compter de la date à laquelle la modification a pris effet. L’ENISA devrait transmettre ces informations au point de contact unique concerné. Les entités essentielles et importantes qui transmettent leurs informations à l’ENISA ne sont donc pas tenues d’informer séparément l’autorité compétente au sein de l’État membre. L’ENISA devrait élaborer un programme d’application simple et accessible au public que ces entités pourraient utiliser pour mettre à jour leurs informations. En outre, l’ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées, et réserver l’accès, le stockage et la transmission de ces informations aux utilisateurs à qui elles sont destinées.

    Amendement  66

     

    Proposition de directive

    Considérant 66

     

    Texte proposé par la Commission

    Amendement

    (66) Lorsque des informations considérées comme classifiées en vertu du droit national ou du droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu des dispositions de la présente directive, les règles spécifiques correspondantes relatives au traitement des informations classifiées doivent être appliquées.

    (66) Lorsque des informations considérées comme classifiées en vertu du droit national ou du droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu des dispositions de la présente directive, les règles spécifiques correspondantes relatives au traitement des informations classifiées doivent être appliquées. En outre, l’ENISA devrait disposer de l’infrastructure, des procédures et des règles nécessaires pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables à la protection des informations classifiées de l’Union.

    Amendement  67

     

    Proposition de directive

    Considérant 68

     

    Texte proposé par la Commission

    Amendement

    (68) Les entités devraient être encouragées à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.

    (68) Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive, comme les entités axées sur les services et la recherche en matière de cybersécurité, à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.

    Amendement  68

     

    Proposition de directive

    Considérant 69

     

    Texte proposé par la Commission

    Amendement

    (69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé dans le règlement (UE) 2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Ces mesures peuvent nécessiter le traitement des types de données à caractère personnel suivants: Adresses IP, localisateurs de ressources uniformes (URL), noms de domaines et adresses électroniques.

    (69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités essentielles et importantes, des CSIRT et des fournisseurs de technologies et de services de sécurité, est nécessaire au respect de leurs obligations légales visées dans la présente directive. Ce traitement de données à caractère personnel pourrait également être nécessaire aux fins des intérêts légitimes poursuivis par les entités essentielles et importantes. Lorsque la présente directive exige le traitement de données à caractère personnel à des fins de cybersécurité et de sécurité des réseaux et de l’information conformément aux dispositions des articles 18, 20 et 23 de la directive, ce traitement est considéré comme nécessaire au respect d’une obligation légale, telle que visée à l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Aux fins des articles 26 et 27 de la présente directive, le traitement, tel que visé à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, est considéré comme nécessaire aux fins des intérêts légitimes poursuivis par les entités essentielles et importantes. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse et à la réaction aux incidents, les mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration nécessitent le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaines, les adresses électroniques, les horodatages, les informations liées au système d’exploitation ou au navigateur, les cookies ou d’autres informations indiquant le modus operandi.

    Amendement  69

     

    Proposition de directive

    Considérant 71

     

    Texte proposé par la Commission

    Amendement

    (71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation, des dommages ou pertes réels causés ou des dommages ou pertes potentiels qui auraient pu être provoqués, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. L’imposition de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

    (71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation, des dommages ou pertes causés, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. Les sanctions, y compris les amendes administratives, devraient être proportionnées et leur imposition devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne (ci-après, «la Charte»), y compris le droit à une protection juridictionnelle effective et à une procédure régulière, la présomption d’innocence et les droits de la défense.

    Amendement  70

     

    Proposition de directive

    Considérant 72

     

    Texte proposé par la Commission

    Amendement

    (72) Afin de garantir une application efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives.

    (72) Afin de garantir une application efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives si la violation a été commise délibérément ou par négligence ou si l’entité concernée avait été informée de son infraction.

    Amendement  71

     

    Proposition de directive

    Considérant 76

     

    Texte proposé par la Commission

    Amendement

    (76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant tout ou partie des services fournis par une entité essentielle et en l’interdiction temporaire de l’exercice de fonctions de direction par une personne physique. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.

    (76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services concernés fournis par une entité essentielle et en la demande d’imposer une interdiction temporaire de l’exercice de fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal . Les États membres devraient élaborer des procédures et règles spécifiques concernant l’interdiction temporaire d’exercer des fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal dans les entités de l’administration publique. Lors de l’élaboration de ces procédures et règles, les États membres devraient tenir compte des particularités de leurs niveaux et systèmes de gouvernance respectifs au sein de leurs administrations publiques. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces suspensions ou interdictions temporaires ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces suspensions ou interdictions temporaires ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces suspensions ou interdictions temporaires ont été appliquées. L’imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.

    Amendement  72

     

    Proposition de directive

    Considérant 79

     

    Texte proposé par la Commission

    Amendement

    (79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres.

    (79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation, par des experts indépendants désignés par les États membres, de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres. Les évaluations par les pairs peuvent déboucher sur des enseignements et des recommandations précieux, qui renforcent les capacités globales en matière de cybersécurité. En particulier, elles peuvent contribuer à faciliter le transfert de technologies, d’outils, de mesures et de processus parmi les États membres qui participent à l’évaluation par les pairs, en créant une trajectoire fonctionnelle pour l’échange de bonnes pratiques entre les États membres ayant des niveaux de maturité différents en matière de cybersécurité et en permettant l’établissement d’un niveau élevé et commun de cybersécurité dans l’ensemble de l’Union. L’évaluation par les pairs devrait être précédée d’une auto-évaluation par l’État membre considéré, portant sur les aspects évalués et toute question ciblée supplémentaire que les experts désignés communiquent à l’État membre faisant l’objet de l’évaluation par les pairs avant le début de celle-ci. La Commission, en coopération avec l’ENISA et le groupe de coopération, devrait élaborer des modèles pour l’auto-évaluation des aspects évalués afin de rationaliser le processus et d’éviter les incohérences et retards procéduraux, que les États membres faisant l’objet d’une évaluation par les pairs devraient remplir et fournir aux experts désignés qui procèdent à ladite évaluation avant le début de celle-ci.

    Amendement  73

     

    Proposition de directive

    Considérant 80

     

    Texte proposé par la Commission

    Amendement

    (80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques requis en vertu de la présente directive. La Commission devrait également être habilitée à adopter des actes délégués établissant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»26 . En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

    (80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques de cybersécurité et les obligations de signalement requis en vertu de la présente directive. La Commission devrait également être habilitée à adopter des actes délégués établissant quelles catégories d’entités essentielles et importantes sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer». En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

    __________________

     

    26 JO L 123 du 12.5.2016, p. 1.

     

    Amendement  74

     

    Proposition de directive

    Considérant 81

     

    Texte proposé par la Commission

    Amendement

    (81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération, les éléments techniques des mesures de gestion des risques ou le type d’informations, le format et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil.27

    (81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil.27

    __________________

    __________________

    Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

    Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

    Amendement  75

     

    Proposition de directive

    Considérant 82

     

    Texte proposé par la Commission

    Amendement

    (82) La présente directive devrait être réexaminée périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il est nécessaire de la modifier pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés.

    (82) La présente directive devrait être réexaminée périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il y a lieu  de proposer des modifications pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Dans le cadre de ces réexamens, la Commission devrait évaluer la pertinence des secteurs, des sous-secteurs et des types d’entités visés aux annexes pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. La Commission devrait évaluer, entre autres, si les fournisseurs numériques qui sont classés comme très grandes plateformes en ligne au sens de l’article 25 du règlement (UE) XXXX/XXXX [Marché unique des services numériques (législation sur les services numériques)] ou comme contrôleurs d’accès au sens de l’article 2, point 1, du règlement (UE) XXXX/XXXX [marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques)] devraient être désignés en tant qu’entités essentielles au titre de la présente directive. En outre, la Commission devrait évaluer s’il y a lieu de modifier l’annexe I de la directive 2020/1828 du Parlement européen et du Conseil1bis en ajoutant une référence à la présente directive.

     

    __________________

     

    1 bis Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).

    Amendement  76 

    Proposition de directive

    Considérant 82 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (82 bis) La présente directive fixe des exigences de cybersécurité pour les États membres, ainsi que pour les entités essentielles et importantes établies dans l’Union. Ces exigences de cybersécurité devraient également être appliquées par les institutions, organes, organismes et agences de l’Union sur la base d’un acte législatif de l’Union.

    Amendement  77

     

    Proposition de directive

    Considérant 82 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (82 ter) La présente directive crée de nouvelles tâches pour l’ENISA, en renforçant ainsi son rôle, et pourrait également conduire à ce que l’ENISA soit tenue d’accomplir les tâches qui lui incombent en vertu du règlement (UE) 2019/881 à un niveau plus élevé qu’auparavant. Afin de veiller à ce que l’ENISA dispose des ressources financières et humaines nécessaires pour mener à bien les activités existantes et nouvelles dans le cadre de ses missions, et pour satisfaire à toute norme plus élevée résultant de son rôle accru, il convient d’augmenter son budget en conséquence. En outre, afin de garantir une utilisation efficace des ressources, l’ENISA devrait bénéficier d’une plus grande flexibilité dans la manière dont elle est autorisée à allouer les ressources en interne, afin de pouvoir mener à bien ses missions et répondre aux attentes avec efficacité.

    Amendement  78

     

    Proposition de directive

    Considérant 84

     

    Texte proposé par la Commission

    Amendement

    (84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l’Union européenne et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive devrait être mise en œuvre conformément à ces droits et principes,

    (84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la Charte et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. Cela inclut le droit à un recours effectif devant une juridiction pour les destinataires de services fournis par des entités essentielles et importantes. La présente directive devrait être mise en œuvre conformément à ces droits et principes,

    Amendement  79

     

    Proposition de directive

    Article 1 – paragraphe 2 – point c bis(nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    c bis) définit les obligations des États membres en matière de surveillance et d’exécution.

    Amendement  80

     

    Proposition de directive

    Article 2 – paragraphe 1

     

    Texte proposé par la Commission

    Amendement

    1. La présente directive s’applique aux entités publiques et privées d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II. La présente directive ne s’applique pas aux entités qui peuvent être qualifiées de microentreprises et de petites entreprises au sens de la recommandation 2003/361/CE de la Commission.28

    1. La présente directive s’applique aux entités publiques et privées essentielles et importantes d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II, qui fournissent leurs services ou mènent leurs activités au sein de l’Union. La présente directive ne s’applique pas aux petites entreprises ou aux microentreprises au sens de l’article 2, paragraphes 2 et 3, de l’annexe de la recommandation 2003/361/CE de la Commission28. L’article 3, paragraphe 4, de l’annexe de cette recommandation n’est pas applicable.

    __________________

    __________________

    28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

    28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

    Amendement  81

     

    Proposition de directive

    Article 2 – paragraphe 2 – alinéa 1 – partie introductive

     

    Texte proposé par la Commission

    Amendement

    Toutefois, quelle que soit leur taille, la présente directive s’applique également aux entités visées aux annexes I et II, dans les cas suivants:

    Quelle que soit leur taille, la présente directive s’applique également aux entités essentielles et importantes dans les cas suivants:

    Amendement  82

     

    Proposition de directive

    Article 2 – paragraphe 2 – alinéa 1 – point d

     

    Texte proposé par la Commission

    Amendement

    d) une éventuelle interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;

    d) une interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;

    Amendement  83

     

    Proposition de directive

    Article 2 – paragraphe 2 – alinéa 1 – point e

     

    Texte proposé par la Commission

    Amendement

    e) une éventuelle perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;

    e) une perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;

    Amendement  84

     

    Proposition de directive

    Article 2 – paragraphe 2 – alinéa 2

     

    Texte proposé par la Commission

    Amendement

    Les États membres établissent une liste des entités identifiées conformément aux points b) à f) et la soumettent à la Commission au plus tard [6 mois après la date limite de transposition]. Les États membres réexaminent la liste régulièrement, puis au moins tous les deux ans, et, le cas échéant, la mettent à jour.

    supprimé

    Amendement  85

     

    Proposition de directive

    Article 2 – paragraphe 2 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    2 bis. Au plus tard le ... [6 mois après le délai de transposition], les États membres établissent une liste des entités essentielles et importantes, y compris les entités visées au paragraphe 1 et les entités identifiées en vertu du paragraphe 2, points b) à f), et de l’article 24, paragraphe 1. Par la suite, les États membres réexaminent cette liste et, le cas échéant, la mettent à jour, régulièrement et au moins tous les deux ans.

    Amendement  86

     

    Proposition de directive

    Article 2 – paragraphe 2 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    2 ter. Les États membres veillent à ce que les entités essentielles et importantes communiquent au minimum les informations suivantes aux autorités compétentes:

     

    a) le nom de l’entité;

     

    b) l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP, les numéros de téléphone; et

     

    c) le ou les secteurs et sous-secteurs concernés mentionnés aux annexes I et II.

     

    Les entités essentielles et importantes notifient toute modification des informations qu’elles ont communiquées conformément au premier alinéa sans retard et, en tout état de cause, dans un délai de deux semaines à compter de la date à laquelle la modification prend effet. À cette fin, la Commission, avec l’aide de l’ENISA, publie dans les meilleurs délais des lignes directrices et des modèles concernant les obligations énoncées dans le présent paragraphe.

    Amendement  87

     

    Proposition de directive

    Article 2 – paragraphe 2 quater (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    2 quater. Au plus tard le... [6 mois après le délai de transposition] et tous les deux ans par la suite, les États membres notifient:

     

    a) à la Commission et au groupe de coopération, le nombre de toutes les entités essentielles et importantes recensées pour chaque secteur et sous-secteur mentionné aux annexes I et II, et

     

    b) à la Commission, les noms des entités identifiées conformément au paragraphe 2, points b) à f).

    Amendement  88

     

    Proposition de directive

    Article 2 – paragraphe 4

     

    Texte proposé par la Commission

    Amendement

    4. La présente directive est sans préjudice de la directive 2008/114/CE30 du Conseil et des directives du Parlement européen et du Conseil 2011/93/UE31 et 2013/40/UE32.

    4. La présente directive est sans préjudice de la directive 2008/114/CE30 du Conseil et des directives du Parlement européen et du Conseil 2011/93/UE31, 2013/40/UE32 et 2002/58/CE32a.

    __________________

    __________________

    30 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75).

    30 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75).

    31 Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

    31 Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).

    32 Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).

    32 Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).

     

    32a Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

    Amendement  89

     

    Proposition de directive

    Article 2 – paragraphe 6

     

    Texte proposé par la Commission

    Amendement

    6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes soit d’adopter des mesures de gestion des risques en matière de cybersécurité, soit de notifier des incidents ou des cybermenaces importantes, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables.

    6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables. La Commission publie dans les meilleurs délais des lignes directrices concernant la mise en œuvre des dispositions de réglementations sectorielles du droit de l’Union pour veiller à ce que les exigences de cybersécurité établies par la présente directive soient satisfaites par ces dispositions et à ce qu’il n’y ait pas de chevauchement ou d'insécurité juridique. Lors de la préparation de ces lignes directrices, la Commission tient compte des meilleures pratiques et de l’expertise de l’ENISA et du groupe de coopération.

    Amendement  90

     

    Proposition de directive

    Article 2 – paragraphe 6 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    6 bis. Les entités essentielles et importantes, les CSIRT et les fournisseurs de technologies et de services de sécurité traitent des données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de la cybersécurité et de la sécurité des réseaux et de l’information, pour satisfaire aux obligations énoncées dans la présente directive. Ce traitement de données à caractère personnel au titre de la présente directive est effectué conformément au règlement (UE) 2016/679, et notamment à son article 6.

    Amendement  91

     

    Proposition de directive

    Article 2 – paragraphe 6 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    6 ter. Le traitement des données à caractère personnel en vertu de la présente directive, des fournisseurs de réseaux de communications électroniques publics ou des fournisseurs de communications électroniques accessibles au public visés à l’annexe I, point 8, est effectué conformément à la directive 2002/58/CE.

    Amendement  92

     

    Proposition de directive

    Article 4 – alinéa 1 – point 4 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (4 bis) «incident évité», un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données, ou aurait pu causer un préjudice, mais qu’il a été possible d’empêcher de produire ses effets négatifs;

    Amendement  93

     

    Proposition de directive

    Article 4 – alinéa 1 – point 6

     

    Texte proposé par la Commission

    Amendement

    (6) «traitement des incidents», toutes les actions et procédures visant à détecter, analyser et contenir un incident et à y répondre;

    (6) «traitement des incidents», toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident et à y répondre;

    Amendement  94

     

    Proposition de directive

    Article 4 – alinéa 1 – point 7 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (7 bis) «risque», le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;

    Amendement  95

     

    Proposition de directive

    Article 4 – alinéa 1 – point 11

     

    Texte proposé par la Commission

    Amendement

    (11) «spécification technique», une spécification technique au sens de l’article 2, point 4), du règlement (UE) nº 1025/2012;

    (11) «Spécification technique», une spécification technique au sens de l'article 2, point 20), du règlement (UE) 2019/881;

    Amendement  96

     

    Proposition de directive

    Article 4 – alinéa 1 – point 13

     

    Texte proposé par la Commission

    Amendement

    (13) «système de noms de domaines (DNS)», un système hiérarchique et distribué d’affectation de noms qui permet aux utilisateurs finaux d’accéder à des services et à des ressources sur l’internet;

    (13) «système de noms de domaines (DNS)», un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, en autorisant les dispositifs des utilisateurs finaux à utiliser les services de routage et de connectivité internet pour accéder à ces services et ressources;

    Amendement  97

     

    Proposition de directive

    Article 4 – alinéa 1 – point 14

     

    Texte proposé par la Commission

    Amendement

    (14) «fournisseur de services DNS» une entité qui fournit des services de résolution de noms de domaines récursifs ou faisant autorité aux utilisateurs finaux de l’internet et à d’autres fournisseurs de services DNS;

    (14) «fournisseur de services DNS», une entité qui fournit:

    Amendement  98

     

    Proposition de directive

    Article 4 – alinéa 1 – point 14 – point a (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    a) des services de résolution de noms de domaines récursifs ouverts et publics aux utilisateurs finaux de l’internet; ou

    Amendement  99

     

    Proposition de directive

    Article 4 – alinéa 1 – point 14 – point b (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    b) des services de résolution de noms de domaines faisant autorité en tant que service procurable par des entités tierces;

    Amendement  100

     

    Proposition de directive

    Article 4 – alinéa 1 – point 15

     

    Texte proposé par la Commission

    Amendement

    (15) «registre de noms de domaines de premier niveau», une entité à laquelle un registre de noms de domaines de premier niveau spécifique a été délégué et qui est responsable de l’administration du registre de noms de domaines de premier niveau, y compris de l’enregistrement des noms de domaines sous le registre de noms de domaines de premier niveau et du fonctionnement technique du registre de noms de domaines de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du registre de noms de domaines de premier niveau sur les serveurs de noms;

    (15) «registre de noms de domaines de premier niveau», une entité à laquelle un registre de noms de domaines de premier niveau spécifique a été délégué et qui est responsable de l’administration du registre de noms de domaines de premier niveau, y compris de l’enregistrement des noms de domaines sous le registre de noms de domaines de premier niveau et du fonctionnement technique du registre de noms de domaines de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du registre de noms de domaines de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité ou qu’elles soient sous-traitées;

    Amendement  101

     

    Proposition de directive

    Article 4 – alinéa 1 – point 15 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (15 bis) «services d’enregistrement des noms de domaines», les services fournis par les registres et les bureaux d’enregistrement des noms de domaines, les fournisseurs de services d’anonymisation et de services d’enregistrement fiduciaire, les courtiers ou les revendeurs de domaines, et tout autre service lié à l’enregistrement des noms de domaines;

    Amendement  102

     

    Proposition de directive

    Article 4 – alinéa 1 – point 23 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (23 bis) «réseau de communications électroniques public», un réseau de communications électroniques public au sens de l’article 8, point 2), de la directive (UE) 2018/1972;

    Amendement  103

     

    Proposition de directive

    Article 4 – alinéa 1 – point 23 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    (23 ter) «service de communications électroniques», un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972;

    Amendement  104

     

    Proposition de directive

    Article 5 – paragraphe 1 – partie introductive

     

    Texte proposé par la Commission

    Amendement

    1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:

    1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques, les ressources techniques, organisationnelles et financières requises pour atteindre ces objectifs, ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:

    Amendement  105

     

    Proposition de directive

    Article 5 – paragraphe 1 – point a

     

    Texte proposé par la Commission

    Amendement

    a) une définition des objectifs et des priorités de la stratégie des États membres en matière de cybersécurité;

    a) une définition des objectifs et des priorités de la stratégie de l’État membre en matière de cybersécurité;

    Amendement  106

     

    Proposition de directive

    Article 5 – paragraphe 1 – point b

     

    Texte proposé par la Commission

    Amendement

    b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2 ainsi que les rôles et responsabilités des organismes et entités publics ainsi que des autres acteurs concernés;

    b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2;

    Amendement  107

     

    Proposition de directive

    Article 5 – paragraphe 1 – point b bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    b bis) un cadre pour la répartition des rôles et des responsabilités des organismes et entités publics ainsi que des autres acteurs concernés, qui sous-tend la coopération et la coordination, au niveau national, entre les autorités compétentes désignées en vertu de l’article 7, paragraphe 1, et de l’article 8, paragraphe 1, le point de contact unique désigné en vertu de l’article 8, paragraphe 3, et les CSIRT désignés en vertu de l’article 9;

    Amendement  108

     

    Proposition de directive

    Article 5 – paragraphe 1 – point e

     

    Texte proposé par la Commission

    Amendement

    e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité;

    e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité, y compris un point de contact unique en matière de cybersécurité pour les PME qui apporte un soutien à la mise en œuvre des mesures de cybersécurité spécifiques;

    Amendement  109

     

    Proposition de directive

    Article 5 – paragraphe 1 – point f

     

    Texte proposé par la Commission

    Amendement

    f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil [directive sur la résilience des entités critiques] aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.

    f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil38 [directive sur la résilience des entités critiques], à la fois dans et entre les États membres, aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.

    __________________

    __________________

    38 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

    38 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

    Amendement  110

     

    Proposition de directive

    Article 5 – paragraphe 1 – point f bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    f bis) une évaluation du niveau général de sensibilisation des citoyens à la cybersécurité.

    Amendement  111

     

    Proposition de directive

    Article 5 – paragraphe 2 – point -a (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    -a) une politique en matière de cybersécurité pour chaque secteur couvert par la présente directive;

    Amendement  112

     

    Proposition de directive

    Article 5 – paragraphe 2 – point b

     

    Texte proposé par la Commission

    Amendement

    b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics;

    b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris les prescriptions relatives au cryptage et l’utilisation de produits de cybersécurité à code source ouvert;

    Amendement  113

     

    Proposition de directive

    Article 5 – paragraphe 2 – point d

     

    Texte proposé par la Commission

    Amendement

    d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert;

    d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert, y compris la cybersécurité des câbles de communications sous-marins;

    Amendement  114

     

    Proposition de directive

    Article 5 – paragraphe 2 – point d bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    d bis) une politique visant à promouvoir et à soutenir le développement et l’intégration de technologies émergentes, telles que l’intelligence artificielle, dans les outils et applications de renforcement de la cybersécurité;

    Amendement  115

     

    Proposition de directive

    Article 5 – paragraphe 2 – point d ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    d ter) une politique de promotion de l’intégration des outils et applications à code source ouvert;

    Amendement  116

     

    Proposition de directive

    Article 5 – paragraphe 2 – point f

     

    Texte proposé par la Commission

    Amendement

    f) une politique de soutien aux institutions universitaires et de recherche visant à développer des outils de cybersécurité et à sécuriser les infrastructures de réseau;

    f) une politique de soutien aux institutions universitaires et de recherche visant à développer, améliorer et déployer des outils de cybersécurité et à sécuriser les infrastructures de réseau;

    Amendement  117

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h

     

    Texte proposé par la Commission

    Amendement

    h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.

    h) une politique de promotion de la cybersécurité pour les PME, y compris celles qui sont exclues du champ d’application de la présente directive, répondant à leurs besoins spécifiques et fournissant une orientation et un soutien facilement accessibles, y compris des lignes directrices portant sur les problèmes liés à la chaîne d’approvisionnement qu’elles rencontrent.

    Amendement  118

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    h bis) une politique de promotion de l’hygiène informatique qui comprend un ensemble de pratiques et de contrôles de base et augmente la sensibilisation générale des citoyens aux menaces et aux meilleures pratiques en matière de cybersécurité;

    Amendement  119

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    h ter) une politique de promotion de la cyberdéfense active.

    Amendement  120

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h quater (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    h quater) une politique pour aider les autorités à développer des compétences et à mieux comprendre les aspects de sécurité nécessaires pour concevoir, construire et gérer des lieux connectés;

    Amendement  121

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h quinquies (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    h quinquies) une politique traitant spécifiquement de la menace des logiciels rançonneurs et s’efforçant de désorganiser le modèle économique de ces derniers;

    Amendement  122

     

    Proposition de directive

    Article 5 – paragraphe 2 – point h sexies (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    h sexies) une politique, comprenant des procédures et des cadres de gouvernance pertinents, pour soutenir et promouvoir la mise en place de partenariats public-privé en matière de cybersécurité.

    Amendement  123

     

    Proposition de directive

    Article 5 – paragraphe 3

     

    Texte proposé par la Commission

    Amendement

    3. Les États membres notifient leurs stratégies nationales en matière de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure certaines informations de la notification lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.

    3. Les États membres notifient leurs stratégies nationales en matière de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure certaines informations de la notification lorsque et dans la mesure où cela est nécessaire pour préserver la sécurité nationale.

    Amendement  124

     

    Proposition de directive

    Article 5 – paragraphe 4

     

    Texte proposé par la Commission

    Amendement

    4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie.

    4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie. L’ENISA fournit des conseils aux États membres afin d’aligner les stratégies nationales de cybersécurité qu’ils ont déjà formulées sur les exigences et les obligations énoncées dans la présente directive.

    Amendement  125

     

    Proposition de directive

    Article 6 – titre

     

    Texte proposé par la Commission

    Amendement

    Divulgation coordonnée des vulnérabilités et registre européen des vulnérabilités

    Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités

    Amendement  126

     

    Proposition de directive

    Article 6 –  paragraphe 1

     

    Texte proposé par la Commission

    Amendement

    1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, si nécessaire, les interactions entre l’entité effectuant le signalement et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.

    1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, à la demande de l’entité effectuant le signalement, les interactions entre celle-ci et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.

    Amendement  127

     

    Proposition de directive

    Article 6 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.

    2. L’ENISA élabore et tient à jour une base de données européenne des vulnérabilités qui exploite le registre mondial Common Vulnerabilities and Exposures (CVE). À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés, et adopte les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et l’intégrité de la base de données, en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information, ainsi qu’aux entités qui ne relèvent pas du champ d’application de la présente directive, et à leurs fournisseurs, de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC. Toutes les parties intéressées ont accès aux informations sur les vulnérabilités contenues dans la base de données pour lesquelles on dispose de correctifs ou de mesures d’atténuation. La base de données comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants. En l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits TIC et services TIC vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués sont consignées dans la base de données.

    Amendement  128

     

    Proposition de directive

    Article 7 – paragraphe 1 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    1 bis. Lorsqu’un État membre désigne plus d’une autorité compétente visée au paragraphe 1, il indique clairement laquelle de ces autorités compétentes servira de coordinateur pour la gestion des incidents et des crises de grande ampleur.

    Amendement  129

     

    Proposition de directive

    Article 7 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise aux fins de la présente directive.

    2. Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés dans le cas d’une crise aux fins de la présente directive.

    Amendement  130

     

    Proposition de directive

    Article 7 – paragraphe 4

     

    Texte proposé par la Commission

    Amendement

    4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.

    4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent au réseau CyCLONe leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.

    Amendement  131

     

    Proposition de directive

    Article 8 – paragraphe 3

     

    Texte proposé par la Commission

    Amendement

    3. Chaque État membre désigne un point de contact national unique en matière de sécurité (ci-après dénommé «point de contact unique»). Lorsqu’un État membre désigne une seule autorité compétente, cette dernière fait aussi fonction de point de contact unique dudit État membre.

    3. Chaque État membre désigne l’une des autorités compétentes visées au paragraphe 1 comme point de contact national unique en matière de sécurité (ci-après dénommé «point de contact unique»). Lorsqu’un État membre désigne une seule autorité compétente, cette dernière fait aussi fonction de point de contact unique dudit État membre.

    Amendement  132

     

    Proposition de directive

    Article 8 – paragraphe 4

     

    Texte proposé par la Commission

    Amendement

    4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontalière des autorités de son État membre avec les autorités compétentes des autres États membres, ainsi que pour garantir la coopération intersectorielle avec les autres autorités nationales compétentes de son État membre.

    4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontalière des autorités de son État membre avec les autorités compétentes des autres États membres, la Commission et l’ENISA, ainsi que pour garantir la coopération intersectorielle avec les autres autorités nationales compétentes de son État membre.

    Amendement  133

     

    Proposition de directive

    Article 9 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. Les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes pour pouvoir s’acquitter efficacement de ses tâches énumérées à l’article 10, paragraphe 2.

    2. Les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes et des capacités techniques nécessaires pour pouvoir s’acquitter efficacement de ses tâches énumérées à l’article 10, paragraphe 2.

    Amendement  134

     

    Proposition de directive

    Article 9 – paragraphe 6 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    6 bis. Les États membres garantissent la possibilité d’un échange d’informations efficace, efficient et sécurisé à tous les niveaux de classification entre leurs propres CSIRT et les CSIRT de pays tiers au même niveau de classification.

    Amendement  135

     

    Proposition de directive

    Article 9 – paragraphe 6 ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    6 ter. Sans préjudice du droit de l’Union, en particulier du règlement (UE) 2016/679, les CSIRT coopèrent avec les CSIRT ou organismes équivalents dans les pays candidats et autres pays tiers des Balkans occidentaux et du partenariat oriental et, si possible, leur apportent une assistance en matière de cybersécurité.

    Amendement  136

     

    Proposition de directive

    Article 9 – paragraphe 7

     

    Texte proposé par la Commission

    Amendement

    7. Les États membres communiquent dans les meilleurs délais à la Commission les CSIRT désignés conformément au paragraphe 1, le coordinateur des CSIRT désigné conformément à l’article 6, paragraphe 1, et leurs tâches respectives prévues en ce qui concerne les entités visées aux annexes I et II.

    7. Les États membres communiquent dans les meilleurs délais à la Commission les CSIRT désignés conformément au paragraphe 1 et le coordinateur des CSIRT désigné conformément à l’article 6, paragraphe 1, avec leurs tâches respectives prévues en ce qui concerne les entités essentielles et importantes.

    Amendement  137

     

    Proposition de directive

    Article 10 – titre

     

    Texte proposé par la Commission

    Amendement

    Obligations et tâches des CSIRT

    Obligations, capacités techniques et tâches des CSIRT

    Amendement  138

     

    Proposition de directive

    Article 10 – paragraphe 1 – point c

     

    Texte proposé par la Commission

    Amendement

    c) les CSIRT sont dotés d’un système approprié de gestion et de routage des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;

    c) les CSIRT sont dotés d’un système approprié de classification, de routage et de suivi des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;

    Amendement  139

     

    Proposition de directive

    Article 10 – paragraphe 1 – point c bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    c bis) Les CSIRT mettent en place des codes de conduite appropriés pour garantir la confidentialité et la fiabilité de leurs opérations;

    Amendement  140

     

    Proposition de directive

    Article 10 – paragraphe 1 – point d

     

    Texte proposé par la Commission

    Amendement

    d) les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente;

    d) les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente et des cadres de formation appropriés de leurs effectifs;

    Amendement  141

     

    Proposition de directive

    Article 10 – paragraphe 1 – point e

     

    Texte proposé par la Commission

    Amendement

    e) les CSIRT doivent être dotés de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de leurs services;

    e) les CSIRT doivent être dotés de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de leurs services, y compris une large connectivité sur l’ensemble des réseaux, des systèmes d’information, des services et des dispositifs;

    Amendement  142

     

    Proposition de directive

    Article 10 – paragraphe 1 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    1 bis. Les CSIRT développent au moins les capacités techniques suivantes:

     

    a) la capacité à mener une surveillance en temps réel ou quasi-réel des réseaux et des systèmes d’information, et à détecter les anomalies;

     

    b) la capacité à soutenir la prévention et la détection des intrusions;

     

    c) la capacité à collecter des données de police scientifique et à réaliser une analyse complexe de ces dernières, ainsi qu’à effectuer une rétro-ingénierie des cybermenaces;

     

    d) la capacité à filtrer le trafic malveillant;

     

    e) la capacité à mettre en œuvre une authentification poussée et des privilèges et contrôles d’accès forts; et

     

    f) la capacité à analyser les cybermenaces.

    Amendement  143

     

    Proposition de directive

    Article 10 – paragraphe 2 – point a

     

    Texte proposé par la Commission

    Amendement

    a) la surveillance des cybermenaces, des vulnérabilités et des incidents au niveau national;

    a) la surveillance des cybermenaces, des vulnérabilités et des incidents au niveau national et l’acquisition de renseignements sur les menaces en temps réel;

    Amendement  144

     

    Proposition de directive

    Article 10 – paragraphe 2 – point b

     

    Texte proposé par la Commission

    Amendement

    b) l’activation du mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes ainsi qu’auprès des autres parties intéressées;

    b) l’activation du mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes ainsi qu’auprès des autres parties intéressées, si possible en temps quasi-réel;

    Amendement  145

     

    Proposition de directive

    Article 10 – paragraphe 2 – point c

     

    Texte proposé par la Commission

    Amendement

    c) la réaction aux incidents;

    c) la réaction aux incidents et l’assistance aux entités concernées;

    Amendement  146

     

    Proposition de directive

    Article 10 – paragraphe 2 – point e

     

    Texte proposé par la Commission

    Amendement

    e) la réalisation, à la demande d’une entité, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;

    e) la réalisation, à la demande d’une entité ou en cas de menace grave pour la sécurité nationale, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;

    Amendement  147

     

    Proposition de directive

    Article 10 – paragraphe 2 – point f bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    f bis) la réalisation, à la demande d’une entité, l’activation et la configuration de la journalisation de réseau afin de protéger les données, y compris les données à caractère personnel, contre l’exfiltration non autorisée;

    Amendement  148

     

    Proposition de directive

    Article 10 – paragraphe 2 – point f ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    f ter) la contribution au déploiement d’outils de partage d’informations sécurisés conformément à l’article 9, paragraphe 3.

    Amendement  149

     

    Proposition de directive

    Article 10 – paragraphe 4 – partie introductive

     

    Texte proposé par la Commission

    Amendement

    4. Afin de faciliter la coopération, les CSIRT encouragent l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne

    4. Afin de faciliter la coopération, les CSIRT encouragent l’automatisation de l’échange d’informations, l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne

    Amendement  150

     

    Proposition de directive

    Article 11 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. Les États membres veillent à ce que leurs autorités compétentes ou leurs CSIRT reçoivent des notifications relatives aux incidents, aux cybermenaces importantes et quasi-accidents, soumises en application de la présente directive. Lorsqu’un État membre décide que ses CSIRT ne reçoivent pas ces notifications, ils se voient accorder, dans la mesure nécessaire à l’accomplissement de leurs tâches, un accès aux données relatives aux incidents notifiés par les entités essentielles ou importantes conformément à l’article 20.

    2. Les États membres veillent à ce que leurs CSIRT reçoivent des notifications relatives aux incidents significatifs, conformément à l’article 20, et aux cybermenaces et incidents évités conformément à l’article 27 par l’intermédiaire du point d’entrée unique visé à l’article 20, paragraphe 4 bis.

    Amendement  151

     

    Proposition de directive

    Article 11 – paragraphe 4

     

    Texte proposé par la Commission

    Amendement

    4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.

    4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes, les points de contact uniques, les CSIRT, les services répressifs, les autorités nationales de réglementation ou les autres autorités compétentes responsables des réseaux de communications électroniques publics ou des services de communications électroniques accessibles au public conformément à la directive (UE) 2018/1972, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre, conformément à leurs compétences respectives.

    __________________

    __________________

    39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]

    39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]

    Amendement  152

     

    Proposition de directive

    Article 11 – paragraphe 5

     

    Texte proposé par la Commission

    Amendement

    5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement des informations aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.

    5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement des informations en temps utile aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.

    Amendement  153

     

    Proposition de directive

    Article 12 – paragraphe 3 – alinéa 1

     

    Texte proposé par la Commission

    Amendement

    Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.

    Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le Parlement européen et le service européen pour l’action extérieure participent aux activités du groupe de coopération en qualité d’observateurs. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.

    Amendement  154

     

    Proposition de directive

    Article 12 – paragraphe 3 – alinéa 2

     

    Texte proposé par la Commission

    Amendement

    Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés à participer à ses travaux.

    Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés, comme le comité européen de la protection des données et des représentants de l’industrie, à participer à ses travaux.

    Amendement  155

     

    Proposition de directive

    Article 12 – paragraphe 4 – point b

     

    Texte proposé par la Commission

    Amendement

    b) l’échange des meilleures pratiques et d’informations relatives à la mise en œuvre de la présente directive, notamment en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les quasi-accidents, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités ainsi que les normes et les spécifications techniques;

    b) l’échange des meilleures pratiques et d’informations relatives à la mise en œuvre de la présente directive, notamment en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les quasi-accidents, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités, les normes et les spécifications techniques ainsi que le recensement des entités essentielles et importantes;

    Amendement  156

     

    Proposition de directive

    Article 12 – paragraphe 4 – point b bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    b bis) le recensement des solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique dans l’ensemble de l’Union;

    Amendement  157

     

    Proposition de directive

    Article 12 – paragraphe 4 – point c

     

    Texte proposé par la Commission

    Amendement

    c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité;

    c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité et la cohérence globale des exigences sectorielles en matière de cybersécurité;

    Amendement  158

     

    Proposition de directive

    Article 12 – paragraphe 4 – point f

     

    Texte proposé par la Commission

    Amendement

    f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7;

    f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7, et l’élaboration de conclusions et de recommandations;

    Amendement  159

     

    Proposition de directive

    Article 12 – paragraphe 4 – point f bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    f bis) la réalisation d’évaluations coordonnées des risques de sécurité qui peuvent être mises en chantier en vertu de l’article 19, paragraphe 1, en coopération avec la Commission et l’ENISA;

    Amendement  160

     

    Proposition de directive

    Article 12 – paragraphe 4 – point k bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    k bis) la présentation à la Commission, aux fins de la révision visée à l’article 35, de rapports sur l’expérience acquise aux niveaux stratégique et opérationnel;

    Amendement  161

     

    Proposition de directive

    Article 12 – paragraphe 4 – point k ter (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    k ter) la présentation d’une évaluation annuelle, en coopération avec l’ENISA, Europol et les institutions répressives nationales, sur les pays tiers qui abritent des criminels exploitant des logiciels rançonneurs.

    Amendement  162

     

    Proposition de directive

    Article 12 – paragraphe 8

     

    Texte proposé par la Commission

    Amendement

    8. Le groupe de coopération se réunit régulièrement et au moins une fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de promouvoir la coopération stratégique et l’échange d’informations.

    8. Le groupe de coopération se réunit régulièrement et au moins deux fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de faciliter la coopération stratégique et l’échange d’informations.

    Amendement  163

     

    Proposition de directive

    Article 13 – paragraphe 3 – point a bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    a bis) la facilitation du partage et du transfert de technologies et de mesures, politiques, meilleures pratiques et cadres pertinents entre les CSIRT;

    Amendement  164

     

    Proposition de directive

    Article 13 – paragraphe 3 – point b bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    b bis) l’assurance de l’interopérabilité en ce qui concerne les normes de partage d’informations;

    Amendement  165

     

    Proposition de directive

    Article 14 – paragraphe 1

     

    Texte proposé par la Commission

    Amendement

    1. Afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents et crises de grande ampleur en matière de cybersécurité, et de garantir l’échange régulier d’informations entre les États membres et les institutions, organes et agences de l’Union, le réseau européen pour la préparation et la gestion des crises cyber par les États membres (UE-CyCLONe – Cyber Crisis Liaison Organisation Network) est institué.

    1. Afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents et crises de grande ampleur en matière de cybersécurité, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et agences de l’Union, le réseau européen pour la préparation et la gestion des crises cyber par les États membres (UE-CyCLONe – Cyber Crisis Liaison Organisation Network) est institué.

    Amendement  166

     

    Proposition de directive

    Article 14 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations.

    2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau UE-CyCLONe et soutient l’échange sécurisé d’informations.

    Amendement  167

     

    Proposition de directive

    Article 14 – paragraphe 5

     

    Texte proposé par la Commission

    Amendement

    5. UE-CyCLONe rend régulièrement compte au groupe de coopération des cybermenaces ainsi que des incidents et tendances en matière de cybersécurité, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes.

    5. UE-CyCLONe rend régulièrement compte au groupe de coopération des crises et des incidents majeurs, ainsi que des tendances, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes.

    Amendement  168

     

    Proposition de directive

    Article 15 – paragraphe 1 – partie introductive

     

    Texte proposé par la Commission

    Amendement

    1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union. Le rapport comporte notamment une évaluation des éléments suivants:

    1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union et le soumet et le présente au Parlement européen. Le rapport est publié dans un format lisible par machine et comporte notamment une évaluation des éléments suivants:

    Amendement  169

     

    Proposition de directive

    Article 15 – paragraphe 1 – point a bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    a bis) le niveau général de sensibilisation et d’hygiène en matière de cybersécurité parmi les citoyens et les entités, y compris les PME, ainsi que le niveau général de sécurité des dispositifs connectés;

    Amendement  170

     

    Proposition de directive

    Article 15 – paragraphe 1 – point c

     

    Texte proposé par la Commission

    Amendement

    c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité.

    c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité à travers l’Union, y compris l’alignement des stratégies de cybersécurité nationales des États membres;

    Amendement  171

     

    Proposition de directive

    Article 15 – paragraphe 2

     

    Texte proposé par la Commission

    Amendement

    2. Le rapport comprend des recommandations politiques spécifiques visant à accroître le niveau de cybersécurité dans l’Union ainsi qu’un résumé des conclusions pour la période concernée des rapports de situation technique de l’Agence de l’UE sur la cybersécurité, publiés par l’ENISA conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.

    2. Le rapport comprend un recensement des obstacles et des recommandations politiques spécifiques visant à accroître le niveau de cybersécurité dans l’Union ainsi qu’un résumé des conclusions pour la période concernée des rapports de situation technique de l’Agence de l’UE sur la cybersécurité, publiés par l’ENISA conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.

    Amendement  172

     

    Proposition de directive

    Article 15 – paragraphe 2 bis (nouveau)

     

    Texte proposé par la Commission

    Amendement

     

    2 bis. L’ENISA, en coopération avec la Commission et grâce aux conseils du groupe de coopération et du réseau des CSIRT, prépare la méthodologie, y compris les variables pertinentes de l’indice de cybersécurité visé au paragraphe 1, point c).

    Amendement  173

     

    Proposition de directive

    Article 16 – paragraphe 1 – partie introductive

     

    Texte proposé par la Commission

    Amendement

    1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard 18 mois après l’entrée en vigueur de la présente directive, la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations sont effectuées par des experts techniques en cybersécurité provenant d’États membres différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:

    1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard ... [18 mois après l’entrée en vigueur de la présente directive], la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations par les pairs sont effectuées en concertation avec l’ENISA par des experts techniques en cybersécurité provenant d’au moins deux États membres différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:

    Amendement  174

     

    Proposition de directive

    Article 16 – paragraphe 1 – point iii

     

    Texte proposé par la Commission

    Amendement

    iii) les capacités opérationnelles et l’efficacité des CSIRT;

    iii) les capacités opérationnelles et l’efficacité des CSIRT dans l’exécution de leurs tâches;

    Amendement  175

     

    Proposition de directive

    Article 16 – paragraphe 3

     

    Texte proposé par la Commission

    Amendement

    3. Les aspects organisationnels des évaluations par les pairs sont décidés par la Commission, avec le soutien de l’ENISA, et, après consultation du groupe de coopération, sont fondés sur les critères définis dans la méthodologie visée au paragraphe 1. Les évaluations par les pairs portent sur les aspects visés au paragraphe 1 pour tous les États membres et secteurs, y compris sur des questions ciblées propres à un ou plusieurs États membres ou à un ou plusieurs secteurs.

    3. Les aspects organisationnels des évaluations par les pairs sont décidés par la Commission, avec le soutien de l’ENISA, et, après consultation du groupe de coopération, sont fondés sur les critères définis dans la méthodologie visée au paragraphe 1. Les évaluations par les pairs portent sur les aspects visés au paragraphe 1 pour tous les États membres et secteurs, y compris sur des questions ciblées propres à un ou plusieurs États membres ou à un ou plusieurs secteurs. Les experts désignés qui procèdent à l’évaluation communiquent ces questions ciblées à l’État membre faisant l’objet de l’évaluation par les pairs, avant le début de celle-ci.