RAPPORT sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

4.11.2021 - (COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)) - ***I

Commission de l’industrie, de la recherche et de l’énergie
Rapporteurs: Bart Groothuis
Rapporteur pour avis (*):
Lukas Mandl, Commission des libertés civiles, de la justice et des affaires intérieures
(*) Commissions associées – article 57 du règlement intérieur

Procédure : 2020/0359(COD)

Cycle de vie en séance

Cycle relatif au document :

A9-0313/2021

Textes déposés :

A9-0313/2021

Débats :

PV 10/11/2022 - 3
CRE 10/11/2022 - 3

Votes :

PV 10/11/2022 - 5.8
CRE 10/11/2022 - 5.8
Explications de votes

Textes adoptés :

P9_TA(2022)0383

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
EXPOSÉ DES MOTIFS
AVIS DE LA COMMISSION DES LIBERTÉS CIVILES, DE LA JUSTICE ET DES AFFAIRES INTÉRIEURES
AVIS DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES
AVIS DE LA COMMISSION DU MARCHÉ INTÉRIEUR ET DE LA PROTECTION DES CONSOMMATEURS
AVIS DE LA COMMISSION DES TRANSPORTS ET DU TOURISME
PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND
VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2020)0823),

– vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C9‑422/2020),

– vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

– vu l’avis du Comité économique et social européen du 27 avril 2021 [1],

– après consultation du Comité des régions,

– vu l’article 59 de son règlement,

– vu les avis de la commission des libertés civiles, de la justice et des affaires intérieures, de la commission des affaires étrangères, de la commission du marché intérieur et de la protection des consommateurs ainsi que de la commission des transports et du tourisme,

– vu le rapport de la commission de l’industrie, de la recherche et de l’énergie (A9-0313/2021),

1. arrête la position en première lecture figurant ci-après;

2. demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

Amendement 1

Proposition de directive

Titre


Texte proposé par la Commission	Amendement
Proposition de	Proposition de
DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL	DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL
concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148	concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2), abrogeant la directive (UE) 2016/1148

Amendement 2

Proposition de directive

Considérant 1


Texte proposé par la Commission	Amendement
(1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11 avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi au fonctionnement efficace de l’économie et de la société de l’Union.	(1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11, communément appelée «directive SRI», avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi à la sécurité de l’Union et au fonctionnement efficace de son économie et de sa société.
__________________	__________________
11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1). 1).	11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1). 1).

Amendement 3

Proposition de directive

Considérant 3


Texte proposé par la Commission	Amendement
(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur.	(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

Amendement 4

Proposition de directive

Considérant 3 bis (nouveau)


Texte proposé par la Commission	Amendement
	(3 bis) Les incidents et crises de cybersécurité majeurs au niveau de l’Union nécessitent une action coordonnée pour assurer une réaction rapide et efficace, en raison du degré élevé d’interdépendance entre les secteurs et les pays. La cyberrésilience des réseaux et des systèmes d’information ainsi que la disponibilité, la confidentialité et l’intégrité des données sont indispensables pour garantir la sécurité de l’Union, à l’intérieur comme à l’extérieur de ses frontières, étant donné que les menaces informatiques pourraient trouver leur origine en dehors de l’Union. L’ambition de l’Union de jouer un rôle géopolitique plus important repose aussi sur des capacités de cyberdéfense et de cyberdissuasion crédibles, y compris sur la capacité à détecter des actes malveillants de manière effective et en temps opportun ainsi qu’à y répondre de manière appropriée.

Amendement 5

Proposition de directive

Considérant 5


Texte proposé par la Commission	Amendement
(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.	(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. En fin de compte, ces divergences pourraient aggraver la vulnérabilité de certains États membres aux menaces en matière de cybersécurité, ce qui peut avoir des retombées dans l’ensemble de l’Union. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive (directive SRI 2).

Amendement 6

Proposition de directive

Considérant 6


Texte proposé par la Commission	Amendement
(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.	(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la prévention, la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.
__________________	__________________
14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).	14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).

Amendement 7

Proposition de directive

Considérant 7


Texte proposé par la Commission	Amendement
(7) Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie au regard des considérations exposées aux considérants 4 à 6. Les secteurs couverts par la directive (UE) 2016/1148 devraient dès lors être étendus pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociales essentielles au sein du marché intérieur. Les règles ne devraient pas être différentes selon que les entités sont des opérateurs de services essentiels ou des fournisseurs de services numériques: cette différenciation s’est avérée obsolète puisqu’elle ne reflète pas l’importance réelle des secteurs ou des services pour les activités économiques et sociales sur le marché intérieur.	(7) Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie au regard des considérations exposées aux considérants 4 à 6. Les secteurs couverts par la directive (UE) 2016/1148 devraient dès lors être étendus pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociales essentielles au sein du marché intérieur. Les exigences en matière de gestion des risques et les obligations de signalement ne devraient pas être différentes selon que les entités sont des opérateurs de services essentiels ou des fournisseurs de services numériques: cette différenciation s’est avérée obsolète puisqu’elle ne reflète pas l’importance réelle des secteurs ou des services pour les activités économiques et sociales sur le marché intérieur.

Amendement 8

Proposition de directive

Considérant 8


Texte proposé par la Commission	Amendement
(8) Conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»). Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE15 de la Commission, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application. Les États membres ne devraient pas être tenus de dresser la liste des entités qui remplissent ce critère d’application générale portant sur la taille.	(8) Conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»). Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE15 de la Commission, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application.
__________________	__________________
15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).	15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

Amendement 9

Proposition de directive

Considérant 9


Texte proposé par la Commission	Amendement
(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.	(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive,

Amendement 10

Proposition de directive

Considérant 9 bis (nouveau)


Texte proposé par la Commission	Amendement
	(9 bis) Les États membres devraient établir une liste de toutes les entités essentielles et importantes. Cette liste devrait inclure les entités qui remplissent le critère d’application générale portant sur la taille ainsi que les petites entreprises et les microentreprises qui remplissent certains critères indiquant leur rôle clé pour les économies ou les sociétés des États membres. Afin que les équipes de réponse aux incidents de sécurité informatique (CSIRT) et les autorités compétentes puissent fournir une assistance et avertir les entités des incidents informatiques qui pourraient les toucher, il est important que ces autorités disposent des coordonnées correctes des entités. Les entités essentielles et importantes devraient donc soumettre au moins les informations suivantes aux autorités compétentes: le nom de l’entité, l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP, les numéros de téléphone et le ou les secteurs et sous-secteurs concernés mentionnés aux annexes I et II. Les entités devraient informer les autorités compétentes de toute modification de ces informations. Les États membres devraient veiller, dans les meilleurs délais, à ce que ces informations puissent être fournies facilement par l’intermédiaire d’un point d’entrée unique. À cette fin, l’ENISA, en coopération avec le groupe de coopération, devrait publier dans les meilleurs délais des lignes directrices et des modèles concernant les obligations de notification. Les États membres devraient notifier à la Commission et au groupe de coopération le nombre d’entités essentielles et importantes. Ils devraient également notifier à la Commission, aux fins de la révision visée dans la présente directive, le nom des petites entreprises et des microentreprises identifiées comme des entités essentielles et importantes, afin de permettre à la Commission d’évaluer la cohérence entre les approches des États membres. Ces informations devraient être traitées de manière strictement confidentielle.

Amendement 11

Proposition de directive

Considérant 10


Texte proposé par la Commission	Amendement
(10) La Commission, en coopération avec le groupe de coopération, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.	(10) La Commission, en coopération avec le groupe de coopération et les acteurs concernés, devrait publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille. La Commission devrait également veiller à ce que des orientations appropriées soient données à toutes les microentreprises et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec le soutien des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard.

Amendement 12

Proposition de directive

Considérant 10 bis (nouveau)


Texte proposé par la Commission	Amendement
	(10 bis) La Commission devrait également publier des lignes directrices afin d’aider les États membres à mettre correctement en œuvre les dispositions relatives au champ d’application, et d’évaluer la proportionnalité des obligations énoncées dans la présente directive, en particulier en ce qui concerne les entités dotées de modèles économiques ou d’environnements d’exploitation complexes, qui font qu’une entité peut satisfaire à la fois aux critères attribués aux entités essentielles et importantes, ou exercer simultanément des activités dont certaines relèvent du champ d’application de la présente directive et d’autres non.

Amendement 13

Proposition de directive

Considérant 12


Texte proposé par la Commission	Amendement
(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission peut publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.	(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Les actes juridiques sectoriels de l'Union qui imposent aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de signaler les incidents significatifs devraient, dans la mesure du possible, être cohérents avec la terminologie et se rapporter aux définitions figurant dans la présente directive. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents, et lorsque ces exigences produisent un effet au moins équivalent à celui des obligations prévues par la présente directive et s’appliquent à l’intégralité des aspects des opérations et services fournis par les entités essentielles et importantes relatifs à la sécurité, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission devrait publier des lignes directrices détaillées relatives à la mise en œuvre de la lex specialis en tenant compte des avis pertinents, de l’expertise et des bonnes pratiques de l’ENISA et du groupe de coopération. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents qui tiennent dûment compte de la nécessité d’un cadre global et cohérent en matière de cybersécurité. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

Amendement 14

Proposition de directive

Considérant 14


Texte proposé par la Commission	Amendement
(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil 17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations à cette fin.	(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil 17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre les autorités compétentes au sein d’un même État membre et entre les autorités compétentes de différents États membres en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations dans les meilleurs délais, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations, si possible en temps réel, à cette fin.
__________________	__________________
17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 15

Proposition de directive

Considérant 15


Texte proposé par la Commission	Amendement
(15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer à tous les fournisseurs de services DNS, y compris les opérateurs de serveurs racines de noms de domaines, aux serveurs de noms de domaines de premier niveau (TLD), aux serveurs d’autorité pour les noms de domaines et aux résolveurs récursifs.	(15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer aux serveurs de noms de domaines de premier niveau (TLD), aux services de résolution de noms de domaines récursifs publiquement disponibles pour les utilisateurs finaux de l’internet, ainsi qu’aux services de résolution de noms de domaines faisant autorité. La présente directive ne s’applique pas aux serveurs racines de noms de domaines.

Amendement 16

Proposition de directive

Considérant 19


Texte proposé par la Commission	Amendement
(19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.	(19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil 18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement, compte tenu de leur degré de dépendance aux réseaux et systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.
__________________	__________________
18Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).	18Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).

Amendement 17

Proposition de directive

Considérant 20


Texte proposé par la Commission	Amendement
(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.	(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. Les attaques intensifiées menées contre les réseaux et systèmes d’information durant la pandémie de COVID-19 ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.

Amendement 18

Proposition de directive

Considérant 24


Texte proposé par la Commission	Amendement
(24) Les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes d’information et prendre les mesures d’intervention et d’atténuation nécessaires. Les États membres devraient dès lors veiller à disposer de CSIRT, également connus sous la dénomination de centres de réponse aux urgences informatiques (CERT), opérationnels et conformes aux exigences essentielles afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de surveillance des autorités compétentes.	(24) Les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes d’information et prendre les mesures d’intervention et d’atténuation nécessaires. Les États membres devraient dès lors désigner un ou plusieurs CSIRT au titre de la présente directive et s’assurer qu’ils sont opérationnels et conformes aux exigences essentielles afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d’assurer une coopération efficace au niveau de l’Union. Les États membres peuvent désigner des centres de réponse aux urgences informatiques («CERT») existants en tant que CSIRT. Afin d’améliorer la relation de confiance entre les entités et les CSIRT, dans les cas où un CSIRT fait partie de l’autorité compétente, les États membres devraient envisager de mettre en place une séparation fonctionnelle entre d’une part les tâches opérationnelles assurées par les CSIRT, notamment en lien avec le partage d’informations et l’assistance aux entités, et d’autre part les activités de surveillance des autorités compétentes.

Amendement 19

Proposition de directive

Considérant 25


Texte proposé par la Commission	Amendement
(25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.	(25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, ou dans le cas d’une menace sérieuse pour la sécurité nationale, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.
__________________	__________________
19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).	19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

Amendement 20

Proposition de directive

Considérant 25 bis (nouveau)


Texte proposé par la Commission	Amendement
	(25 bis) Les CSIRT devraient avoir la faculté, agissant à la demande d’une entité, de découvrir, gérer et surveiller en continu l’ensemble des ressources connectées à l’internet, à la fois sur site et hors site, afin de comprendre les risques organisationnels globaux encourus face aux failles dans les chaînes d’approvisionnement ou vulnérabilités critiques nouvellement découvertes. Il est important de savoir si une entité exploite une interface de gestion privilégiée, car cela influe sur la rapidité des mesures d’atténuation.

Amendement 21

Proposition de directive

Considérant 26


Texte proposé par la Commission	Amendement
(26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive.	(26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux, y compris avec des CISRT de pays tiers, permettant un échange d’informations réciproque et bénéfique pour la sécurité des citoyens et des entités, en plus du réseau des CSIRT institué par la présente directive, afin de contribuer à l’élaboration de normes de l’Union susceptibles de façonner le paysage de la cybersécurité à l’échelle internationale. Les États membres pourraient également étudier la possibilité de renforcer la coopération avec des pays partenaires partageant les mêmes valeurs et des organisations internationales en vue de parvenir à des accords multilatéraux sur les normes en matière de cybersécurité, le comportement responsable des États et des acteurs non étatiques dans le cyberespace et une gouvernance numérique mondiale efficace, ainsi que de créer un cyberespace ouvert, libre, stable et sûr fondé sur le droit international.

Amendement 22

Proposition de directive

Considérant 26 bis (nouveau)


Texte proposé par la Commission	Amendement
	(26 bis) Les politiques d’hygiène informatique jettent les bases qui permettent de protéger la sécurité des infrastructures des réseaux et systèmes d’information, du matériel, des logiciels et des applications en ligne, ainsi que les données relatives aux entreprises ou aux utilisateurs finaux sur lesquelles les entités s’appuient. Les politiques d’hygiène informatique qui comportent une base commune de pratiques incluant, entre autres, les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents ou aux menaces. L’ENISA devrait suivre et évaluer les politiques d’hygiène informatique des États membres, et explorer des programmes à l’échelle de l’Union afin de faciliter les contrôles transfrontières permettant de garantir une équivalence indépendamment des exigences de chaque État membre.

Amendement 23

Proposition de directive

Considérant 26 ter (nouveau)


Texte proposé par la Commission	Amendement
	(26 ter) Le recours à l’intelligence artificielle dans le domaine de la cybersécurité peut améliorer la détection et la neutralisation des attaques contre les réseaux et systèmes d’information, et permettre d’affecter des ressources à la lutte contre les attaques plus sophistiquées. Les États membres devraient par conséquent encourager, dans le cadre de leurs stratégies nationales, l’utilisation d’outils de cybersécurité (semi-)automatisés ainsi que le partage des données nécessaires pour entraîner et améliorer ces outils. Afin d’atténuer les risques d’ingérence excessive dans les droits et libertés des personnes que les systèmes fondés sur l’IA pourraient présenter, les exigences en matière de protection des données dès la conception et par défaut prévues à l’article 25 du règlement (UE) 2016/679 doivent s’appliquer. L’intégration de garanties appropriées telles que la pseudonymisation, le cryptage, l’exactitude des données et la minimisation des données pourrait en outre atténuer ces risques.

Amendement 24

Proposition de directive

Considérant 26 quater (nouveau)


Texte proposé par la Commission	Amendement
	(26 quater) Les outils et applications de cybersécurité à code source ouvert peuvent contribuer à augmenter le degré de transparence et avoir un effet positif sur l’efficacité de l’innovation industrielle. Les normes ouvertes facilitent l’interopérabilité entre les outils de sécurité, ce qui profite à la sécurité des acteurs industriels. Les outils et applications de cybersécurité à code source ouvert peuvent mobiliser la communauté des développeurs au sens large, ce qui permet aux entités de mener des stratégies de diversification des fournisseurs et de sécurité ouverte. La sécurité ouverte peut conduire à un processus de vérification plus transparent des outils liés à la cybersécurité et à un processus communautaire de détection des vulnérabilités. Les États membres devraient donc promouvoir l’adoption de logiciels libres et de normes ouvertes en appliquant des politiques relatives à l’utilisation de données ouvertes et de codes sources ouverts dans le cadre de la sécurité par la transparence. Les politiques qui promeuvent l’adoption et l’utilisation durable d’outils de cybersécurité à code source ouvert revêtent une importance particulière pour les petites et moyennes entreprises (PME) exposées à des coûts de mise en œuvre importants, qui peuvent être atténués grâce à une moindre nécessité d’applications ou d’outils spécifiques.

Amendement 25

Proposition de directive

Considérant 26 quinquies (nouveau)


Texte proposé par la Commission	Amendement
	(26 quinquies) Les partenariats public-privé (PPP) dans le domaine de la cybersécurité peuvent offrir le cadre adapté pour les échanges de connaissances, le partage des bonnes pratiques et l’établissement d’un niveau de compréhension commun à toutes les parties prenantes. Les États membres devraient adopter des politiques favorisant l’établissement de PPP de cybersécurité dans le cadre de leurs stratégies nationales de cybersécurité. Ces politiques devraient clarifier, entre autres, la portée des PPP ainsi que les parties prenantes impliquées, le modèle de gouvernance, les options de financement disponibles et les interactions entre les parties prenantes participantes. Les PPP peuvent s’appuyer sur l’expertise des entités du secteur privé pour soutenir les autorités compétentes des États membres dans leur travail de développement de services et processus de pointe, comprenant, entre autres, les échanges d’informations, les alertes rapides, les exercices de gestion des cybermenaces et des incidents, la gestion des crises et la planification de la résilience.

Amendement 26

Proposition de directive

Considérant 27


Texte proposé par la Commission	Amendement
(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.	(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou présentant de graves risques de sûreté et de sécurité publique pour les entités ou les citoyens dans plusieurs États membres ou dans l’Union dans son ensemble. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.
__________________	__________________
Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).	Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

Amendement 27

Proposition de directive

Considérant 27 bis (nouveau)


Texte proposé par la Commission	Amendement
	(27 bis) Les États membres devraient, dans leurs stratégies nationales de cybersécurité, répondre aux besoins spécifiques des PME en matière de cybersécurité. Les PME représentent, dans le contexte de l’Union, un grand pourcentage du marché de l’industrie et des entreprises et elles éprouvent souvent des difficultés à s’adapter aux nouvelles pratiques commerciales dans un monde plus connecté, à naviguer dans l’environnement numérique, avec des salariés qui travaillent à domicile et des affaires qui se font de plus en plus en ligne. Certaines PME sont confrontées à des défis spécifiques en matière de cybersécurité, tels qu’une faible sensibilisation à la cybersécurité, un manque de sécurité informatique à distance, le coût élevé des solutions de cybersécurité et un niveau accru de menaces, comme les logiciels rançonneurs, pour lesquels elles devraient recevoir des conseils et un soutien. Les États membres devraient disposer d’un point de contact unique pour les PME en matière de cybersécurité, qui soit fournit des conseils et un soutien aux PME, soit les oriente vers les entités appropriées pour obtenir des conseils et un soutien sur les questions liées à la cybersécurité. Les États membres sont encouragés à proposer également des services tels que la configuration de sites web et la journalisation pour les petites entreprises et les microentreprises qui ne disposent pas de ces capacités.

Amendement 28

Proposition de directive

Considérant 27 ter (nouveau)


Texte proposé par la Commission	Amendement
	(27 ter) Les États membres devraient adopter des politiques de promotion de la cyberdéfense active dans le cadre de leurs stratégies nationales de cybersécurité. La cyberdéfense active consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation proactives des violations de la sécurité de réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. La capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la détection, la prévention et la lutte efficaces contre les attaques ciblant des réseaux et systèmes d’information. La cyberdéfense active repose sur une stratégie défensive qui exclut les mesures offensives contre les infrastructures civiles critiques.

Amendement 29

Proposition de directive

Considérant 28


Texte proposé par la Commission	Amendement
(28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. En ce qui concerne la divulgation des vulnérabilités, la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement importante. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.	(28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. Le renforcement de la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement important pour faciliter le cadre volontaire de divulgation des vulnérabilités. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

Amendement 30

Proposition de directive

Considérant 28 bis (nouveau)


Texte proposé par la Commission	Amendement
	(28 bis) La Commission, l’ENISA et les États membres devraient continuer à encourager l’harmonisation internationale avec les normes et les bonnes pratiques existantes du secteur en matière de gestion des risques, par exemple dans les domaines des évaluations de la sécurité de la chaîne d’approvisionnement, du partage d’informations et de la divulgation des vulnérabilités.

Amendement 31

Proposition de directive

Considérant 29


Texte proposé par la Commission	Amendement
(29) Les États membres devraient par conséquent adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en créant une politique nationale pertinente. À cet égard, les États membres devraient désigner un CSIRT pour jouer le rôle de «coordinateur» et agir comme un intermédiaire entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC lorsque cela est nécessaire. Les missions du CSIRT agissant en tant que coordinateur devraient notamment impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux entités effectuant le signalement, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs organisations (divulgation de vulnérabilité multipartite). Lorsque les vulnérabilités touchent plusieurs fabricants ou fournisseurs de produits ou services TIC établis dans plusieurs États membres, les CSIRT désignés par chaque État membre touché devraient coopérer au sein du réseau des CSIRT.	(29) Les États membres, en coopération avec l’ENISA, devraient par conséquent adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en créant une politique nationale pertinente. Dans le cadre de cette politique nationale, les États membres devraient s’attaquer aux problèmes rencontrés par les experts qui recherchent les vulnérabilités. Dans certains États membres, les entités et les personnes physiques qui recherchent des vulnérabilités peuvent s'exposer à une responsabilité pénale et civile. Les États membres sont donc encouragés à publier des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour ces activités.

Amendement 32

Proposition de directive

Considérant 29 bis (nouveau)


Texte proposé par la Commission	Amendement
	(29 bis) Les États membres devraient désigner un CSIRT pour jouer le rôle de «coordinateur» et agir comme un intermédiaire entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC susceptibles d’être touchés par la vulnérabilité, lorsque cela est nécessaire. Les missions du CSIRT agissant en tant que coordinateur devraient notamment impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux entités effectuant le signalement, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs organisations (divulgation de vulnérabilité multipartite). Lorsque les vulnérabilités touchent plusieurs fabricants ou fournisseurs de produits ou services TIC établis dans plusieurs États membres, les CSIRT désignés par chaque État membre touché devraient coopérer au sein du réseau des CSIRT.

Amendement 33

Proposition de directive

Considérant 30


Texte proposé par la Commission	Amendement
(30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. À cet égard, les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place un registre des vulnérabilités dans lequel les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées.	(30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. Les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données des vulnérabilités dans laquelle les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées. L’objectif de cette base de données est de relever les défis uniques que posent les risques en matière de cybersécurité aux entités européennes. En outre, l’ENISA devrait établir une procédure responsable en ce qui concerne le processus de publication, afin de donner aux entités le temps de prendre des mesures d’atténuation à l’égard de leurs vulnérabilités, et recourir aux mesures de cybersécurité les plus récentes, ainsi qu’aux ensembles de données lisibles par machine et aux interfaces correspondantes (API). L’encouragement d’une culture de divulgation des vulnérabilités ne devrait pas se faire au détriment de l’entité qui effectue le signalement.

Amendement 34

Proposition de directive

Considérant 31


Texte proposé par la Commission	Amendement
(31) Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Un registre européen des vulnérabilités géré par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec les registres existants sur le territoire de pays tiers.	(31) La base de données européenne des vulnérabilités gérée par l’ENISA devrait tirer parti du registre Common Vulnerabilities and Exposures (CVE), en utilisant son cadre pour l’identification, le suivi et la notation des vulnérabilités. En outre, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec d’autres registres ou bases de données similaires relevant des juridictions de pays tiers, afin d’éviter les doubles emplois et de rechercher la complémentarité.

Amendement 35

Proposition de directive

Considérant 33


Texte proposé par la Commission	Amendement
(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques auxquelles il convient de répondre par une meilleure application des règles existantes.	(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques - notamment en vue de faciliter l’harmonisation de la transposition de la présente directive entre les États membres - auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération devrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique à travers l’Union. Cela vaut tout particulièrement pour les secteurs qui ont un caractère international et transfrontière.

Amendement 36

Proposition de directive

Considérant 34


Texte proposé par la Commission	Amendement
(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.	(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences concernés de l’Union participant à la politique de cybersécurité, comme Europol, l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.

Amendement 37

Proposition de directive

Considérant 35


Texte proposé par la Commission	Amendement
(35) Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres afin d’améliorer la coopération. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte.	(35) Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres dans le respect de règles et de mécanismes structurés concernant le champ d’application et, le cas échéant, l’habilitation de sécurité requise des agents qui participent à de tels programmes d’échange, afin d’améliorer la coopération et de renforcer la confiance parmi les États membres. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte ou du CSIRT.

Amendement 38

Proposition de directive

Considérant 36


Texte proposé par la Commission	Amendement
(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient assurer un niveau suffisant de protection des données.	(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient garantir les intérêts de l’Union et assurer un niveau suffisant de protection des données. Ceci ne préjuge pas du droit qu’ont les États membres de coopérer avec des pays tiers partageant les mêmes valeurs sur la gestion des vulnérabilités et des risques touchant la cybersécurité dans le but de faciliter le signalement et le partage général d’informations en conformité avec la législation de l’Union.

Amendement 39

Proposition de directive

Considérant 38


Texte proposé par la Commission	Amendement
(38) Aux fins de la présente directive, le terme «risque» devrait faire référence au potentiel de perte ou de perturbation causé par un incident de cybersécurité et devrait être exprimé comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise.	supprimé

Amendement 40

Proposition de directive

Considérant 39


Texte proposé par la Commission	Amendement
(39) Aux fins de la présente directive, le terme «incidents évités» devrait faire référence à un événement qui aurait potentiellement pu causer des dommages, mais dont la réalisation totale a pu être empêchée.	supprimé

Amendement 41

Proposition de directive

Considérant 40


Texte proposé par la Commission	Amendement
(40) Parmi les mesures de gestion des risques devraient figurer celles permettant de déterminer tous les risques d’incidents, de prévenir, de repérer et de gérer les incidents et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées.	(40) Parmi les mesures de gestion des risques devraient figurer celles permettant de déterminer tous les risques d’incidents, de prévenir et de repérer les incidents, d’y réagir et de s’en remettre, et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées. Ces systèmes devraient prévoir une analyse systémique qui décompose les divers processus et les interactions entre les sous-systèmes et tient compte du facteur humain, afin de disposer d’une vue d’ensemble complète sur la sécurité du système d’information.

Amendement 42

Proposition de directive

Considérant 41


Texte proposé par la Commission	Amendement
(41) Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit excessive, il convient que les exigences en matière de gestion des risques de cybersécurité soient proportionnées aux risques que présentent le réseau et le système d’information concernés, compte tenu de l’état le plus avancé de la technique en ce qui concerne ces mesures.	(41) Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit excessive, il convient que les exigences en matière de gestion des risques de cybersécurité soient proportionnées aux risques que présentent le réseau et le système d’information concernés, compte tenu de l’état le plus avancé de la technique en ce qui concerne ces mesures ainsi que des normes européennes ou internationales, telles que l’ISO31000 et l’ISA/IEC 27005.

Amendement 43

Proposition de directive

Considérant 43


Texte proposé par la Commission	Amendement
(43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs procédures de développement sécurisées.	(43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs, tels que les fournisseurs de services de stockage et de traitement des données ou de services gérés de sécurité, vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes d’attaques contre les réseaux et systèmes d’information et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité et la résilience globales des produits et des services, les mesures de cybersécurité qui y sont intégrées et les pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs procédures de développement sécurisées. Les entités devraient en particulier être encouragées à intégrer des mesures de cybersécurité dans les accords contractuels conclus avec leurs fournisseurs et prestataires de services de premier niveau. Elles pourraient prendre en considération les risques en matière de cybersécurité découlant d’autres niveaux de fournisseurs et de prestataires de services.

Amendement 44

Proposition de directive

Considérant 44


Texte proposé par la Commission	Amendement
(44) Parmi tous les fournisseurs de services, les fournisseurs de services gérés de sécurité dans des domaines comme la réaction aux incidents, les tests de pénétration, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour détecter les incidents et y réagir. Ces fournisseurs de services gérés de sécurité ont également été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque considérable en matière de cybersécurité. Les entités doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services gérés de sécurité.	(44) Parmi tous les fournisseurs de services, les fournisseurs de services gérés de sécurité dans des domaines comme la réaction aux incidents, les tests de pénétration, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour prévenir et détecter les incidents, y réagir ou s’en remettre. Ces fournisseurs de services gérés de sécurité ont également été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque considérable en matière de cybersécurité. Les entités doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services gérés de sécurité.

Amendement 45

Proposition de directive

Considérant 45


Texte proposé par la Commission	Amendement
(45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.	(45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large, y compris pour éviter l’espionnage industriel et protéger les secrets d'affaires. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.

Amendement 46

Proposition de directive

Considérant 45 bis (nouveau)


Texte proposé par la Commission	Amendement
	(45 bis) Les entités devraient adopter une vaste gamme de pratiques d’hygiène informatique de base, comme l’architecture «confiance zéro», les mises à jour de logiciels, la configuration des dispositifs, la segmentation des réseaux, la gestion des identités et des accès ou la sensibilisation des utilisateurs, et organiser une formation pour leur personnel en ce qui concerne les cybermenaces liées à la messagerie d’entreprise, le hameçonnage ou les techniques d’ingénierie sociale. En outre, les entités devraient évaluer leurs propres capacités en matière de cybersécurité et, le cas échéant, poursuivre l’intégration des technologies de cybersécurité basées sur l’intelligence artificielle ou les systèmes d’apprentissage automatique afin d’automatiser leurs capacités et la protection des architectures en réseau.

Amendement 47

Proposition de directive

Considérant 46


Texte proposé par la Commission	Amendement
(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G21 suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.	(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC et SIC critiques, les menaces pertinentes et les vulnérabilités. Ces évaluations des risques devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités. Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.
__________________	__________________
21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).	21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

Amendement 48

Proposition de directive

Considérant 47


Texte proposé par la Commission	Amendement
(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.	(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC, tout au long de leur cycle de vie, face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services, systèmes ou produits TIC soumis à des exigences spécifiques émanant de pays tiers.

Amendement 49

Proposition de directive

Considérant 47 bis (nouveau)


Texte proposé par la Commission	Amendement
	(47 bis) Le Groupe des parties prenantes pour la certification de cybersécurité institué en vertu de l’article 22 du règlement (UE) 2019/881 du Parlement européen et du Conseil1a devrait émettre un avis sur les évaluations des risques de sécurité des chaînes d’approvisionnement de services, systèmes ou produits TIC et SIC spécifiques d’importance critique. Le groupe de coopération et l’ENISA devraient tenir compte de cet avis.
	__________________
	1a Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

Amendement 50

Proposition de directive

Considérant 50


Texte proposé par la Commission	Amendement
(50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux.	(50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque lié à la sécurité des réseaux pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux. Toutefois, étant donné que la surface d’attaque continue de s’étendre, les services de communications interpersonnelles non fondés sur la numérotation, y compris, mais pas seulement, les messageries de réseaux sociaux, deviennent des vecteurs d’attaque courants. Les acteurs malveillants utilisent des plateformes pour communiquer avec les victimes et les inciter à ouvrir des pages web compromises, ce qui augmente la probabilité d’incidents impliquant l’exploitation de données à caractère personnel, et par extension, la sécurité des systèmes d’information.

Amendement 51

Proposition de directive

Considérant 51


Texte proposé par la Commission	Amendement
(51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents qui les concernent.	(51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que tous les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents significatifs qui les concernent. Les États membres devraient veiller au maintien de l’intégrité et de la disponibilité de ces réseaux de communications électroniques publics et considérer que leur protection contre le sabotage et l’espionnage présente un intérêt vital sur le plan de la sécurité. Les informations sur les incidents, par exemple sur les câbles de communication sous-marins, devraient être activement partagées entre les États membres.

Amendement 52

Proposition de directive

Considérant 52


Texte proposé par la Commission	Amendement
(52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. L’obligation qui est faite aux entités d’informer les destinataires de ces menaces ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. Informer les destinataires au sujet des menaces pour la sécurité devrait être gratuit.	(52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. Cela ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. L’information fournie aux destinataires au sujet des menaces pour la sécurité devrait être gratuite et formulée dans un langage facile à comprendre.

Amendement 53

Proposition de directive

Considérant 53


Texte proposé par la Commission	Amendement
(53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.	(53) Il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public mettent en œuvre des mesures de sécurité dès la conception et par défaut, et informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs dispositifs et communications, par exemple en recourant à des types spécifiques de logiciels de cryptage ou à d’autres techniques de sécurité axées sur les données.

Amendement 54

Proposition de directive

Considérant 54


Texte proposé par la Commission	Amendement
(54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications, tout en apportant une réponse efficace à la criminalité.	(54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation de techniques de chiffrement et d’autres techniques de sécurité axées sur les données, telles que la tokenisation, la segmentation, l’accès limité, le marquage, le balisage, la gestion forte des accès et identités, et les décisions d’accès automatisées, voire si nécessaire de l’imposer pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Toutefois, cela ne devrait pas conduire à des efforts pour affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour une protection efficace des données et de la vie privée .

Amendement 55

Proposition de directive

Considérant 54 bis (nouveau)


Texte proposé par la Commission	Amendement
	(54 bis) Afin de préserver la sécurité et de prévenir les abus et la manipulation des réseaux et services de communications électroniques, il convient de promouvoir l’utilisation de normes de routage sécurisé interopérables pour garantir l’intégrité et la solidité des fonctions de routage dans l’ensemble de l’écosystème des transporteurs Internet.

Amendement 56

Proposition de directive

Considérant 54 ter (nouveau)


Texte proposé par la Commission	Amendement
	(54 ter) Afin de préserver la fonctionnalité et l’intégrité de l’internet et de réduire les problèmes de sécurité liés au DNS, les parties prenantes concernées, notamment les entreprises de l’Union, les fournisseurs de services internet et les vendeurs de navigateurs, devraient être encouragées à adopter une stratégie de diversification de la résolution DNS. En outre, les États membres devraient encourager la mise au point et l’utilisation d’un service européen public et sécurisé de résolution de noms de domaines.

Amendement 57

Proposition de directive

Considérant 55


Texte proposé par la Commission	Amendement
(55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale dans les 24 heures, suivie d’un rapport final un mois après au plus tard. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’évider que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais de 24 heures pour la notification initiale et de un mois pour le rapport final.	(55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale suivie d’un rapport complet un mois au plus tard après la soumission de la notification initiale. Le délai de notification initiale de l’incident ne devrait pas empêcher les entités de signaler les incidents plus tôt, de façon à ce qu’elles puissent chercher rapidement de l’aide auprès des CSIRT dans un but d’atténuation de l’éventuelle propagation de l’incident signalé. Les CSIRT peuvent demander un rapport intermédiaire sur les mises à jour pertinentes de la situation, tout en tenant compte des efforts déployés par l’entité à l’origine du signalement pour réagir et remédier à l’incident.

Amendement 58

Proposition de directive

Considérant 55 bis (nouveau)


Texte proposé par la Commission	Amendement
	(55 bis) Un incident important peut avoir une incidence sur la confidentialité, l’intégrité ou la disponibilité du service. Les entités essentielles et importantes devraient informer les CSIRT des incidents importants qui ont une incidence sur la disponibilité de leur service dans les 24 heures suivant la prise de connaissance de l’incident. Elles devraient informer les CSIRT des incidents importants qui portent atteinte à la confidentialité et à l’intégrité de leurs services dans un délai de 72 heures à compter de la prise de connaissance de l’incident. La distinction entre les types d’incidents n’est pas fondée sur la gravité de l’incident, mais sur la difficulté pour l’entité à l’origine du signalement d’évaluer l’incident et son importance et sur la capacité à communiquer des informations qui peuvent être utiles pour le CSIRT. La notification initiale devrait inclure les informations nécessaires pour porter l’incident à la connaissance du CSIRT et permettre à l’entité de demander une assistance, le cas échéant. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’éviter que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou puissent compromettre de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec le CSIRT, l’entité concernée peut ne pas respecter les délais pour la notification initiale et pour le rapport complet.

Amendement 59

Proposition de directive

Considérant 59


Texte proposé par la Commission	Amendement
(59) Le maintien à jour des bases de données précises et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.	(59) Le maintien à jour des bases de données précises, vérifiées et complètes contenant les données d’enregistrement des noms de domaines (appelées «données WHOIS») est essentiel pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union, et pour lutter contre les activités illégales. Les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient donc être tenus de collecter les données d’enregistrement des noms de domaines, lesquelles devraient comprendre au moins le nom des titulaires de noms de domaines, leur adresse physique et électronique ainsi que leur numéro de téléphone. Dans la pratique, les données collectées ne seront peut-être pas toujours entièrement exactes, mais les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient adopter et mettre en œuvre des processus proportionnés pour vérifier que les personnes physiques ou morales qui demandent ou détiennent un nom de domaine ont fourni des coordonnées auxquelles elles peuvent être jointes et sont censées répondre. Dans toute la mesure du possible, ces processus de vérification devraient refléter les meilleures pratiques actuellement utilisées dans le secteur. Ces meilleures pratiques appliquées dans le processus de vérification devraient traduire les progrès réalisés dans le processus d’identification électronique. Les registres des noms de domaines de premier niveau et les entités qui fournissent des services d’enregistrement de noms de domaines devraient rendre publiques leurs politiques et procédures visant à garantir l’intégrité et la disponibilité des données d’enregistrement des noms de domaines. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.

Amendement 60

Proposition de directive

Considérant 60


Texte proposé par la Commission	Amendement
(60) La disponibilité de ces données, et leur accessibilité, en temps opportun, pour les autorités publiques, y compris les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, les CERT (ou CSIRT) et, en ce qui concerne les données de leurs clients, pour les fournisseurs de réseaux et de services de communications électroniques et les fournisseurs de technologies et de services de cybersécurité agissant pour le compte de ces clients, sont essentielles pour prévenir et à combattre l’utilisation abusive des noms de domaines, en particulier pour prévenir, détecter et répondre aux incidents de cybersécurité. Cet accès doit être conforme au droit de l’Union en matière de protection des données dans la mesure où il concerne des données à caractère personnel.	(60) La disponibilité et l’accessibilité en temps utile des données d’enregistrement des noms de domaines pour les demandeurs d’accès légitimes sont essentielles à des fins de cybersécurité et de lutte contre les activités illégales dans l’écosystème en ligne. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement des noms de domaines devraient donc être tenus de permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement des noms de domaines, y compris à des données à caractère personnel, conformément à la législation de l’Union sur la protection des données. Les demandeurs d’accès légitimes, qui pourraient être les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que les CERT ou CSIRT nationaux, devraient présenter une demande dûment justifiée d’accès aux données d’enregistrement des noms de domaines sur la base du droit de l’Union ou du droit national. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais et dans tous les cas dans un délai de 72 heures aux demandes de divulgation de données d’enregistrement de noms de domaines émanant de demandeurs d’accès légitimes. Les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures pour la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’autres outils techniques afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices à l’égard de ces procédures sans préjudice des compétences du comité européen de la protection des données.

Amendement 61

Proposition de directive

Considérant 61


Texte proposé par la Commission	Amendement
(61) Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaines, les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau (appelées «bureaux d’enregistrement») doivent collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaines. En particulier, les registres de noms domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément aux règles de l’Union en matière de protection des données.	supprimé

Amendement 62

Proposition de directive

Considérant 62


Texte proposé par la Commission	Amendement
(62) Les registres des noms de domaines de premier niveau ainsi que les entités leur fournissant des services d’enregistrement de noms de domaines devraient rendre publiques les données relatives à l’enregistrement de noms de domaines qui ne relèvent pas du champ d’application des règles de l’Union en matière de protection des données, telles que les données concernant les personnes morales. Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaines concernant des personnes physiques, conformément à la législation de l’Union sur la protection des données. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais aux demandes de divulgation de données d’enregistrement de noms de domaines émanant de demandeurs d’accès légitimes. Les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures entourant la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices eu égard à ces procédures sans préjudice des compétences du comité européen de la protection des données.	(62) Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines devraient être tenus de rendre publiques les données d’enregistrement de noms de domaines qui ne contiennent pas de données à caractère personnel. Il faut opérer une distinction entre les personnes physiques et morales25. Pour les personnes morales, les registres des noms de domaines de premier niveau ainsi que les entités devraient rendre publics, au minimum, le nom des titulaires de noms de domaines, leur adresse physique et électronique ainsi que leur numéro de téléphone. La personne morale devrait être tenue soit de fournir une adresse électronique générique qui puisse être rendue publique, soit de donner son consentement à la publication d’une adresse électronique personnelle. La personne morale devrait être en mesure de démontrer ce consentement à la demande des registres des noms de domaines de premier niveau ainsi que des entités fournissant des services d’enregistrement de noms de domaines.
__________________	__________________
25 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, considérant 14, aux termes duquel «Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale».	25 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, considérant 14, aux termes duquel «Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale».

Amendement 63

Proposition de directive

Considérant 63


Texte proposé par la Commission	Amendement
(63) Toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions communes de surveillance.	(63) Toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services ou exercent leurs activités. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions communes de surveillance.

Amendement 64

Proposition de directive

Considérant 64


Texte proposé par la Commission	Amendement
(64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.	(64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré soit comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union, soit comme étant l’établissement où les opérations de cybersécurité sont menées. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.

Amendement 65

Proposition de directive

Considérant 65 bis (nouveau)


Texte proposé par la Commission	Amendement
	(65 bis) L’ENISA devrait créer et gérer un registre contenant des informations sur les entités essentielles et importantes, lesquelles comprennent les fournisseurs de services DNS, les registres des noms de domaines de premier niveau et les fournisseurs de services d’informatique en nuage, de services de centres de données, de réseaux d’acheminement de contenu, de marchés en ligne, de moteurs de recherche en ligne et de plateformes de réseaux sociaux. Ces entités essentielles et importantes devraient soumettre à l’ENISA leurs noms, adresses et coordonnées à jour. Elles devraient notifier à l’ENISA toute modification de ces informations sans retard et, en tout état de cause, dans un délai de deux semaines à compter de la date à laquelle la modification a pris effet. L’ENISA devrait transmettre ces informations au point de contact unique concerné. Les entités essentielles et importantes qui transmettent leurs informations à l’ENISA ne sont donc pas tenues d’informer séparément l’autorité compétente au sein de l’État membre. L’ENISA devrait élaborer un programme d’application simple et accessible au public que ces entités pourraient utiliser pour mettre à jour leurs informations. En outre, l’ENISA devrait établir des protocoles appropriés de classification et de gestion des informations pour assurer la sécurité et la confidentialité des informations divulguées, et réserver l’accès, le stockage et la transmission de ces informations aux utilisateurs à qui elles sont destinées.

Amendement 66

Proposition de directive

Considérant 66


Texte proposé par la Commission	Amendement
(66) Lorsque des informations considérées comme classifiées en vertu du droit national ou du droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu des dispositions de la présente directive, les règles spécifiques correspondantes relatives au traitement des informations classifiées doivent être appliquées.	(66) Lorsque des informations considérées comme classifiées en vertu du droit national ou du droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu des dispositions de la présente directive, les règles spécifiques correspondantes relatives au traitement des informations classifiées doivent être appliquées. En outre, l’ENISA devrait disposer de l’infrastructure, des procédures et des règles nécessaires pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables à la protection des informations classifiées de l’Union.

Amendement 67

Proposition de directive

Considérant 68


Texte proposé par la Commission	Amendement
(68) Les entités devraient être encouragées à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.	(68) Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive, comme les entités axées sur les services et la recherche en matière de cybersécurité, à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.

Amendement 68

Proposition de directive

Considérant 69


Texte proposé par la Commission	Amendement
(69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé dans le règlement (UE) 2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Ces mesures peuvent nécessiter le traitement des types de données à caractère personnel suivants: Adresses IP, localisateurs de ressources uniformes (URL), noms de domaines et adresses électroniques.	(69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités essentielles et importantes, des CSIRT et des fournisseurs de technologies et de services de sécurité, est nécessaire au respect de leurs obligations légales visées dans la présente directive. Ce traitement de données à caractère personnel pourrait également être nécessaire aux fins des intérêts légitimes poursuivis par les entités essentielles et importantes. Lorsque la présente directive exige le traitement de données à caractère personnel à des fins de cybersécurité et de sécurité des réseaux et de l’information conformément aux dispositions des articles 18, 20 et 23 de la directive, ce traitement est considéré comme nécessaire au respect d’une obligation légale, telle que visée à l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Aux fins des articles 26 et 27 de la présente directive, le traitement, tel que visé à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, est considéré comme nécessaire aux fins des intérêts légitimes poursuivis par les entités essentielles et importantes. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse et à la réaction aux incidents, les mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration nécessitent le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaines, les adresses électroniques, les horodatages, les informations liées au système d’exploitation ou au navigateur, les cookies ou d’autres informations indiquant le modus operandi.

Amendement 69

Proposition de directive

Considérant 71


Texte proposé par la Commission	Amendement
(71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation, des dommages ou pertes réels causés ou des dommages ou pertes potentiels qui auraient pu être provoqués, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. L’imposition de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.	(71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation, des dommages ou pertes causés, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. Les sanctions, y compris les amendes administratives, devraient être proportionnées et leur imposition devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne (ci-après, «la Charte»), y compris le droit à une protection juridictionnelle effective et à une procédure régulière, la présomption d’innocence et les droits de la défense.

Amendement 70

Proposition de directive

Considérant 72


Texte proposé par la Commission	Amendement
(72) Afin de garantir une application efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives.	(72) Afin de garantir une application efficace des obligations prévues par la présente directive, chaque autorité compétente devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives si la violation a été commise délibérément ou par négligence ou si l’entité concernée avait été informée de son infraction.

Amendement 71

Proposition de directive

Considérant 76


Texte proposé par la Commission	Amendement
(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant tout ou partie des services fournis par une entité essentielle et en l’interdiction temporaire de l’exercice de fonctions de direction par une personne physique. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.	(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension temporaire d’une certification ou d’une autorisation concernant tout ou partie des services concernés fournis par une entité essentielle et en la demande d’imposer une interdiction temporaire de l’exercice de fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal . Les États membres devraient élaborer des procédures et règles spécifiques concernant l’interdiction temporaire d’exercer des fonctions de direction par une personne physique à un niveau de directeur général ou de représentant légal dans les entités de l’administration publique. Lors de l’élaboration de ces procédures et règles, les États membres devraient tenir compte des particularités de leurs niveaux et systèmes de gouvernance respectifs au sein de leurs administrations publiques. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces suspensions ou interdictions temporaires ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces suspensions ou interdictions temporaires ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces suspensions ou interdictions temporaires ont été appliquées. L’imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.

Amendement 72

Proposition de directive

Considérant 79


Texte proposé par la Commission	Amendement
(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres.	(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation, par des experts indépendants désignés par les États membres, de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres. Les évaluations par les pairs peuvent déboucher sur des enseignements et des recommandations précieux, qui renforcent les capacités globales en matière de cybersécurité. En particulier, elles peuvent contribuer à faciliter le transfert de technologies, d’outils, de mesures et de processus parmi les États membres qui participent à l’évaluation par les pairs, en créant une trajectoire fonctionnelle pour l’échange de bonnes pratiques entre les États membres ayant des niveaux de maturité différents en matière de cybersécurité et en permettant l’établissement d’un niveau élevé et commun de cybersécurité dans l’ensemble de l’Union. L’évaluation par les pairs devrait être précédée d’une auto-évaluation par l’État membre considéré, portant sur les aspects évalués et toute question ciblée supplémentaire que les experts désignés communiquent à l’État membre faisant l’objet de l’évaluation par les pairs avant le début de celle-ci. La Commission, en coopération avec l’ENISA et le groupe de coopération, devrait élaborer des modèles pour l’auto-évaluation des aspects évalués afin de rationaliser le processus et d’éviter les incohérences et retards procéduraux, que les États membres faisant l’objet d’une évaluation par les pairs devraient remplir et fournir aux experts désignés qui procèdent à ladite évaluation avant le début de celle-ci.

Amendement 73

Proposition de directive

Considérant 80


Texte proposé par la Commission	Amendement
(80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques requis en vertu de la présente directive. La Commission devrait également être habilitée à adopter des actes délégués établissant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»26 . En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.	(80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques de cybersécurité et les obligations de signalement requis en vertu de la présente directive. La Commission devrait également être habilitée à adopter des actes délégués établissant quelles catégories d’entités essentielles et importantes sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer». En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.
__________________
26 JO L 123 du 12.5.2016, p. 1.

Amendement 74

Proposition de directive

Considérant 81


Texte proposé par la Commission	Amendement
(81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération, les éléments techniques des mesures de gestion des risques ou le type d’informations, le format et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil.27	(81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil.27
__________________	__________________
Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).	Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

Amendement 75

Proposition de directive

Considérant 82


Texte proposé par la Commission	Amendement
(82) La présente directive devrait être réexaminée périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il est nécessaire de la modifier pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés.	(82) La présente directive devrait être réexaminée périodiquement par la Commission, en consultation avec les parties intéressées, notamment en vue de déterminer s’il y a lieu de proposer des modifications pour tenir compte de l’évolution de la société, de la situation politique, des technologies ou de la situation des marchés. Dans le cadre de ces réexamens, la Commission devrait évaluer la pertinence des secteurs, des sous-secteurs et des types d’entités visés aux annexes pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. La Commission devrait évaluer, entre autres, si les fournisseurs numériques qui sont classés comme très grandes plateformes en ligne au sens de l’article 25 du règlement (UE) XXXX/XXXX [Marché unique des services numériques (législation sur les services numériques)] ou comme contrôleurs d’accès au sens de l’article 2, point 1, du règlement (UE) XXXX/XXXX [marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques)] devraient être désignés en tant qu’entités essentielles au titre de la présente directive. En outre, la Commission devrait évaluer s’il y a lieu de modifier l’annexe I de la directive 2020/1828 du Parlement européen et du Conseil1bis en ajoutant une référence à la présente directive.
	__________________
	1 bis Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du 4.12.2020, p. 1).

Amendement 76

Proposition de directive

Considérant 82 bis (nouveau)


Texte proposé par la Commission	Amendement
	(82 bis) La présente directive fixe des exigences de cybersécurité pour les États membres, ainsi que pour les entités essentielles et importantes établies dans l’Union. Ces exigences de cybersécurité devraient également être appliquées par les institutions, organes, organismes et agences de l’Union sur la base d’un acte législatif de l’Union.

Amendement 77

Proposition de directive

Considérant 82 ter (nouveau)


Texte proposé par la Commission	Amendement
	(82 ter) La présente directive crée de nouvelles tâches pour l’ENISA, en renforçant ainsi son rôle, et pourrait également conduire à ce que l’ENISA soit tenue d’accomplir les tâches qui lui incombent en vertu du règlement (UE) 2019/881 à un niveau plus élevé qu’auparavant. Afin de veiller à ce que l’ENISA dispose des ressources financières et humaines nécessaires pour mener à bien les activités existantes et nouvelles dans le cadre de ses missions, et pour satisfaire à toute norme plus élevée résultant de son rôle accru, il convient d’augmenter son budget en conséquence. En outre, afin de garantir une utilisation efficace des ressources, l’ENISA devrait bénéficier d’une plus grande flexibilité dans la manière dont elle est autorisée à allouer les ressources en interne, afin de pouvoir mener à bien ses missions et répondre aux attentes avec efficacité.

Amendement 78

Proposition de directive

Considérant 84


Texte proposé par la Commission	Amendement
(84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l’Union européenne et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive devrait être mise en œuvre conformément à ces droits et principes,	(84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la Charte et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. Cela inclut le droit à un recours effectif devant une juridiction pour les destinataires de services fournis par des entités essentielles et importantes. La présente directive devrait être mise en œuvre conformément à ces droits et principes,

Amendement 79

Proposition de directive

Article 1 – paragraphe 2 – point c bis(nouveau)


Texte proposé par la Commission	Amendement
	c bis) définit les obligations des États membres en matière de surveillance et d’exécution.

Amendement 80

Proposition de directive

Article 2 – paragraphe 1


Texte proposé par la Commission	Amendement
1. La présente directive s’applique aux entités publiques et privées d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II. La présente directive ne s’applique pas aux entités qui peuvent être qualifiées de microentreprises et de petites entreprises au sens de la recommandation 2003/361/CE de la Commission.28	1. La présente directive s’applique aux entités publiques et privées essentielles et importantes d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II, qui fournissent leurs services ou mènent leurs activités au sein de l’Union. La présente directive ne s’applique pas aux petites entreprises ou aux microentreprises au sens de l’article 2, paragraphes 2 et 3, de l’annexe de la recommandation 2003/361/CE de la Commission28. L’article 3, paragraphe 4, de l’annexe de cette recommandation n’est pas applicable.
__________________	__________________
28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).	28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

Amendement 81

Proposition de directive

Article 2 – paragraphe 2 – alinéa 1 – partie introductive


Texte proposé par la Commission	Amendement
Toutefois, quelle que soit leur taille, la présente directive s’applique également aux entités visées aux annexes I et II, dans les cas suivants:	Quelle que soit leur taille, la présente directive s’applique également aux entités essentielles et importantes dans les cas suivants:

Amendement 82

Proposition de directive

Article 2 – paragraphe 2 – alinéa 1 – point d


Texte proposé par la Commission	Amendement
d) une éventuelle interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;	d) une interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;

Amendement 83

Proposition de directive

Article 2 – paragraphe 2 – alinéa 1 – point e


Texte proposé par la Commission	Amendement
e) une éventuelle perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;	e) une perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;

Amendement 84

Proposition de directive

Article 2 – paragraphe 2 – alinéa 2


Texte proposé par la Commission	Amendement
Les États membres établissent une liste des entités identifiées conformément aux points b) à f) et la soumettent à la Commission au plus tard [6 mois après la date limite de transposition]. Les États membres réexaminent la liste régulièrement, puis au moins tous les deux ans, et, le cas échéant, la mettent à jour.	supprimé

Amendement 85

Proposition de directive

Article 2 – paragraphe 2 bis (nouveau)


Texte proposé par la Commission	Amendement
	2 bis. Au plus tard le ... [6 mois après le délai de transposition], les États membres établissent une liste des entités essentielles et importantes, y compris les entités visées au paragraphe 1 et les entités identifiées en vertu du paragraphe 2, points b) à f), et de l’article 24, paragraphe 1. Par la suite, les États membres réexaminent cette liste et, le cas échéant, la mettent à jour, régulièrement et au moins tous les deux ans.

Amendement 86

Proposition de directive

Article 2 – paragraphe 2 ter (nouveau)


Texte proposé par la Commission	Amendement
	2 ter. Les États membres veillent à ce que les entités essentielles et importantes communiquent au minimum les informations suivantes aux autorités compétentes:
	a) le nom de l’entité;
	b) l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP, les numéros de téléphone; et
	c) le ou les secteurs et sous-secteurs concernés mentionnés aux annexes I et II.
	Les entités essentielles et importantes notifient toute modification des informations qu’elles ont communiquées conformément au premier alinéa sans retard et, en tout état de cause, dans un délai de deux semaines à compter de la date à laquelle la modification prend effet. À cette fin, la Commission, avec l’aide de l’ENISA, publie dans les meilleurs délais des lignes directrices et des modèles concernant les obligations énoncées dans le présent paragraphe.

Amendement 87

Proposition de directive

Article 2 – paragraphe 2 quater (nouveau)


Texte proposé par la Commission	Amendement
	2 quater. Au plus tard le... [6 mois après le délai de transposition] et tous les deux ans par la suite, les États membres notifient:
	a) à la Commission et au groupe de coopération, le nombre de toutes les entités essentielles et importantes recensées pour chaque secteur et sous-secteur mentionné aux annexes I et II, et
	b) à la Commission, les noms des entités identifiées conformément au paragraphe 2, points b) à f).

Amendement 88

Proposition de directive

Article 2 – paragraphe 4


Texte proposé par la Commission	Amendement
4. La présente directive est sans préjudice de la directive 2008/114/CE30 du Conseil et des directives du Parlement européen et du Conseil 2011/93/UE31 et 2013/40/UE32.	4. La présente directive est sans préjudice de la directive 2008/114/CE30 du Conseil et des directives du Parlement européen et du Conseil 2011/93/UE31, 2013/40/UE32 et 2002/58/CE32a.
__________________	__________________
30 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75).	30 Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75).
31 Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).	31 Directive 2011/93/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil (JO L 335 du 17.12.2011, p. 1).
32 Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).	32 Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8).
	32a Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37).

Amendement 89

Proposition de directive

Article 2 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes soit d’adopter des mesures de gestion des risques en matière de cybersécurité, soit de notifier des incidents ou des cybermenaces importantes, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables.	6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables. La Commission publie dans les meilleurs délais des lignes directrices concernant la mise en œuvre des dispositions de réglementations sectorielles du droit de l’Union pour veiller à ce que les exigences de cybersécurité établies par la présente directive soient satisfaites par ces dispositions et à ce qu’il n’y ait pas de chevauchement ou d'insécurité juridique. Lors de la préparation de ces lignes directrices, la Commission tient compte des meilleures pratiques et de l’expertise de l’ENISA et du groupe de coopération.

Amendement 90

Proposition de directive

Article 2 – paragraphe 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Les entités essentielles et importantes, les CSIRT et les fournisseurs de technologies et de services de sécurité traitent des données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de la cybersécurité et de la sécurité des réseaux et de l’information, pour satisfaire aux obligations énoncées dans la présente directive. Ce traitement de données à caractère personnel au titre de la présente directive est effectué conformément au règlement (UE) 2016/679, et notamment à son article 6.

Amendement 91

Proposition de directive

Article 2 – paragraphe 6 ter (nouveau)


Texte proposé par la Commission	Amendement
	6 ter. Le traitement des données à caractère personnel en vertu de la présente directive, des fournisseurs de réseaux de communications électroniques publics ou des fournisseurs de communications électroniques accessibles au public visés à l’annexe I, point 8, est effectué conformément à la directive 2002/58/CE.

Amendement 92

Proposition de directive

Article 4 – alinéa 1 – point 4 bis (nouveau)


Texte proposé par la Commission	Amendement
	(4 bis) «incident évité», un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données, ou aurait pu causer un préjudice, mais qu’il a été possible d’empêcher de produire ses effets négatifs;

Amendement 93

Proposition de directive

Article 4 – alinéa 1 – point 6


Texte proposé par la Commission	Amendement
(6) «traitement des incidents», toutes les actions et procédures visant à détecter, analyser et contenir un incident et à y répondre;	(6) «traitement des incidents», toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident et à y répondre;

Amendement 94

Proposition de directive

Article 4 – alinéa 1 – point 7 bis (nouveau)


Texte proposé par la Commission	Amendement
	(7 bis) «risque», le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise;

Amendement 95

Proposition de directive

Article 4 – alinéa 1 – point 11


Texte proposé par la Commission	Amendement
(11) «spécification technique», une spécification technique au sens de l’article 2, point 4), du règlement (UE) nº 1025/2012;	(11) «Spécification technique», une spécification technique au sens de l'article 2, point 20), du règlement (UE) n° 2019/881;

Amendement 96

Proposition de directive

Article 4 – alinéa 1 – point 13


Texte proposé par la Commission	Amendement
(13) «système de noms de domaines (DNS)», un système hiérarchique et distribué d’affectation de noms qui permet aux utilisateurs finaux d’accéder à des services et à des ressources sur l’internet;	(13) «système de noms de domaines (DNS)», un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, en autorisant les dispositifs des utilisateurs finaux à utiliser les services de routage et de connectivité internet pour accéder à ces services et ressources;

Amendement 97

Proposition de directive

Article 4 – alinéa 1 – point 14


Texte proposé par la Commission	Amendement
(14) «fournisseur de services DNS» une entité qui fournit des services de résolution de noms de domaines récursifs ou faisant autorité aux utilisateurs finaux de l’internet et à d’autres fournisseurs de services DNS;	(14) «fournisseur de services DNS», une entité qui fournit:

Amendement 98

Proposition de directive

Article 4 – alinéa 1 – point 14 – point a (nouveau)


Texte proposé par la Commission	Amendement
	a) des services de résolution de noms de domaines récursifs ouverts et publics aux utilisateurs finaux de l’internet; ou

Amendement 99

Proposition de directive

Article 4 – alinéa 1 – point 14 – point b (nouveau)


Texte proposé par la Commission	Amendement
	b) des services de résolution de noms de domaines faisant autorité en tant que service procurable par des entités tierces;

Amendement 100

Proposition de directive

Article 4 – alinéa 1 – point 15


Texte proposé par la Commission	Amendement
(15) «registre de noms de domaines de premier niveau», une entité à laquelle un registre de noms de domaines de premier niveau spécifique a été délégué et qui est responsable de l’administration du registre de noms de domaines de premier niveau, y compris de l’enregistrement des noms de domaines sous le registre de noms de domaines de premier niveau et du fonctionnement technique du registre de noms de domaines de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du registre de noms de domaines de premier niveau sur les serveurs de noms;	(15) «registre de noms de domaines de premier niveau», une entité à laquelle un registre de noms de domaines de premier niveau spécifique a été délégué et qui est responsable de l’administration du registre de noms de domaines de premier niveau, y compris de l’enregistrement des noms de domaines sous le registre de noms de domaines de premier niveau et du fonctionnement technique du registre de noms de domaines de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du registre de noms de domaines de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité ou qu’elles soient sous-traitées;

Amendement 101

Proposition de directive

Article 4 – alinéa 1 – point 15 bis (nouveau)


Texte proposé par la Commission	Amendement
	(15 bis) «services d’enregistrement des noms de domaines», les services fournis par les registres et les bureaux d’enregistrement des noms de domaines, les fournisseurs de services d’anonymisation et de services d’enregistrement fiduciaire, les courtiers ou les revendeurs de domaines, et tout autre service lié à l’enregistrement des noms de domaines;

Amendement 102

Proposition de directive

Article 4 – alinéa 1 – point 23 bis (nouveau)


Texte proposé par la Commission	Amendement
	(23 bis) «réseau de communications électroniques public», un réseau de communications électroniques public au sens de l’article 8, point 2), de la directive (UE) 2018/1972;

Amendement 103

Proposition de directive

Article 4 – alinéa 1 – point 23 ter (nouveau)


Texte proposé par la Commission	Amendement
	(23 ter) «service de communications électroniques», un service de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972;

Amendement 104

Proposition de directive

Article 5 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:	1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques, les ressources techniques, organisationnelles et financières requises pour atteindre ces objectifs, ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:

Amendement 105

Proposition de directive

Article 5 – paragraphe 1 – point a


Texte proposé par la Commission	Amendement
a) une définition des objectifs et des priorités de la stratégie des États membres en matière de cybersécurité;	a) une définition des objectifs et des priorités de la stratégie de l’État membre en matière de cybersécurité;

Amendement 106

Proposition de directive

Article 5 – paragraphe 1 – point b


Texte proposé par la Commission	Amendement
b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2 ainsi que les rôles et responsabilités des organismes et entités publics ainsi que des autres acteurs concernés;	b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2;

Amendement 107

Proposition de directive

Article 5 – paragraphe 1 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) un cadre pour la répartition des rôles et des responsabilités des organismes et entités publics ainsi que des autres acteurs concernés, qui sous-tend la coopération et la coordination, au niveau national, entre les autorités compétentes désignées en vertu de l’article 7, paragraphe 1, et de l’article 8, paragraphe 1, le point de contact unique désigné en vertu de l’article 8, paragraphe 3, et les CSIRT désignés en vertu de l’article 9;

Amendement 108

Proposition de directive

Article 5 – paragraphe 1 – point e


Texte proposé par la Commission	Amendement
e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité;	e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité, y compris un point de contact unique en matière de cybersécurité pour les PME qui apporte un soutien à la mise en œuvre des mesures de cybersécurité spécifiques;

Amendement 109

Proposition de directive

Article 5 – paragraphe 1 – point f


Texte proposé par la Commission	Amendement
f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil [directive sur la résilience des entités critiques] aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.	f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil38 [directive sur la résilience des entités critiques], à la fois dans et entre les États membres, aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.
__________________	__________________
38 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	38 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 110

Proposition de directive

Article 5 – paragraphe 1 – point f bis (nouveau)


Texte proposé par la Commission	Amendement
	f bis) une évaluation du niveau général de sensibilisation des citoyens à la cybersécurité.

Amendement 111

Proposition de directive

Article 5 – paragraphe 2 – point -a (nouveau)


Texte proposé par la Commission	Amendement
	-a) une politique en matière de cybersécurité pour chaque secteur couvert par la présente directive;

Amendement 112

Proposition de directive

Article 5 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics;	b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris les prescriptions relatives au cryptage et l’utilisation de produits de cybersécurité à code source ouvert;

Amendement 113

Proposition de directive

Article 5 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert;	d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert, y compris la cybersécurité des câbles de communications sous-marins;

Amendement 114

Proposition de directive

Article 5 – paragraphe 2 – point d bis (nouveau)


Texte proposé par la Commission	Amendement
	d bis) une politique visant à promouvoir et à soutenir le développement et l’intégration de technologies émergentes, telles que l’intelligence artificielle, dans les outils et applications de renforcement de la cybersécurité;

Amendement 115

Proposition de directive

Article 5 – paragraphe 2 – point d ter (nouveau)


Texte proposé par la Commission	Amendement
	d ter) une politique de promotion de l’intégration des outils et applications à code source ouvert;

Amendement 116

Proposition de directive

Article 5 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) une politique de soutien aux institutions universitaires et de recherche visant à développer des outils de cybersécurité et à sécuriser les infrastructures de réseau;	f) une politique de soutien aux institutions universitaires et de recherche visant à développer, améliorer et déployer des outils de cybersécurité et à sécuriser les infrastructures de réseau;

Amendement 117

Proposition de directive

Article 5 – paragraphe 2 – point h


Texte proposé par la Commission	Amendement
h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.	h) une politique de promotion de la cybersécurité pour les PME, y compris celles qui sont exclues du champ d’application de la présente directive, répondant à leurs besoins spécifiques et fournissant une orientation et un soutien facilement accessibles, y compris des lignes directrices portant sur les problèmes liés à la chaîne d’approvisionnement qu’elles rencontrent.

Amendement 118

Proposition de directive

Article 5 – paragraphe 2 – point h bis (nouveau)


Texte proposé par la Commission	Amendement
	h bis) une politique de promotion de l’hygiène informatique qui comprend un ensemble de pratiques et de contrôles de base et augmente la sensibilisation générale des citoyens aux menaces et aux meilleures pratiques en matière de cybersécurité;

Amendement 119

Proposition de directive

Article 5 – paragraphe 2 – point h ter (nouveau)


Texte proposé par la Commission	Amendement
	h ter) une politique de promotion de la cyberdéfense active.

Amendement 120

Proposition de directive

Article 5 – paragraphe 2 – point h quater (nouveau)


Texte proposé par la Commission	Amendement
	h quater) une politique pour aider les autorités à développer des compétences et à mieux comprendre les aspects de sécurité nécessaires pour concevoir, construire et gérer des lieux connectés;

Amendement 121

Proposition de directive

Article 5 – paragraphe 2 – point h quinquies (nouveau)


Texte proposé par la Commission	Amendement
	h quinquies) une politique traitant spécifiquement de la menace des logiciels rançonneurs et s’efforçant de désorganiser le modèle économique de ces derniers;

Amendement 122

Proposition de directive

Article 5 – paragraphe 2 – point h sexies (nouveau)


Texte proposé par la Commission	Amendement
	h sexies) une politique, comprenant des procédures et des cadres de gouvernance pertinents, pour soutenir et promouvoir la mise en place de partenariats public-privé en matière de cybersécurité.

Amendement 123

Proposition de directive

Article 5 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres notifient leurs stratégies nationales en matière de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure certaines informations de la notification lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.	3. Les États membres notifient leurs stratégies nationales en matière de cybersécurité à la Commission dans les trois mois suivant leur adoption. Les États membres peuvent exclure certaines informations de la notification lorsque et dans la mesure où cela est nécessaire pour préserver la sécurité nationale.

Amendement 124

Proposition de directive

Article 5 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie.	4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie. L’ENISA fournit des conseils aux États membres afin d’aligner les stratégies nationales de cybersécurité qu’ils ont déjà formulées sur les exigences et les obligations énoncées dans la présente directive.

Amendement 125

Proposition de directive

Article 6 – titre


Texte proposé par la Commission	Amendement
Divulgation coordonnée des vulnérabilités et registre européen des vulnérabilités	Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités

Amendement 126

Proposition de directive

Article 6 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, si nécessaire, les interactions entre l’entité effectuant le signalement et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.	1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, à la demande de l’entité effectuant le signalement, les interactions entre celle-ci et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.

Amendement 127

Proposition de directive

Article 6 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.	2. L’ENISA élabore et tient à jour une base de données européenne des vulnérabilités qui exploite le registre mondial Common Vulnerabilities and Exposures (CVE). À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés, et adopte les mesures techniques et organisationnelles nécessaires pour assurer la sécurité et l’intégrité de la base de données, en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information, ainsi qu’aux entités qui ne relèvent pas du champ d’application de la présente directive, et à leurs fournisseurs, de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC. Toutes les parties intéressées ont accès aux informations sur les vulnérabilités contenues dans la base de données pour lesquelles on dispose de correctifs ou de mesures d’atténuation. La base de données comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants. En l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits TIC et services TIC vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués sont consignées dans la base de données.

Amendement 128

Proposition de directive

Article 7 – paragraphe 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	1 bis. Lorsqu’un État membre désigne plus d’une autorité compétente visée au paragraphe 1, il indique clairement laquelle de ces autorités compétentes servira de coordinateur pour la gestion des incidents et des crises de grande ampleur.

Amendement 129

Proposition de directive

Article 7 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise aux fins de la présente directive.	2. Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés dans le cas d’une crise aux fins de la présente directive.

Amendement 130

Proposition de directive

Article 7 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.	4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent au réseau CyCLONe leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.

Amendement 131

Proposition de directive

Article 8 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Chaque État membre désigne un point de contact national unique en matière de sécurité (ci-après dénommé «point de contact unique»). Lorsqu’un État membre désigne une seule autorité compétente, cette dernière fait aussi fonction de point de contact unique dudit État membre.	3. Chaque État membre désigne l’une des autorités compétentes visées au paragraphe 1 comme point de contact national unique en matière de sécurité (ci-après dénommé «point de contact unique»). Lorsqu’un État membre désigne une seule autorité compétente, cette dernière fait aussi fonction de point de contact unique dudit État membre.

Amendement 132

Proposition de directive

Article 8 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontalière des autorités de son État membre avec les autorités compétentes des autres États membres, ainsi que pour garantir la coopération intersectorielle avec les autres autorités nationales compétentes de son État membre.	4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontalière des autorités de son État membre avec les autorités compétentes des autres États membres, la Commission et l’ENISA, ainsi que pour garantir la coopération intersectorielle avec les autres autorités nationales compétentes de son État membre.

Amendement 133

Proposition de directive

Article 9 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes pour pouvoir s’acquitter efficacement de ses tâches énumérées à l’article 10, paragraphe 2.	2. Les États membres veillent à ce que chaque CSIRT dispose de ressources suffisantes et des capacités techniques nécessaires pour pouvoir s’acquitter efficacement de ses tâches énumérées à l’article 10, paragraphe 2.

Amendement 134

Proposition de directive

Article 9 – paragraphe 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Les États membres garantissent la possibilité d’un échange d’informations efficace, efficient et sécurisé à tous les niveaux de classification entre leurs propres CSIRT et les CSIRT de pays tiers au même niveau de classification.

Amendement 135

Proposition de directive

Article 9 – paragraphe 6 ter (nouveau)


Texte proposé par la Commission	Amendement
	6 ter. Sans préjudice du droit de l’Union, en particulier du règlement (UE) 2016/679, les CSIRT coopèrent avec les CSIRT ou organismes équivalents dans les pays candidats et autres pays tiers des Balkans occidentaux et du partenariat oriental et, si possible, leur apportent une assistance en matière de cybersécurité.

Amendement 136

Proposition de directive

Article 9 – paragraphe 7


Texte proposé par la Commission	Amendement
7. Les États membres communiquent dans les meilleurs délais à la Commission les CSIRT désignés conformément au paragraphe 1, le coordinateur des CSIRT désigné conformément à l’article 6, paragraphe 1, et leurs tâches respectives prévues en ce qui concerne les entités visées aux annexes I et II.	7. Les États membres communiquent dans les meilleurs délais à la Commission les CSIRT désignés conformément au paragraphe 1 et le coordinateur des CSIRT désigné conformément à l’article 6, paragraphe 1, avec leurs tâches respectives prévues en ce qui concerne les entités essentielles et importantes.

Amendement 137

Proposition de directive

Article 10 – titre


Texte proposé par la Commission	Amendement
Obligations et tâches des CSIRT	Obligations, capacités techniques et tâches des CSIRT

Amendement 138

Proposition de directive

Article 10 – paragraphe 1 – point c


Texte proposé par la Commission	Amendement
c) les CSIRT sont dotés d’un système approprié de gestion et de routage des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;	c) les CSIRT sont dotés d’un système approprié de classification, de routage et de suivi des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;

Amendement 139

Proposition de directive

Article 10 – paragraphe 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) Les CSIRT mettent en place des codes de conduite appropriés pour garantir la confidentialité et la fiabilité de leurs opérations;

Amendement 140

Proposition de directive

Article 10 – paragraphe 1 – point d


Texte proposé par la Commission	Amendement
d) les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente;	d) les CSIRT sont dotés des effectifs adéquats afin de pouvoir garantir une disponibilité permanente et des cadres de formation appropriés de leurs effectifs;

Amendement 141

Proposition de directive

Article 10 – paragraphe 1 – point e


Texte proposé par la Commission	Amendement
e) les CSIRT doivent être dotés de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de leurs services;	e) les CSIRT doivent être dotés de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de leurs services, y compris une large connectivité sur l’ensemble des réseaux, des systèmes d’information, des services et des dispositifs;

Amendement 142

Proposition de directive

Article 10 – paragraphe 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	1 bis. Les CSIRT développent au moins les capacités techniques suivantes:
	a) la capacité à mener une surveillance en temps réel ou quasi-réel des réseaux et des systèmes d’information, et à détecter les anomalies;
	b) la capacité à soutenir la prévention et la détection des intrusions;
	c) la capacité à collecter des données de police scientifique et à réaliser une analyse complexe de ces dernières, ainsi qu’à effectuer une rétro-ingénierie des cybermenaces;
	d) la capacité à filtrer le trafic malveillant;
	e) la capacité à mettre en œuvre une authentification poussée et des privilèges et contrôles d’accès forts; et
	f) la capacité à analyser les cybermenaces.

Amendement 143

Proposition de directive

Article 10 – paragraphe 2 – point a


Texte proposé par la Commission	Amendement
a) la surveillance des cybermenaces, des vulnérabilités et des incidents au niveau national;	a) la surveillance des cybermenaces, des vulnérabilités et des incidents au niveau national et l’acquisition de renseignements sur les menaces en temps réel;

Amendement 144

Proposition de directive

Article 10 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) l’activation du mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes ainsi qu’auprès des autres parties intéressées;	b) l’activation du mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes ainsi qu’auprès des autres parties intéressées, si possible en temps quasi-réel;

Amendement 145

Proposition de directive

Article 10 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) la réaction aux incidents;	c) la réaction aux incidents et l’assistance aux entités concernées;

Amendement 146

Proposition de directive

Article 10 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) la réalisation, à la demande d’une entité, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;	e) la réalisation, à la demande d’une entité ou en cas de menace grave pour la sécurité nationale, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;

Amendement 147

Proposition de directive

Article 10 – paragraphe 2 – point f bis (nouveau)


Texte proposé par la Commission	Amendement
	f bis) la réalisation, à la demande d’une entité, l’activation et la configuration de la journalisation de réseau afin de protéger les données, y compris les données à caractère personnel, contre l’exfiltration non autorisée;

Amendement 148

Proposition de directive

Article 10 – paragraphe 2 – point f ter (nouveau)


Texte proposé par la Commission	Amendement
	f ter) la contribution au déploiement d’outils de partage d’informations sécurisés conformément à l’article 9, paragraphe 3.

Amendement 149

Proposition de directive

Article 10 – paragraphe 4 – partie introductive


Texte proposé par la Commission	Amendement
4. Afin de faciliter la coopération, les CSIRT encouragent l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne	4. Afin de faciliter la coopération, les CSIRT encouragent l’automatisation de l’échange d’informations, l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne

Amendement 150

Proposition de directive

Article 11 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que leurs autorités compétentes ou leurs CSIRT reçoivent des notifications relatives aux incidents, aux cybermenaces importantes et quasi-accidents, soumises en application de la présente directive. Lorsqu’un État membre décide que ses CSIRT ne reçoivent pas ces notifications, ils se voient accorder, dans la mesure nécessaire à l’accomplissement de leurs tâches, un accès aux données relatives aux incidents notifiés par les entités essentielles ou importantes conformément à l’article 20.	2. Les États membres veillent à ce que leurs CSIRT reçoivent des notifications relatives aux incidents significatifs, conformément à l’article 20, et aux cybermenaces et incidents évités conformément à l’article 27 par l’intermédiaire du point d’entrée unique visé à l’article 20, paragraphe 4 bis.

Amendement 151

Proposition de directive

Article 11 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.	4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes, les points de contact uniques, les CSIRT, les services répressifs, les autorités nationales de réglementation ou les autres autorités compétentes responsables des réseaux de communications électroniques publics ou des services de communications électroniques accessibles au public conformément à la directive (UE) 2018/1972, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre, conformément à leurs compétences respectives.
__________________	__________________
39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]	39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]

Amendement 152

Proposition de directive

Article 11 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement des informations aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.	5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement des informations en temps utile aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.

Amendement 153

Proposition de directive

Article 12 – paragraphe 3 – alinéa 1


Texte proposé par la Commission	Amendement
Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.	Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le Parlement européen et le service européen pour l’action extérieure participent aux activités du groupe de coopération en qualité d’observateurs. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.

Amendement 154

Proposition de directive

Article 12 – paragraphe 3 – alinéa 2


Texte proposé par la Commission	Amendement
Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés à participer à ses travaux.	Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés, comme le comité européen de la protection des données et des représentants de l’industrie, à participer à ses travaux.

Amendement 155

Proposition de directive

Article 12 – paragraphe 4 – point b


Texte proposé par la Commission	Amendement
b) l’échange des meilleures pratiques et d’informations relatives à la mise en œuvre de la présente directive, notamment en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les quasi-accidents, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités ainsi que les normes et les spécifications techniques;	b) l’échange des meilleures pratiques et d’informations relatives à la mise en œuvre de la présente directive, notamment en ce qui concerne les cybermenaces, les incidents, les vulnérabilités, les quasi-accidents, les initiatives de sensibilisation, les formations, les exercices et les compétences, le renforcement des capacités, les normes et les spécifications techniques ainsi que le recensement des entités essentielles et importantes;

Amendement 156

Proposition de directive

Article 12 – paragraphe 4 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) le recensement des solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique dans l’ensemble de l’Union;

Amendement 157

Proposition de directive

Article 12 – paragraphe 4 – point c


Texte proposé par la Commission	Amendement
c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité;	c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité et la cohérence globale des exigences sectorielles en matière de cybersécurité;

Amendement 158

Proposition de directive

Article 12 – paragraphe 4 – point f


Texte proposé par la Commission	Amendement
f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7;	f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7, et l’élaboration de conclusions et de recommandations;

Amendement 159

Proposition de directive

Article 12 – paragraphe 4 – point f bis (nouveau)


Texte proposé par la Commission	Amendement
	f bis) la réalisation d’évaluations coordonnées des risques de sécurité qui peuvent être mises en chantier en vertu de l’article 19, paragraphe 1, en coopération avec la Commission et l’ENISA;

Amendement 160

Proposition de directive

Article 12 – paragraphe 4 – point k bis (nouveau)


Texte proposé par la Commission	Amendement
	k bis) la présentation à la Commission, aux fins de la révision visée à l’article 35, de rapports sur l’expérience acquise aux niveaux stratégique et opérationnel;

Amendement 161

Proposition de directive

Article 12 – paragraphe 4 – point k ter (nouveau)


Texte proposé par la Commission	Amendement
	k ter) la présentation d’une évaluation annuelle, en coopération avec l’ENISA, Europol et les institutions répressives nationales, sur les pays tiers qui abritent des criminels exploitant des logiciels rançonneurs.

Amendement 162

Proposition de directive

Article 12 – paragraphe 8


Texte proposé par la Commission	Amendement
8. Le groupe de coopération se réunit régulièrement et au moins une fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de promouvoir la coopération stratégique et l’échange d’informations.	8. Le groupe de coopération se réunit régulièrement et au moins deux fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de faciliter la coopération stratégique et l’échange d’informations.

Amendement 163

Proposition de directive

Article 13 – paragraphe 3 – point a bis (nouveau)


Texte proposé par la Commission	Amendement
	a bis) la facilitation du partage et du transfert de technologies et de mesures, politiques, meilleures pratiques et cadres pertinents entre les CSIRT;

Amendement 164

Proposition de directive

Article 13 – paragraphe 3 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) l’assurance de l’interopérabilité en ce qui concerne les normes de partage d’informations;

Amendement 165

Proposition de directive

Article 14 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents et crises de grande ampleur en matière de cybersécurité, et de garantir l’échange régulier d’informations entre les États membres et les institutions, organes et agences de l’Union, le réseau européen pour la préparation et la gestion des crises cyber par les États membres (UE-CyCLONe – Cyber Crisis Liaison Organisation Network) est institué.	1. Afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents et crises de grande ampleur en matière de cybersécurité, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et agences de l’Union, le réseau européen pour la préparation et la gestion des crises cyber par les États membres (UE-CyCLONe – Cyber Crisis Liaison Organisation Network) est institué.

Amendement 166

Proposition de directive

Article 14 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations.	2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau UE-CyCLONe et soutient l’échange sécurisé d’informations.

Amendement 167

Proposition de directive

Article 14 – paragraphe 5


Texte proposé par la Commission	Amendement
5. UE-CyCLONe rend régulièrement compte au groupe de coopération des cybermenaces ainsi que des incidents et tendances en matière de cybersécurité, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes.	5. UE-CyCLONe rend régulièrement compte au groupe de coopération des crises et des incidents majeurs, ainsi que des tendances, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes.

Amendement 168

Proposition de directive

Article 15 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union. Le rapport comporte notamment une évaluation des éléments suivants:	1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union et le soumet et le présente au Parlement européen. Le rapport est publié dans un format lisible par machine et comporte notamment une évaluation des éléments suivants:

Amendement 169

Proposition de directive

Article 15 – paragraphe 1 – point a bis (nouveau)


Texte proposé par la Commission	Amendement
	a bis) le niveau général de sensibilisation et d’hygiène en matière de cybersécurité parmi les citoyens et les entités, y compris les PME, ainsi que le niveau général de sécurité des dispositifs connectés;

Amendement 170

Proposition de directive

Article 15 – paragraphe 1 – point c


Texte proposé par la Commission	Amendement
c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité.	c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité à travers l’Union, y compris l’alignement des stratégies de cybersécurité nationales des États membres;

Amendement 171

Proposition de directive

Article 15 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le rapport comprend des recommandations politiques spécifiques visant à accroître le niveau de cybersécurité dans l’Union ainsi qu’un résumé des conclusions pour la période concernée des rapports de situation technique de l’Agence de l’UE sur la cybersécurité, publiés par l’ENISA conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.	2. Le rapport comprend un recensement des obstacles et des recommandations politiques spécifiques visant à accroître le niveau de cybersécurité dans l’Union ainsi qu’un résumé des conclusions pour la période concernée des rapports de situation technique de l’Agence de l’UE sur la cybersécurité, publiés par l’ENISA conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.

Amendement 172

Proposition de directive

Article 15 – paragraphe 2 bis (nouveau)


Texte proposé par la Commission	Amendement
	2 bis. L’ENISA, en coopération avec la Commission et grâce aux conseils du groupe de coopération et du réseau des CSIRT, prépare la méthodologie, y compris les variables pertinentes de l’indice de cybersécurité visé au paragraphe 1, point c).

Amendement 173

Proposition de directive

Article 16 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard 18 mois après l’entrée en vigueur de la présente directive, la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations sont effectuées par des experts techniques en cybersécurité provenant d’États membres différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:	1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard ... [18 mois après l’entrée en vigueur de la présente directive], la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations par les pairs sont effectuées en concertation avec l’ENISA par des experts techniques en cybersécurité provenant d’au moins deux États membres différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:

Amendement 174

Proposition de directive

Article 16 – paragraphe 1 – point iii


Texte proposé par la Commission	Amendement
iii) les capacités opérationnelles et l’efficacité des CSIRT;	iii) les capacités opérationnelles et l’efficacité des CSIRT dans l’exécution de leurs tâches;

Amendement 175

Proposition de directive

Article 16 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les aspects organisationnels des évaluations par les pairs sont décidés par la Commission, avec le soutien de l’ENISA, et, après consultation du groupe de coopération, sont fondés sur les critères définis dans la méthodologie visée au paragraphe 1. Les évaluations par les pairs portent sur les aspects visés au paragraphe 1 pour tous les États membres et secteurs, y compris sur des questions ciblées propres à un ou plusieurs États membres ou à un ou plusieurs secteurs.	3. Les aspects organisationnels des évaluations par les pairs sont décidés par la Commission, avec le soutien de l’ENISA, et, après consultation du groupe de coopération, sont fondés sur les critères définis dans la méthodologie visée au paragraphe 1. Les évaluations par les pairs portent sur les aspects visés au paragraphe 1 pour tous les États membres et secteurs, y compris sur des questions ciblées propres à un ou plusieurs États membres ou à un ou plusieurs secteurs. Les experts désignés qui procèdent à l’évaluation communiquent ces questions ciblées à l’État membre faisant l’objet de l’évaluation par les pairs, avant le début de celle-ci.

Amendement 176

Proposition de directive

Article 16 – paragraphe 3 bis (nouveau)


Texte proposé par la Commission	Amendement
	3 bis. Avant le début de la procédure d’évaluation par les pairs, l’État membre qui en fait l’objet procède à une auto-évaluation des aspects évalués et fournit celle-ci aux experts désignés.

Amendement 177

Proposition de directive

Article 16 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les évaluations par les pairs comportent des visites sur place physiques ou virtuelles et des échanges hors site. Compte tenu du principe de bonne coopération, les États membres faisant l’objet de l’évaluation fournissent aux experts désignés les informations demandées qui sont nécessaires à l’évaluation des aspects examinés. Toute information obtenue durant le processus d’évaluation par les pairs n’est utilisée qu’à cet effet. Les experts participant à l’évaluation par les pairs ne divulguent à aucun tiers les informations sensibles ou confidentielles obtenues au cours de cette évaluation.	4. Les évaluations par les pairs comportent des visites sur place physiques ou virtuelles et des échanges hors site. Compte tenu du principe de bonne coopération, les États membres faisant l’objet de l’évaluation fournissent aux experts désignés les informations demandées qui sont nécessaires à l’évaluation des aspects examinés. La Commission, en coopération avec l’ENISA, élabore des codes de conduite appropriés qui sous-tendent les méthodes de travail des experts désignés. Toute information obtenue durant le processus d’évaluation par les pairs n’est utilisée qu’à cet effet. Les experts participant à l’évaluation par les pairs ne divulguent à aucun tiers les informations sensibles ou confidentielles obtenues au cours de cette évaluation.

Amendement 178

Proposition de directive

Article 16 – paragraphe 6


Texte proposé par la Commission	Amendement
6. L’État membre veille à ce que tout risque de conflit d’intérêts concernant les experts désignés soit révélé aux autres États membres, à la Commission et à l’ENISA dans les meilleurs délais.	6. L’État membre veille à ce que tout risque de conflit d’intérêts concernant les experts désignés soit révélé aux autres États membres, à la Commission et à l’ENISA, avant le début de la procédure d’évaluation par les pairs.

Amendement 179

Proposition de directive

Article 16 – paragraphe 7


Texte proposé par la Commission	Amendement
7. Les experts participant aux évaluations par les pairs rédigent des rapports sur les résultats et les conclusions des évaluations. Les rapports sont soumis à la Commission, au groupe de coopération, au réseau des CSIRT et à l’ENISA. Les rapports sont débattus au sein du groupe de coopération et du réseau des CSIRT. Ces rapports peuvent être publiés sur le site internet dédié du groupe de coopération.	7. Les experts participant aux évaluations par les pairs rédigent des rapports sur les résultats et les conclusions des évaluations. Les rapports contiennent des recommandations qui permettent des améliorations en ce qui concerne les aspects couverts par la procédure d’évaluation par les pairs. Les rapports sont soumis à la Commission, au groupe de coopération, au réseau des CSIRT et à l’ENISA. Les rapports sont débattus au sein du groupe de coopération et du réseau des CSIRT. Ces rapports peuvent être publiés sur le site internet dédié du groupe de coopération, à l’exclusion des informations sensibles et confidentielles.

Amendement 180

Proposition de directive

Article 17 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les membres de l’organe de direction suivent régulièrement des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques et les pratiques de gestion en matière de cybersécurité et leur incidence sur les activités de l’entité.	2. Les États membres veillent à ce que les membres de l’organe de direction des entités essentielles et importantes suivent une formation spécifique et encouragent les entités essentielles et importantes à offrir une formation similaire à tout le personnel, de façon régulière, afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques et les pratiques de gestion en matière de cybersécurité et leur incidence sur les services fournis par l’entité.

Amendement 181

Proposition de directive

Article 18 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de la fourniture de leurs services. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances.	1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ou pour éliminer ou réduire au minimum l’impact des incidents sur les destinataires de leurs services et sur d’autres services. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances et des normes européennes ou internationales.

Amendement 182

Proposition de directive

Article 18 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) la gestion des incidents (prévention, détection et réaction aux incidents);	b) la gestion des incidents;

Amendement 183

Proposition de directive

Article 18 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) la continuité des activités et la gestion des crises;	c) la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;

Amendement 184

Proposition de directive

Article 18 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services tels que les fournisseurs de services de stockage et de traitement des données ou de services de sécurité gérés;	d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services;

Amendement 185

Proposition de directive

Article 18 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) des politiques et des procédures (tests et audits) pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;	f) des politiques et des procédures (formation, tests et audits) pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;

Amendement 186

Proposition de directive

Article 18 – paragraphe 2 – point f bis (nouveau)


Texte proposé par la Commission	Amendement
	f bis) les pratiques de base en matière d’hygiène informatique et la formation en cybersécurité;

Amendement 187

Proposition de directive

Article 18 – paragraphe 2 – point g


Texte proposé par la Commission	Amendement
g) l’utilisation de la cryptographie et du cryptage.	g) l’utilisation de la cryptographie, comme le cryptage, le cas échéant;

Amendement 188

Proposition de directive

Article 18 – paragraphe 2 – point g bis (nouveau)


Texte proposé par la Commission	Amendement
	g bis) l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, le cas échéant.

Amendement 189

Proposition de directive

Article 18 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres veillent à ce que, lorsqu’une entité constate que ses services ou tâches respectifs ne sont pas conformes aux exigences énoncées au paragraphe 2, elle prenne dans les meilleurs délais toutes les mesures correctives nécessaires pour mettre le service concerné en conformité.	4. Les États membres veillent à ce que, lorsqu’une entité constate que ses services ou tâches respectifs ne sont pas conformes aux exigences énoncées au paragraphe 2, elle prenne dans les meilleurs délais toutes les mesures correctives nécessaires, appropriées et proportionnées pour mettre le service concerné en conformité.

Amendement 190

Proposition de directive

Article 18 – paragraphe 5


Texte proposé par la Commission	Amendement
5. La Commission peut adopter des actes d’exécution afin d’établir les spécifications techniques et méthodologiques des éléments visés au paragraphe 2. Lorsqu’elle prépare ces actes, la Commission procède conformément à la procédure d’examen visée à l’article 37, paragraphe 2, et suit, dans toute la mesure du possible, les normes internationales et européennes, ainsi que les spécifications techniques pertinentes.	supprimé

Amendement 191

Proposition de directive

Article 18 – paragraphe 6


Texte proposé par la Commission	Amendement
6. La Commission est habilitée à adopter des actes délégués conformément à l’article 36 pour compléter les éléments prévus au paragraphe 2 afin de tenir compte des nouvelles cybermenaces, des évolutions technologiques ou des spécificités sectorielles.	6. La Commission est habilitée à adopter des actes délégués, conformément à l’article 36, pour compléter les éléments prévus au paragraphe 2 du présent article afin de tenir compte des nouvelles cybermenaces, des évolutions technologiques ou des spécificités sectorielles, ainsi que pour compléter la présente directive en établissant les spécifications techniques et méthodologiques des mesures visées au paragraphe 2 du présent article.

Amendement 192

Proposition de directive

Article 19 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.	1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC et SIC (système d'information et de communication) critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.

Amendement 193

Proposition de directive

Article 19 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La Commission, après avoir consulté le groupe de coopération et l’ENISA, détermine les services, systèmes ou produits TIC critiques spécifiques qui peuvent faire l’objet de l’évaluation coordonnée des risques visée au paragraphe 1.	2. La Commission, après avoir consulté le groupe de coopération et l’ENISA, et, le cas échéant, les acteurs concernés, détermine les services, systèmes ou produits TIC et SIC critiques spécifiques qui peuvent faire l’objet de l’évaluation coordonnée des risques visée au paragraphe 1.

Amendement 194

Proposition de directive

Article 20 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT conformément aux paragraphes 3 et 4 tout incident ayant une incidence significative sur la fourniture de leurs services. Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services les incidents susceptibles de nuire à la fourniture de ces services. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant aux autorités compétentes ou au CSIRT de déterminer si l’incident a une incidence au niveau transfrontalier.	1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais au CSIRT conformément aux paragraphes 3 et 4 tout incident significatif. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant au CSIRT de déterminer si l’incident a une incidence au niveau transfrontalier.

Amendement 195

Proposition de directive

Article 20 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT toute cybermenace importante que ces entités décèlent et qui aurait pu entraîner un incident significatif.
Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également leurs destinataires de la menace elle-même. La notification n’accroît pas la responsabilité de l’entité qui en est à l’origine.	Le cas échéant, les États membres veillent à ce que les entités essentielles et importantes informent les destinataires de leurs services, dans les meilleurs délais, des mesures de protection ou de correction que les destinataires peuvent prendre à l’égard d’incidents particuliers et de risques connus. Le cas échéant, les entités informent les destinataires de leurs services de l’incident ou du risque connu lui-même. L’information des destinataires s’effectue dans toute la mesure du possible et ne soumet pas l’entité à l’origine du signalement à une responsabilité accrue.

Amendement 196

Proposition de directive

Article 20 – paragraphe 3 – partie introductive


Texte proposé par la Commission	Amendement
3. Un incident est considéré comme «significatif» si:	3. Afin de déterminer l'ampleur de l’incident, il est tenu compte des paramètres suivants, lorsqu’ils sont disponibles:

Amendement 197

Proposition de directive

Article 20 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) l’incident a causé ou est susceptible de causer une perturbation opérationnelle importante ou des pertes financières substantielles pour l’entité concernée;	a) le nombre de destinataires des services affectés par l’incident;

Amendement 198

Proposition de directive

Article 20 – paragraphe 3 – point b


Texte proposé par la Commission	Amendement
b) l’incident a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des pertes matérielles ou non matérielles considérables.	b) la durée de l’incident;

Amendement 199

Proposition de directive

Article 20 – paragraphe 3 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) le périmètre géographique de la zone touchée par l’incident;

Amendement 200

Proposition de directive

Article 20 – paragraphe 3 – point b ter (nouveau)


Texte proposé par la Commission	Amendement
	b ter) la mesure dans laquelle le fonctionnement et la continuité du service sont affectés par l’incident;

Amendement 201

Proposition de directive

Article 20 – paragraphe 3 – point b quater (nouveau)


Texte proposé par la Commission	Amendement
	b quater) l'ampleur de l'impact de l’incident sur les activités économiques et sociétales.

Amendement 202

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – partie introductive


Texte proposé par la Commission	Amendement
Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent aux autorités compétentes ou au CSIRT:	Les États membres veillent à ce que, aux fins de la notification visée au paragraphe 1, les entités concernées soumettent au CSIRT:

Amendement 203

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point a


Texte proposé par la Commission	Amendement
a) sans retard injustifié et en tout cas dans les 24 heures après avoir eu connaissance de l’incident, une première notification qui, le cas échéant, indique si l’incident est vraisemblablement causé par une action illicite ou malveillante;	a) une première notification de l’incident significatif, qui contient les informations dont dispose l’entité à l’origine du signalement, dans toute la mesure du possible, de la manière suivante:

Amendement 204

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point a – sous-point i (nouveau)


Texte proposé par la Commission	Amendement
	i) en ce qui concerne les incidents qui perturbent de manière significative la disponibilité des services fournis par l’entité, le CSIRT en est informé dans les meilleurs délais et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l’incident;

Amendement 205

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point a – sous-point ii (nouveau)


Texte proposé par la Commission	Amendement
	ii) en ce qui concerne les incidents qui ont une incidence significative sur l’entité, autre que la disponibilité des services fournis par celle-ci, le CSIRT en est informé dans les meilleurs délais et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident;

Amendement 206

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point a – sous-point iii (nouveau)


Texte proposé par la Commission	Amendement
	iii) en ce qui concerne les incidents qui ont une incidence significative sur les services d’un prestataire de services de confiance au sens de l’article 3, point (19), du règlement (UE) no 910/2014 ou sur les données à caractère personnel conservées par ce prestataire de services de confiance, le CSIRT en est informé dans les meilleurs délais et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l’incident;

Amendement 207

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point b


Texte proposé par la Commission	Amendement
b) à la demande d’une autorité compétente ou d’un CSIRT, un rapport intermédiaire sur les mises à jour pertinentes de la situation;	b) un rapport intermédiaire sur les mises à jour pertinentes de la situation, à la demande d’un CSIRT;

Amendement 208

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point c – partie introductive


Texte proposé par la Commission	Amendement
c) un rapport final au plus tard un mois après la présentation du rapport visé au point a), comprenant au moins les éléments suivants:	c) un rapport complet au plus tard un mois après la présentation de la première notification, comprenant au moins les éléments suivants:

Amendement 209

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) en cas d’incident toujours en cours au moment de la présentation du rapport complet visé au point c), un rapport final est fourni un mois après que l’incident a été résolu.

Amendement 210

Proposition de directive

Article 20 – paragraphe 4 – alinéa 2


Texte proposé par la Commission	Amendement
Les États membres prévoient que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou le CSIRT, l’entité concernée peut déroger aux délais fixés aux points a) et c).	Les États membres prévoient que, dans des cas dûment justifiés et en accord avec le CSIRT, l’entité concernée peut déroger aux délais fixés aux points a) i) et ii) et au point c). Les États membres garantissent la confidentialité et la protection appropriée des informations sensibles relatives aux incidents partagés avec les CSIRT et adoptent des mesures et des procédures pour le partage et la réutilisation des informations relatives aux incidents.

Amendement 211

Proposition de directive

Article 20 – paragraphe 4 bis (nouveau)


Texte proposé par la Commission	Amendement
	4 bis. Les États membres mettent en place un point d’entrée unique pour toutes les notifications requises en vertu de la présente directive et d’autres actes pertinents de l’Union. L’ENISA, en collaboration avec le groupe de coopération, met au point et améliore en permanence des formulaires de notification communs au moyen de lignes directrices qui permettent de simplifier et de rationaliser les informations de signalement requises par le droit de l’Union et de réduire la charge pesant sur les entités qui effectuent le signalement.

Amendement 212

Proposition de directive

Article 20 – paragraphe 4 ter (nouveau)


Texte proposé par la Commission	Amendement
	4 ter. Les entités essentielles et importantes visées à l’article 24, paragraphe 1, peuvent satisfaire aux exigences du paragraphe 1 du présent article en signalant au CSIRT de l’État membre dans lequel elles ont leur établissement principal dans l’Union, et en signalant aux entités essentielles et importantes auxquelles elles fournissent des services, tout incident significatif dont on sait qu’il a une incidence sur le destinataire des services.

Amendement 213

Proposition de directive

Article 20 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les autorités nationales compétentes ou le CSIRT fournissent, dans les 24 heures suivant la réception de la notification initiale visée au paragraphe 4, point a), une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident et, à la demande de l’entité, des orientations sur la mise en œuvre d’éventuelles mesures d’atténuation. Lorsque le CSIRT n’a pas reçu la notification visée au paragraphe 1, l’orientation est émise par l’autorité compétente en collaboration avec le CSIRT. Le CSIRT fournit un soutien technique supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, les autorités nationales compétentes ou le CSIRT fournissent également des orientations sur les modalités de signalement de l’incident aux autorités répressives.	5. Les autorités nationales compétentes ou le CSIRT fournissent, dans les 24 heures suivant la réception de la notification initiale visée au paragraphe 4, point a), une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident et, à la demande de l’entité, des orientations et des conseils pratiques sur la mise en œuvre d’éventuelles mesures d’atténuation. Le CSIRT fournit un soutien technique supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, le CSIRT fournit également des orientations sur les modalités de signalement de l’incident aux autorités répressives. Le CSIRT peut partager des informations sur l’incident avec d’autres entités importantes et essentielles, tout en garantissant la confidentialité des informations fournies par l’entité à l’origine du signalement.

Amendement 214

Proposition de directive

Article 20 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Lorsque c’est approprié, et notamment si l’incident visé au paragraphe 1 concerne deux États membres ou plus, l’autorité compétente ou le CSIRT informe les autres États membres touchés et l’ENISA de l’incident. Ce faisant, les autorités compétentes, les CSIRT et les points de contact uniques doivent, dans le respect du droit de l’Union ou de la législation nationale conforme au droit de l’Union, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.	6. Lorsque c’est approprié, et notamment si l’incident visé au paragraphe 1 concerne deux États membres ou plus, le CSIRT informe les autres États membres touchés et l’ENISA de l’incident et fournit des informations pertinentes. Ce faisant, les CSIRT et les points de contact uniques doivent, dans le respect du droit de l’Union ou de la législation nationale conforme au droit de l’Union, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.

Amendement 215

Proposition de directive

Article 20 – paragraphe 7


Texte proposé par la Commission	Amendement
7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou pour faire face à un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, l’autorité compétente ou le CSIRT et, le cas échéant, les autorités ou les CSIRT des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident ou exiger de l’entité qu’elle le fasse.	7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou pour faire face à un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, le CSIRT et, le cas échéant, les CSIRT des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident ou exiger de l’entité qu’elle le fasse.

Amendement 216

Proposition de directive

Article 20 – paragraphe 7 bis (nouveau)


Texte proposé par la Commission	Amendement
	7 bis. Les CSIRT fournissent dans les meilleurs délais au point de contact unique et, le cas échéant, aux autorités compétentes, les informations sur les incidents significatifs notifiés conformément au paragraphe 1.

Amendement 217

Proposition de directive

Article 20 – paragraphe 8


Texte proposé par la Commission	Amendement
8. À la demande de l’autorité compétente ou du CSIRT, le point de contact unique transmet les notifications reçues en vertu des paragraphes 1 et 2 aux points de contact uniques des autres États membres touchés.	8. À la demande du CSIRT, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres touchés, tout en assurant la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine du signalement.

Amendement 218

Proposition de directive

Article 20 – paragraphe 9


Texte proposé par la Commission	Amendement
9. Le point de contact unique soumet mensuellement à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents, les cybermenaces majeures et les quasi-accidents notifiés conformément aux paragraphes 1 et 2 et conformément à l’article 27. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut émettre des orientations techniques sur les paramètres des informations incluses dans le rapport de synthèse.	9. Le point de contact unique soumet mensuellement à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents, les cybermenaces majeures et les quasi-accidents notifiés conformément au paragraphe 1 du présent article et à l’article 27. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut émettre des orientations techniques sur les paramètres des informations incluses dans le rapport de synthèse.

Amendement 219

Proposition de directive

Article 20 – paragraphe 10


Texte proposé par la Commission	Amendement
10. Les autorités compétentes fournissent aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] des informations sur les incidents et les cybermenaces notifiés conformément aux paragraphes 1 et 2 par les entités essentielles identifiées comme des entités critiques, ou comme des entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques].	10. Les autorités compétentes fournissent aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] des informations sur les incidents et les cybermenaces notifiés conformément au paragraphe 1 du présent article et à l’article 27 par les entités essentielles identifiées comme des entités critiques, ou comme des entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques].

Amendement 220

Proposition de directive

Article 20 – paragraphe 11


Texte proposé par la Commission	Amendement
11. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure d’une notification présentée en vertu des paragraphes 1 et 2. La Commission peut également adopter des actes d’exécution pour préciser plus en détail les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.	11. La Commission peut adopter des actes d’exécution précisant plus en détail la procédure d’une notification présentée en vertu du paragraphe 1 du présent article et de l’article 27. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.

Amendement 221

Proposition de directive

Article 20 – paragraphe 11 bis (nouveau)


Texte proposé par la Commission	Amendement
	11 bis. La Commission est habilitée à adopter des actes délégués, conformément à l’article 36, pour compléter la présente directive en précisant le type d’informations à soumettre en vertu du paragraphe 1 du présent article et en précisant, en outre, les paramètres à prendre en compte pour déterminer le caractère significatif d’un incident au sens du paragraphe 3 du présent article.

Amendement 222

Proposition de directive

Article 21 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de démontrer la conformité à certaines exigences visées à l’article 18, les États membres peuvent exiger que des entités essentielles et importantes certifient certains produits TIC, services TIC et processus TIC dans le cadre de schémas européens de certification en matière de cybersécurité spécifiques adoptés conformément à l’article 49 du règlement (UE) 2019/881. Les produits, services et processus soumis à la certification peuvent être développés par une entité essentielle ou importante ou achetés à des tiers.	1. Les États membres encouragent, suivant les orientations de l’ENISA, de la Commission et du groupe de coopération, les entités essentielles et importantes à certifier certains produits TIC, services TIC et processus TIC, soit mis au point par l’entité essentielle ou importante, soit acquis auprès de tiers, dans le cadre de schémas européens en matière de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 ou, s’ils ne sont pas encore disponibles, de schémas de certification similaires reconnus au niveau international. En outre, les États membres encouragent les entités essentielles et importantes à utiliser des services de confiance qualifiés conformément au règlement (UE) no 910/2014.

Amendement 223

Proposition de directive

Article 21 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La Commission est habilitée à adopter des actes délégués précisant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques en application du paragraphe 1. Les actes délégués sont adoptés conformément à l’article 36.	2. La Commission est habilitée à adopter des actes délégués, conformément à l’article 36, pour compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes sont tenues d’obtenir un certificat dans le cadre de schémas européens de cybersécurité conformément à l’article 49 du règlement (UE) 2019/881. Ces actes délégués sont envisagés lorsque des niveaux insuffisants de cybersécurité ont été constatés, ils sont précédés d’une analyse d’impact et ils prévoient une période de mise en œuvre.

Amendement 224

Proposition de directive

Article 21 – paragraphe 3


Texte proposé par la Commission	Amendement
3. La Commission peut demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881 dans les cas où il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2.	3. La Commission peut, après consultation du groupe de coopération et du groupe européen de certification de cybersécurité, demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881 dans les cas où il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2.

Amendement 225

Proposition de directive

Article 22 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA, en collaboration avec les États membres, formule des avis et des lignes directrices concernant les domaines techniques qui doivent être pris en considération en lien avec le paragraphe 1, et concernant les normes existantes, y compris les normes nationales des États membres, qui permettraient de couvrir ces domaines.	2. L’ENISA, en collaboration avec les États membres et, le cas échéant, après consultation des acteurs concernés, formule des avis et des lignes directrices concernant les domaines techniques qui doivent être pris en considération en lien avec le paragraphe 1, et concernant les normes existantes, y compris les normes nationales des États membres, qui permettraient de couvrir ces domaines.

Amendement 226

Proposition de directive

Article 22 – paragraphe 3


Texte proposé par la Commission	Amendement
	3. La Commission, en collaboration avec l’ENISA, soutient et promeut l’élaboration et la mise en œuvre de normes établies par les organismes de normalisation de l’Union et internationaux compétents aux fins de la mise en œuvre convergente de l’article 18, paragraphes 1 et 2. La Commission soutient la mise à jour des normes à la lumière de l’évolution technologique.

Amendement 227

Proposition de directive

Article 23 – titre


Texte proposé par la Commission	Amendement
Bases de données des noms de domaines et des données d’enregistrement	Structure de bases de données des noms de domaines et des données d’enregistrement

Amendement 228

Proposition de directive

Article 23 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau collectent et maintiennent les données d’enregistrement de noms de domaines exactes et complètes au sein d’une base de données dédiée avec la diligence requise, sous réserve du droit de l’Union en matière de protection des données à caractère personnel.	1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres exigent que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines collectent et maintiennent les données d’enregistrement de noms de domaines exactes, vérifiées et complètes au sein d’une structure de base de données exploitée à cette fin.

Amendement 229

Proposition de directive

Article 23 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les bases de données relatives à l’enregistrement des noms de domaines visées au paragraphe 1 contiennent des informations pertinentes pour identifier et contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau.	2. Les États membres veillent à ce que la structure de base de données relative à l’enregistrement des noms de domaines visée au paragraphe 1 contienne des informations pertinentes, qui comprennent au moins le nom des titulaires de noms de domaines, leur adresse physique et électronique, ainsi que leur numéro de téléphone, pour identifier et contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau.

Amendement 230

Proposition de directive

Article 23 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau aient mis en place des politiques et des procédures visant à garantir que les bases de données contiennent des informations exactes et complètes. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.	3. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines aient mis en place des politiques et des procédures visant à garantir que la structure de base de données contienne des informations exactes, vérifiées et complètes. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.

Amendement 231

Proposition de directive

Article 23 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau publient, dans les meilleurs délais après l’enregistrement d’un nom de domaine, des données d’enregistrement de domaine qui ne sont pas des données personnelles.	4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines rendent publiques, dans les meilleurs délais après l’enregistrement d’un nom de domaine, les données d’enregistrement de domaine qui ne sont pas des données personnelles. Pour les personnes morales qui sont titulaires de noms de domaines, les données d’enregistrement de domaine mises à la disposition du public comprennent, au minimum, le nom des titulaires de noms de domaines, leur adresse physique et électronique ainsi que leur numéro de téléphone.

Amendement 232

Proposition de directive

Article 23 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau donnent accès aux données spécifiques d’enregistrement de noms de domaines sur demande légitime et dûment justifiée des demandeurs d’accès légitimes, dans le respect du droit de l’Union en matière de protection des données. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau répondent dans les meilleurs délais à toutes les demandes d’accès. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.	5. Les États membres exigent que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines donnent accès aux données spécifiques d’enregistrement de noms de domaines, y compris aux données à caractère personnel, sur demande dûment justifiée des demandeurs d’accès légitimes, dans le respect du droit de l’Union en matière de protection des données. Les États membres exigent que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines répondent dans les meilleurs délais et dans tous les cas dans un délai de 72 heures après réception de la demande d’accès. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.

Amendement 233

Proposition de directive

Article 24 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Aux fins de la présente directive, les entités visées au paragraphe 1 sont réputées avoir leur établissement principal dans l’Union dans l’État membre où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si ces décisions ne sont pas prises dans un quelconque établissement de l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où les entités possèdent un établissement comptant le plus grand nombre de salariés dans l’Union.	2. Aux fins de la présente directive, les entités visées au paragraphe 1 sont réputées avoir leur établissement principal dans l’Union dans l’État membre où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si ces décisions ne sont pas prises dans un quelconque établissement de l’Union, l’établissement principal doit être considéré soit comme se trouvant dans l’État membre où les entités possèdent l’établissement comptant le plus grand nombre de salariés dans l’Union, soit comme étant l’établissement où les opérations de cybersécurité sont menées.

Amendement 234

Proposition de directive

Article 25 – titre


Texte proposé par la Commission	Amendement
Registre des entités essentielles et importantes	Greffe ENISA

Amendement 235

Proposition de directive

Article 25 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA crée et tient un registre des entités essentielles et importantes visées à l’article 24, paragraphe 1. Les entités doivent soumettre les informations suivantes à l’ENISA au plus tard [12 mois après l’entrée en vigueur de la directive]:	1. L’ENISA crée et tient un registre sécurisé des entités essentielles et importantes visées à l’article 24, paragraphe 1, qui inclut les informations suivantes:

Amendement 236

Proposition de directive

Article 25 – paragraphe 1 – point c


Texte proposé par la Commission	Amendement
c) les coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone des entités.	c) les coordonnées actualisées, y compris les adresses de courrier électronique, les plages d’IP, les numéros de téléphone et les secteurs et sous-secteurs concernés des entités mentionnés aux annexes I et II.

Amendement 237

Proposition de directive

Article 25 – paragraphe 1 – alinéa 1 (nouveau)


Texte proposé par la Commission	Amendement
	Au plus tard le ... [12 mois après la date d’entrée en vigueur de la présente directive], les entités essentielles et importantes transmettent les informations visées au premier alinéa à l’ENISA.

Amendement 238

Proposition de directive

Article 26 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. Sans préjudice du règlement (UE) 2016/679, les États membres veillent à ce que les entités essentielles et importantes puissent échanger entre elles des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux vulnérabilités, aux indicateurs de compromission, aux tactiques, techniques et procédures, aux alertes de cybersécurité et aux outils de configuration, lorsque ce partage d’informations:	1. Les États membres veillent à ce que les entités essentielles et importantes et les autres entités concernées ne relevant pas du champ d’application de la présente directive puissent échanger entre elles des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux techniques et procédures, aux métadonnées et aux données relatives au contenu, aux indicateurs de compromission, aux tactiques adverses, au modus operandi, aux informations relatives aux différents acteurs, aux alertes de cybersécurité, aux tactiques d’espionnage industriel et à la configuration recommandée des outils de sécurité, lorsque ce partage d’informations:

Amendement 239

Proposition de directive

Article 26 – paragraphe 1 – point b


Texte proposé par la Commission	Amendement
b) renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur «capacité de se propager», en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement.	b) renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur «capacité de se propager», en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

Amendement 240

Proposition de directive

Article 26 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que l’échange d’informations ait lieu au sein de communautés de confiance d’entités essentielles et importantes. Cet échange est mis en œuvre au moyen d’accords de partage d’informations, compte tenu de la nature potentiellement sensible des informations partagées et dans le respect des règles du droit de l’Union visées au paragraphe 1.	2. Les États membres facilitent l’échange d’informations en permettant la création de communautés de confiance d’entités essentielles et importantes et de leurs prestataires de services ou, le cas échéant, d’autres fournisseurs. Cet échange est mis en œuvre au moyen d’accords de partage d’informations, compte tenu de la nature potentiellement sensible des informations partagées.

Amendement 241

Proposition de directive

Article 26 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres établissent des règles précisant la procédure, les éléments opérationnels (y compris l’utilisation de plateformes TIC dédiées), le contenu et les conditions des accords de partage d’informations visés au paragraphe 2. Ces règles fixent également les détails de la participation des autorités publiques à ces accords, ainsi que les éléments opérationnels, y compris l’utilisation de plateformes informatiques dédiées. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 5, paragraphe 2, point g).	3. Les États membres facilitent la mise en place des accords d’échange d’informations sur la cybersécurité visés au paragraphe 2 en mettant à disposition des éléments opérationnels (y compris l’utilisation de plateformes TIC dédiées et d’outils d’automatisation) et des contenus. Les États membres fixent les détails de la participation des autorités publiques à ces accords et peuvent imposer certaines conditions en ce qui concerne les informations mises à disposition par les autorités compétentes ou les CSIRT. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 5, paragraphe 2, point g).

Amendement 242

Proposition de directive

Article 27 – alinéa 1


Texte proposé par la Commission	Amendement
Sans préjudice de l’article 3, les États membres veillent à ce que les entités qui ne relèvent pas du champ d’application de la présente directive puissent, à titre volontaire, transmettre des notifications relatives aux incidents importants, aux cybermenaces ou aux incidents évités. Lorsqu’ils traitent des notifications, les États membres agissent conformément à la procédure énoncée à l’article 20. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Un signalement volontaire n’a pas pour effet d’imposer à l’entité qui est à l’origine du signalement des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.	Les États membres veillent à ce que les notifications puissent être soumises aux CSIRT, sur une base volontaire, par:

Amendement 243

Proposition de directive

Article 27 – alinéa 1 – point a (nouveau)


Texte proposé par la Commission	Amendement
	a) les entités essentielles et importantes en ce qui concerne les cybermenaces et les incidents évités;

Amendement 244

Proposition de directive

Article 27 – alinéa 1 – point b (nouveau)


Texte proposé par la Commission	Amendement
	b) les entités qui ne relèvent pas du champ d’application de la présente directive, en ce qui concerne les incidents importants, les cybermenaces ou les incidents évités.

Amendement 245

Proposition de directive

Article 27 – alinéa 1 – sous-alinéa 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	Lorsqu’ils traitent de telles notifications, les États membres agissent conformément à la procédure énoncée à l’article 20. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Si nécessaire, les CSIRT fournissent au point de contact unique et, le cas échéant, aux autorités compétentes les informations sur les notifications reçues en vertu du présent article, tout en garantissant la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine du signalement. Une notification volontaire n’a pas pour effet d’imposer à l’entité qui est à l’origine du signalement des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.

Amendement 246

Proposition de directive

Article 28 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données.	2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données. Cela se fait conformément à leurs compétences et aux tâches qui leur incombent en vertu du règlement (UE) 2016/679.

Amendement 247

Proposition de directive

Article 29 – paragraphe 2 – point a


Texte proposé par la Commission	Amendement
a) des inspections sur place et une surveillance à distance, y compris des contrôles aléatoires;	a) des inspections sur place et une surveillance à distance, y compris des contrôles aléatoires effectués par des professionnels formés;

Amendement 248

Proposition de directive

Article 29 – paragraphe 2 – point a bis (nouveau)


Texte proposé par la Commission	Amendement
	a bis) des enquêtes sur les cas de non-respect et leurs répercussions sur la sécurité des services;

Amendement 249

Proposition de directive

Article 29 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des audits réguliers;	b) des audits de sécurité annuels et ciblés réalisés par un organisme indépendant qualifié ou une autorité compétente;

Amendement 250

Proposition de directive

Article 29 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	c) des audits ad hoc dans des cas justifiés, en raison d’un incident significatif ou d’un non-respect de la part de l’entité essentielle;

Amendement 251

Proposition de directive

Article 29 – paragraphe 2 – alinéas 1 bis et 1 ter (nouveaux)


Texte proposé par la Commission	Amendement
	Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques effectuées par l’autorité compétente ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.
	Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant qualifié sont à la charge de l’entité concernée.

Amendement 252

Proposition de directive

Article 29 – paragraphe 2 bis (nouveau)


Texte proposé par la Commission	Amendement
	2 bis. lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, points a) à d), les autorités compétentes réduisent au minimum l’incidence sur les processus d’entreprise de l’entité.

Amendement 253

Proposition de directive

Article 29 – paragraphe 4 – point b


Texte proposé par la Commission	Amendement
b) d’émettre des instructions contraignantes ou une injonction exigeant de ces entités qu’elles remédient aux insuffisances constatées ou aux violations des obligations énoncées dans la présente directive;	b) d’émettre des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant de ces entités qu’elles remédient aux insuffisances constatées ou aux violations des obligations énoncées dans la présente directive;

Amendement 254

Proposition de directive

Article 29 – paragraphe 4 – point i


Texte proposé par la Commission	Amendement
i) de faire une déclaration publique désignant la ou les personnes physiques et morales responsables de la violation d’une obligation énoncée dans la présente directive et la nature de cette violation;	supprimé

Amendement 255

Proposition de directive

Article 29 – paragraphe 4 – point j


Texte proposé par la Commission	Amendement
j) d’imposer ou de demander aux juridictions ou organes compétents d’imposer, conformément à la législation nationale, une amende administrative en vertu de l’article 31 en plus ou en lieu et place des mesures visées aux points a) à i) du présent paragraphe, en fonction des circonstances propres à chaque cas.	j) d’imposer ou de demander aux juridictions ou organes compétents d’imposer, conformément à la législation nationale, une amende administrative en vertu de l’article 31 en plus des mesures visées aux points a) à i) du présent paragraphe, en fonction des circonstances propres à chaque cas.

Amendement 256

Proposition de directive

Article 29 – paragraphe 5 – alinéa 1 – point a


Texte proposé par la Commission	Amendement
a) de suspendre ou de demander à un organisme de certification ou d’autorisation de suspendre une certification ou une autorisation concernant tout ou partie des services ou activités fournis par une entité essentielle;	a) de suspendre temporairement ou de demander à un organisme de certification ou d’autorisation de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services ou activités concernés fournis par une entité essentielle;

Amendement 257

Proposition de directive

Article 29 – paragraphe 5 – alinéa 1 – point b


Texte proposé par la Commission	Amendement
b) d’imposer ou de demander aux juridictions ou organes compétents d’imposer, conformément à la législation nationale, une interdiction temporaire interdisant à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans cette entité essentielle, ainsi qu’à toute autre personne physique tenue pour responsable de la violation, d’exercer des responsabilités dirigeantes dans cette entité.	b) en dernier recours (ultima ratio), de demander aux juridictions ou organes compétents d’imposer, conformément à la législation nationale, une interdiction temporaire interdisant à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans cette entité essentielle d’exercer des responsabilités dirigeantes dans cette entité.

Amendement 258

Proposition de directive

Article 29 – paragraphe 5 – alinéa 2


Texte proposé par la Commission	Amendement
Ces sanctions sont appliquées jusqu’à ce que l’entité prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l’origine de l’application de ces sanctions.	Les suspensions ou interdictions temporaires au titre du présent paragraphe sont uniquement appliquées jusqu’à ce que l’entité concernée prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l’origine de l’application de ces sanctions. L’imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.

Amendement 259

Proposition de directive

Article 29 – paragraphe 7 – point c


Texte proposé par la Commission	Amendement
c) des dommages effectifs causés, des pertes subies, des dommages potentiels ou des pertes qui auraient pu être engendrées, dans la mesure où il est possible de les déterminer. Lors de l’évaluation de cet aspect, il est tenu compte, entre autres, des pertes financières ou économiques effectives ou potentielles, des incidences sur d’autres services, du nombre d’utilisateurs touchés ou potentiellement touchés;	c) des dommages causés, des pertes subies, y compris des pertes financières ou économiques, des incidences sur d’autres services et du nombre d’utilisateurs touchés;

Amendement 260

Proposition de directive

Article 29 – paragraphe 7 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) toute infraction antérieure pertinente commise par l’entité concernée;

Amendement 261

Proposition de directive

Article 29 – paragraphe 9


Texte proposé par la Commission	Amendement
9. Les États membres veillent à ce que leurs autorités compétentes informent les autorités compétentes de l’État membre concerné désignées conformément à la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] lorsqu’ils exercent leurs pouvoirs de surveillance et d’exécution dans le but de garantir qu’une entité définie comme critique ou une entité équivalente à une entité critique en vertu de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] respecte ses obligations au titre de la présente directive. Sur demande des autorités compétentes au titre de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques], les autorités compétentes peuvent exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique ou équivalente.	9. Les États membres veillent à ce que leurs autorités compétentes informent les autorités compétentes de tous les États membres concernés désignées conformément à la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] lorsqu’ils exercent leurs pouvoirs de surveillance et d’exécution dans le but de garantir qu’une entité définie comme critique ou une entité équivalente à une entité critique en vertu de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] respecte ses obligations au titre de la présente directive. Sur demande des autorités compétentes au titre de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques], les autorités compétentes peuvent exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique ou équivalente.

Amendement 262

Proposition de directive

Article 29 – paragraphe 9 bis (nouveau)


Texte proposé par la Commission	Amendement
	9 bis. Les États membres veillent à ce que leurs autorités compétentes coopèrent avec les autorités compétentes de l’État membre concerné désignées conformément au règlement (UE) XXXX/XXXX [DORA].

Amendement 263

Proposition de directive

Article 30 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Lorsque, selon les éléments de preuve ou les indications communiquées, une entité importante ne respecte pas les obligations énoncées dans la présente directive, et notamment aux articles 18 et 20, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post.	1. Lorsque, selon les éléments de preuve ou les indications communiquées, une entité importante ne respecte pas les obligations énoncées dans la présente directive, et notamment aux articles 18 et 20, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post. Les États membres veillent à ce que ces mesures soient effectives, proportionnées et dissuasives, compte tenu des circonstances propres à chaque cas d'espèce.

Amendement 264

Proposition de directive

Article 30 – paragraphe 2 – point a


Texte proposé par la Commission	Amendement
a) des inspections sur place et une surveillance à distance ex post;	a) des inspections sur place et une surveillance à distance ex post, effectuées par des professionnels formés;

Amendement 265

Proposition de directive

Article 30 – paragraphe 2 – point a bis (nouveau)


Texte proposé par la Commission	Amendement
	a bis) des enquêtes sur les cas de non-respect et leurs répercussions sur la sécurité des services;

Amendement 266

Proposition de directive

Article 30 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	b) des audits de sécurité ciblés réalisés par un organisme indépendant qualifié ou une autorité compétente;

Amendement 267

Proposition de directive

Article 30 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, équitables et transparents;	c) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents;

Amendement 268

Proposition de directive

Article 30 – paragraphe 2 – alinéas 1 bis et 1 ter (nouveaux)


Texte proposé par la Commission	Amendement
	Les audits de sécurité ciblés visés au premier alinéa, point b), sont fondés sur des évaluations des risques effectuées par l’autorité compétente ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.
	Les résultats de tout audit de sécurité ciblé sont mis à la disposition de l’autorité compétente. Les coûts de cet audit de sécurité ciblé effectué par un organisme indépendant qualifié sont à la charge de l’entité concernée.

Amendement 269

Proposition de directive

Article 30 – paragraphe 4 – point h


Texte proposé par la Commission	Amendement
h) de faire une déclaration publique désignant la ou les personnes physiques et morales responsables de la violation d’une obligation énoncée dans la présente directive et la nature de cette violation;	supprimé

Amendement 270

Proposition de directive

Article 30 – paragraphe 4 – point i


Texte proposé par la Commission	Amendement
i) d’imposer ou de demander l’imposition par les juridictions ou organes compétents, conformément à la législation nationale, d’une amende administrative en vertu de l’article 31 en plus ou en lieu et place des mesures visées aux points a) à h) du présent paragraphe, en fonction des circonstances propres à chaque cas.	i) d’imposer ou de demander l’imposition par les juridictions ou organes compétents, conformément à la législation nationale, d’une amende administrative en vertu de l’article 31 en plus des mesures visées aux points a) à h) du présent paragraphe, en fonction des circonstances propres à chaque cas.

Amendement 271

Proposition de directive

Article 31 – paragraphe 2


Texte proposé par la Commission	Amendement
2. En fonction des circonstances propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 29, paragraphe 4, points a) à i), à l’article 29, paragraphe 5, et à l’article 30, paragraphe 4, points a) à h).	2. En fonction des circonstances propres à chaque cas, les amendes administratives sont imposées en complément des mesures visées à l’article 29, paragraphe 4, points a) à i), à l’article 29, paragraphe 5, et à l’article 30, paragraphe 4, points a) à h).

Amendement 272

Proposition de directive

Article 32 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l’infraction commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement dans un délai raisonnable.	1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l’infraction commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement dans les meilleurs délais et, dans tous les cas, dans un délai de 72 heures après avoir eu connaissance d’une violation de données.

Amendement 273

Proposition de directive

Article 32 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans le même État membre.	(Ne concerne pas la version française.)

Amendement 274

Proposition de directive

Article 35 – alinéa 1


Texte proposé par la Commission	Amendement
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le compte rendu évalue notamment la pertinence des secteurs, des sous-secteurs, de la taille et du type des entités visées aux annexes I et II pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l’expérience acquise au niveau tant stratégique qu’opérationnel. Le premier rapport est présenté au plus tard le… 54 mois après la date d’entrée en vigueur de la présente directive.	Au plus tard le … [42 mois après la date de l'entrée en vigueur de la présente directive] et tous les 36 mois par la suite, la Commission réexamine le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le compte rendu évalue notamment la pertinence des secteurs, des sous-secteurs, de la taille et du type des entités visées aux annexes I et II pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l’expérience acquise au niveau tant stratégique qu’opérationnel.
	Le rapport est accompagné au besoin d'une proposition législative .

Amendement 275

Proposition de directive

Article 36 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le pouvoir d’adopter des actes délégués visé à l’article 18, paragraphe 6, et à l’article 21, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du […].	2. Le pouvoir d’adopter des actes délégués visé à l’article 18, paragraphe 6, à l’article 20, paragraphe 11 bis, et à l’article 21, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du […].

Amendement 276

Proposition de directive

Article 36 – paragraphe 3


Texte proposé par la Commission	Amendement
3. La délégation de pouvoir visée à l’article 18, paragraphe 6, et à l’article 21, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.	3. La délégation de pouvoir visée à l’article 18, paragraphe 6, à l’article 20, paragraphe 11 bis, et à l’article 21, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

Amendement 277

Proposition de directive

Article 36 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Un acte délégué adopté en vertu de l’article 18, paragraphe 6, et de l’article 21, paragraphe 2, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.	6. Un acte délégué adopté en vertu de l’article 18, paragraphe 6, à l’article 20, paragraphe 11 bis, et de l’article 21, paragraphe 2, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

Amendement 278

Proposition de directive

Article 42 – alinéa 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	Toutefois, les articles 39 et 40 s'appliquent à compter du ... [18 mois après la date d'entrée en vigueur de la présente directive].

Amendement 279

Proposition de directive

Annexe I – point 2 – sous-point d – tiret 2 (nouveau)

Texte proposé par la Commission

Amendement

2. Transports	d) Transports routiers	— Exploitants de services de recharge intelligente pour véhicules électriques

Amendement 280

Proposition de directive

Annexe II – tableau – ligne 6 bis (nouveau)

Texte proposé par la Commission

Amendement

6 bis. Enseignement et recherche		— Établissements d’enseignement supérieur et instituts de recherche

EXPOSÉ DES MOTIFS

Le rapporteur souhaite que l’Europe devienne le meilleur endroit où vivre et faire des affaires.

Le rapporteur se félicite donc de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (SRI 2) qui abroge la directive SRI originale (SRI 1). La proposition reflète l’évolution du paysage des menaces en matière de cybersécurité et introduit une harmonisation minimale des mesures dans l’ensemble de l’Union.

Aujourd’hui, les forces de police européennes ont de plus en plus de mal à faire face à la forte augmentation des incidents de cybercriminalité. Il peut s’agir de la criminalité liée aux technologies de pointe, des infractions facilitées par les technologies de l’information et de la communication et de la fraude au PDG, mais le rapporteur souhaite mettre explicitement en évidence l’augmentation agressive des gangs de logiciels rançonneurs qui piratent et font chanter des cibles européennes, indépendamment de leur taille ou de leur chiffre d’affaires. De leur côté, les États-nations adverses se concentrent sur le vol de propriété intellectuelle à l’échelle industrielle, ce qui exige une réponse correspondante.

Pourtant, selon l’ENISA, les dépenses générales en matière de cybersécurité sont inférieures de 41 % pour les organisations de l’Union par rapport à leurs homologues des États-Unis. En outre, le partage d’informations entre les pays et au sein des pays a été sérieusement entravé par les craintes liées à la responsabilité en vertu du règlement général sur la protection des données (RGPD). Cela est évident aussi bien dans les entités publiques que privées qui craignent de partager les données. La directive SRI 2 doit donc être claire sur le fait que le partage des informations est essentiel pour que les exigences en matière de cybersécurité soient respectées.

Un niveau commun de cybersécurité dans l’Union est essentiel pour le fonctionnement du marché intérieur. Une législation bien définie est nécessaire pour que les entreprises qui opèrent dans différents États membres soient soumises au même ensemble de règles. La directive SRI 2 a pour but de supprimer l’incertitude et le manque de clarté actuels.

À une époque où les opérations de cybercriminalité, d’espionnage ou de sabotage peuvent avoir des effets en cascade, la directive SRI 2 élargit, à juste titre, le champ d’application de manière significative. La proposition inclut des secteurs qui, auparavant, n’étaient pas considérés comme essentiels ou importants, mais qui sont définitivement considérés comme tels par les gangs de logiciels rançonneurs ou certains États-nations. Sur la base des services que les entités fournissent aux sociétés, celles-ci sont divisées en deux catégories juridiques: entités «essentielles» et entités «importantes». Le rapporteur partage l’ambition de la proposition de la Commission et estime que les organismes de recherche et les institutions académiques devraient être inclus en tant que nouveau secteur. Ces organismes et institutions sont fortement ciblés et leur propriété intellectuelle mérite d’être protégée par la directive SRI 2.

La charge administrative et la paperasserie imposées aux entreprises doivent être une préoccupation constante de tous les législateurs. Le rapporteur soutient l’exclusion des micro- et petites entreprises. Il estime en outre que la directive SRI 2 ne devrait pas se concentrer uniquement sur les mesures de conformité et les mesures pénales, mais également sur des incitations positives, telles que la fourniture de conseils et d’une assistance aux PME, qui ont des besoins et des intérêts spécifiques, ou sur des services offerts gratuitement pour vérifier la configuration des serveurs de messagerie électronique et des sites web. Ces propositions sont également destinées à illustrer, à cet égard, que les gouvernements doivent être orientés vers les services.

Le signalement des incidents est essentiel à la cybersécurité: il peut empêcher d’autres personnes de devenir victimes d’une cyberattaque. Le rapporteur souhaite mentionner que, dans son ancienne fonction dans le domaine de la cybersécurité, il lui était souvent impossible de signaler un incident dans les 24 heures. Habituellement, à ce stade précoce, un incident reste peu clair pendant un certain temps. Pour le rapporteur, le délai proposé de 24 heures semble déraisonnable, notamment parce que les experts consacrent leurs efforts à l’atténuation du problème; le signalement à ce stade est d’un intérêt secondaire. L’incident de cybersécurité et ses implications sont rarement bien compris dans les 24 heures, et les notifications dans les 24 heures pourraient entraîner un signalement incorrect, excessif et une confusion supplémentaire. De plus, ces incidents se produisent souvent pendant le week-end. Par conséquent, le rapporteur propose d’aligner cette directive sur d’autres textes législatifs de l’Union, tels que le RGPD, ce qui porterait le délai à 72 heures.

Le rapporteur ne juge pas souhaitable de rendre obligatoire le signalement d’incidents potentiels. Le partage volontaire d’incidents potentiels ou d’incidents évités doit être encouragé, mais les moyennes et grandes entités peuvent potentiellement être confrontées à des dizaines, voire des centaines, de cybermenaces importantes en une seule journée. Le signalement de ces incidents potentiels serait fastidieux et nuirait à l’efficacité de la réponse. Il pourrait également nuire à l’efficacité des autorités qui doivent traiter ces notifications, en sapant la confiance dans le système de notification et leur capacité à agir en cas d’incidents réels.

Le signalement des cybermenaces potentielles aux centres de réponse aux incidents de sécurité informatique (CSIRT) ou aux autorités compétentes ne devrait pas non plus être obligatoire. Les questions de conformité et de responsabilité décourageront les activités des chercheurs de menaces, élément essentiel de l’écosystème de la cybersécurité. En outre, il existe des cas (sérieux) où il serait préférable de signaler une menace à la communauté du renseignement, lorsqu’elle se situe dans son domaine de compétence, plutôt qu’aux autorités de la directive SRI.

Les mesures de cybersécurité doivent être adaptées à la taille de l’entité et aux risques en matière de cybersécurité auxquels elle est confrontée. La surveillance et l’exécution devraient donc être proportionnées. Les amendes et les mesures pénales sont essentielles pour que la législation de la directive SRI 2 soit efficace, mais le rapporteur estime que les législateurs devraient insister sur le fait qu’il existe une gradation, et que ce n’est qu’après une négligence démontrable d’avertissements répétés que les dirigeants devraient être prêts à subir les rigueurs de la loi. La prévention de la double surveillance par le biais d’une législation sectorielle est également importante pour les entités qui relèvent à la fois du champ d’application de la directive SRI 2 et d’une législation sectorielle, telle que le règlement DORA.

Le rapporteur encourage chaque État membre à formuler une stratégie nationale en matière de cybersécurité sur la cyberdéfense active. En Europe, nous sommes devenus efficaces dans la coordination après un incident, mais l’augmentation des connaissances (publiques et privées) sur les cyberattaques avant qu’elles ne se produisent implique également une responsabilité. Le simple fait de partager passivement ces connaissances ne suffit pas; les citoyens et les entités attendent de leurs gouvernements une attitude active en matière de protection de la cybersécurité. Les États membres doivent mettre en place des capacités pour déjouer les attaques et les empêcher activement de se produire.

Le noyau de l’internet a également besoin d’attention. Les services DNS doivent offrir aux clients des services sécurisés et respectueux de la vie privée. Ce n’est pas encore communément accepté. Le rapporteur s’inquiète du fait que les citoyens qui disposent de leur propre service DNS sur un ordinateur portable ou un petit serveur à la maison, tombent dans le champ d’application de la proposition de la Commission. Le rapporteur souhaite que ces personnes, souvent férues de technologie, soient exclues de cette directive. Un autre problème est que les opérateurs de serveurs racines de noms de domaines sont inclus dans le champ d’application de la directive SRI 2. Depuis le développement de l’internet dans les années 70, 80 et suivantes, ces services sont gérés par de bons experts bénévoles. Comme ce service n’est pas monétisé et que l’on peut faire valoir que les gouvernements ne devraient pas le réglementer, le rapporteur estime que les serveurs racines devraient être exclus du champ d’application.

Le rapporteur estime qu’il est très important de renforcer la sécurité globale des réseaux et services de communication électronique et d’améliorer l’intégrité de l’internet. Cela signifie que, dans toute l’Europe, des techniques de confiance interopérables devraient être utilisées. Les services européens de résolution de noms de domaines qui mettent l’accent sur le respect de la vie privée et la sécurité sont vivement encouragés, de même que la protection physique des dorsales internet et des câbles de télécommunications sous-marins. La directive à l’examen doit donc être considérée à la lumière de l’ensemble de la stratégie de cybersécurité lancée par la Commission: nous avons besoin d’un noyau d’internet plus sécurisé.

La directive SRI 2 fournit en outre la base juridique pour des évaluations coordonnées des risques de sécurité par le groupe de coopération. La boîte à outils de la 5G en est un excellent exemple. Le rapporteur estime que ces évaluations des risques pourraient largement améliorer la sécurité et la souveraineté stratégique de l’Union et pense qu’elles devraient porter sur un large éventail de services, systèmes ou produits TIC. Les scanners de fret dans les aéroports et les ports sont un exemple explicite qu’il souhaite mentionner à cet égard.

De manière involontaire, le partage d’informations essentielles a été gravement entravé et devrait être amélioré. Exemple: au cours des dernières années, les forces de police ont découvert et décrypté des serveurs de gangs de logiciels rançonneurs, contenant parfois des millions de victimes, dans l’Union et hors de l’Union. Le rôle de la police consiste à travailler sur de nouvelles affaires, ce qui permet aux CSIRT d’entrer en contact avec les cibles et d’atténuer les cybermenaces grâce aux informations découvertes sur ces serveurs. Malheureusement, en raison d’obstacles juridiques perçus injustifiés, pratiquement aucune victime n’a été informée ni assistée. Il est donc essentiel que la directive SRI 2 crée une base juridique claire pour atténuer ces menaces et partager les informations non seulement au sein de l’Union, mais également avec des partenaires extérieurs à l’Union.

Avec l’élargissement du champ d’application, les CSIRT doivent se préparer à offrir des solutions modulables et automatisées pour la distribution rapide et sécurisée de la divulgation coordonnée des vulnérabilités, du signalement des incidents et des renseignements sur les menaces. L’automatisation du partage des informations n’est pas seulement un dérivé de cette directive: elle en est le cœur. Fournir la base juridique permettant aux CSIRT et aux entreprises de partager des données, avec leurs clients, leurs pairs et les autorités, tant à l’intérieur qu’à l’extérieur de l’Union, est une condition préalable à toutes les bonnes intentions liées à la directive SRI 2.

L’utilisation de normes et de systèmes de certification est un autre élément positif de la proposition de la Commission. La certification devrait être possible par le biais de systèmes spécifiques reconnus au niveau européen et international, de préférence aux systèmes nationaux. L’harmonisation devrait être l’objectif; les règles d’un État membre devraient être similaires aux règles des autres États membres.

La proposition de la directive SRI 2 exige que l’ENISA élabore et tienne à jour un registre européen des vulnérabilités. Le rapporteur estime qu’une base de données européenne sur les vulnérabilités devrait être préférée à un registre. Il n’y a guère de raison de doubler ce qui est déjà en place et utilisé par la communauté de la cybersécurité comme une norme commune dans toutes les parties du monde. Le doublement sèmera la discorde et la confusion au sein de la communauté des experts. Une base de données européenne, et non un registre, devrait s’appuyer sur le registre CVE (Common Vulnerabilities and Exposures); la liste des enregistrements des vulnérabilités de cybersécurité internationales publiquement connues, utilisée dans le monde entier. Le rapporteur estime que l’ENISA devrait jouer un nouveau rôle de premier plan au sein du registre CVE, qui est aujourd’hui principalement basé aux États-Unis. Il convient en outre d’éviter la duplication des efforts; le résultat souhaitable devrait être une base de données recensant des défis uniques pour les organisations européennes. Enfin, le rapporteur souligne qu’il est de la plus haute importance que l’ENISA dispose de l’infrastructure et des procédures nécessaires pour traiter des informations classifiées. La cybersécurité devrait être traitée du niveau non classifié au niveau (très) secret.

Les données WHOIS, un enregistrement d’autorité en matière de propriété des domaines, constituent le seul moyen viable d’obtenir les informations nécessaires pour recenser les criminels, suivre les auteurs de la menace, prévenir les préjudices et protéger l’écosystème en ligne. La communauté de la cybersécurité en dépend, et elles permettent aux chercheurs de menaces de traquer les adversaires, afin que les citoyens et les entités puissent se protéger contre les menaces à venir. C’est le seul mécanisme de responsabilité fiable dans un internet autrement anonyme. Toutefois, au cours des trois dernières années, à la suite de l’entrée en vigueur du RGPD, les données WHOIS sont considérées par certains comme un problème de responsabilité. La pratique courante relative aux données WHOIS a été interrompue, malheureusement et de manière injustifiée. Le rapporteur réitère donc dans son rapport la licéité du traitement des données pour des raisons de cybersécurité en vertu du RGPD, dans le souhait législatif explicite que les données WHOIS soient à nouveau partagées.

En général, le rapporteur estime que la directive SRI 2 est la mesure nécessaire à prendre pour harmoniser notre marché intérieur et améliorer la cybersécurité dans l’ensemble de l’Union.

AVIS DE LA COMMISSION DES LIBERTÉS CIVILES, DE LA JUSTICE ET DES AFFAIRES INTÉRIEURES (15.10.2021)

à l’intention de la commission de l’industrie, de la recherche et de l’énergie

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Rapporteur pour avis(*):Lukas Mandl

(*) Commission associée – Article 57 du règlement intérieur

JUSTIFICATION SUCCINCTE

La proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (directive SRI 2)[2] fait partie d’un ensemble plus large d’initiatives à l’échelle de l’Union ayant pour objectif d’accroître la résilience des entités publiques et privées face aux menaces. La proposition vise à remédier aux lacunes de la législation existante et à permettre aux entités relevant de son champ d’application de mieux répondre aux nouveaux défis recensés par la Commission dans son analyse d’impact, laquelle comprenait une vaste consultation des parties intéressées. Parmi ces défis figurent en particulier l’utilisation croissante de supports et formats numériques dans le marché intérieur et l’évolution du paysage des menaces qui pèsent sur la cybersécurité.

La base juridique de la proposition est l’article 114 du traité FUE (marché intérieur). Du point de vue de la commission LIBE, il importe toutefois de souligner que les mesures que la directive SRI 2 impose aux réseaux et systèmes d’information ne servent pas seulement à assurer le bon fonctionnement du marché intérieur. La directive devrait également contribuer à la sécurité de l’Union dans son ensemble, notamment en évitant des divergences entre les États membres en matière de vulnérabilité aux risques liés à la cybersécurité.

À cette fin, il est essentiel d’éliminer les divergences existant entre les États membres en raison d’interprétations différentes du droit par les États membres. Pour cette raison, le rapporteur se félicite de la condition uniforme établie par le règlement pour déterminer les entités relevant du champ d’application de la directive. Des suggestions supplémentaires sont formulées pour éviter des divergences dans la mise en œuvre, notamment obliger la Commission à publier des lignes directrices relatives à la mise en œuvre de la lex specialis et des critères applicables aux PME (ce qui devrait également servir la clarté juridique et permettre d’éviter les charges inutiles) et exiger du groupe de coopération qu’il précise davantage les facteurs non techniques à prendre en compte dans les évaluations des risques liés aux chaînes d’approvisionnement. Il est en outre souligné que la coopération entre les autorités compétentes doit avoir lieu tant au sein des États membres qu’entre eux, et ce en temps réel.

Le projet de rapport intègre par ailleurs un certain nombre de recommandations formulées par le CEPD dans son avis sur la stratégie en matière de cybersécurité et la directive SRI 2.0 [3]. Plus important encore, il est précisé tant dans les considérants que dans le dispositif du texte que tout traitement de données à caractère personnel au titre de la directive SRI 2 est sans préjudice du règlement (UE) 2016/679 (RGPD)[4] et de la directive 2002/58/CE [5] (vie privée et communications électroniques). Le terme «sécurité des réseaux et des systèmes d’information» (ne couvre que la protection de la technologie) ayant une portée plus étroite que celle de la «cybersécurité» (couvre également les activités visant à protéger les utilisateurs), le premier terme n’est utilisé que lorsque le contexte est purement technique. En ce qui concerne les noms de domaine et les données d’enregistrement, des précisions sont proposées en ce qui concerne 1) la base juridique de la publication d’«informations pertinentes» aux fins de l’identification et des contacts, 2) les catégories de données d’enregistrement de domaine faisant l’objet d’une publication (sur la base d’une recommandation de l’ICANN) et 3) les entités susceptibles d’être des «demandeurs d’accès légitimes». Il est également précisé dans le texte juridique que la proposition n’a pas d’effet sur l’attribution de compétences et les compétences des autorités de contrôle de la protection des données en vertu du RGPD. Enfin, une base juridique plus complète est prévue pour la coopération et l’échange d’informations pertinentes entre les autorités compétentes au titre de la proposition et les autres autorités de contrôle concernées, notamment les autorités de contrôle au titre du RGPD.

D’autres modifications apportées par le rapporteur de la commission LIBE à la proposition de la Commission ont trait aux points suivants:

• Aux fins de la cohérence entre la directive SRI 2 et la proposition de directive sur la résilience des entités critiques (ICE)[6], le libellé de certaines dispositions a été aligné sur celui de la proposition de directive sur les ICE. Conformément à une modification similaire envisagée pour la directive sur les ICE, qui devrait couvrir les mêmes secteurs que la directive SRI 2, il est proposé d’ajouter «production, transformation et distribution des denrées alimentaires» au champ d’application.

• En ce qui concerne les données à caractère personnel, il est précisé que le scannage des réseaux et systèmes d’information par les CSIRT devrait être conforme non seulement au règlement (UE) 2016/679 (RGPD)[7], mais aussi à la directive 2002/58/CE [8] (vie privée et communications électroniques). Les transferts internationaux de données à caractère personnel au titre de la directive à l’examen devraient être conformes au chapitre V du RGPD.

• Le groupe de coopération devrait se réunir deux fois par an au lieu d’une fois pour faire le point sur les dernières évolutions en matière de cybersécurité. Le CEPD devrait prendre part aux réunions du groupe de coopération en qualité d’observateur.

• L’ENISA devrait publier un rapport annuel plutôt que bisannuel sur l’état de la cybersécurité dans l’Union. Il convient par ailleurs de prendre en compte dans le rapport les répercussions des incidents de cybersécurité sur la protection des données à caractère personnel dans l’Union.

• Le délai de notification des incidents est aligné sur le délai de notification des violations prévu par le RGPD, à savoir 72 heures.

• Si la notification des incidents réels de cybersécurité par des entités essentielles et importantes devrait en effet être obligatoire, la notification des cybermenaces devrait être volontaire afin de limiter la charge administrative et d’éviter des signalements excessifs. Pour être considéré comme significatif, un incident devrait avoir causé un dommage réel et touché d’autres personnes physiques et morales, et pas seulement «être susceptible» de produire de tels effets.

• Les circonstances à prendre en compte pour décider d’une sanction à la suite d’une violation des règles de cybersécurité sont alignées sur le RGPD. Étant donné que cela irait à l’encontre de la pratique actuelle en matière de responsabilité dans le droit de l’Union, il ne devrait pas être possible d’interdire temporairement à des personnes physiques d’exercer des fonctions de direction.

• Afin d’éviter des atteintes à la réputation, les entités ne devraient pas être tenues de rendre publics les aspects du non-respect des exigences de la directive à l’examen ou l’identité des personnes physiques ou morales responsables de l’infraction.

AMENDEMENTS

La commission des libertés civiles, de la justice et des affaires intérieures invite la commission de l’industrie, de la recherche et de l’énergie, compétente au fond, à prendre en considération les amendements suivants:

Amendement 1

Proposition de directive

Considérant 1


Texte proposé par la Commission	Amendement
(1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11 avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi au fonctionnement efficace de l’économie et de la société de l’Union.	(1) la directive (UE) 2016/1148 du Parlement européen et du Conseil11 avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents de cybersécurité, contribuant ainsi à la sécurité de l’Union et au fonctionnement efficace de son économie et de sa société.
__________________	__________________
11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1).	11 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194/1 du 19.7.2016, p. 1).

Amendement 2

Proposition de directive

Considérant 2


Texte proposé par la Commission	Amendement
(2) Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés concernant l’amélioration du niveau de cyber-résilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux soient achevés en définissant des stratégies nationales en matière de cybersécurité, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les acteurs essentiels recensés par chacun des États membres. Elle a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération12 et du réseau des centres de réponse aux incidents de sécurité informatique (ci-après le «réseau des CSIRT»)13. En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.	(2) Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés concernant l’amélioration du niveau de cyber-résilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux soient achevés en définissant des stratégies nationales en matière de cybersécurité, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les acteurs essentiels recensés par chacun des États membres. Elle a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération et du réseau des centres de réponse aux incidents de sécurité informatique (ci-après le «réseau des CSIRT»). En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité. En outre, l’expansion des activités en ligne dans le contexte de la pandémie de COVID-19 a mis en évidence l’importance de la cybersécurité, qui est essentielle pour que les citoyens de l’UE puissent faire confiance à l’innovation et à la connectivité, ainsi que l’importance de l’éducation et de la formation à grande échelle dans ce domaine. La Commission devrait donc soutenir les États membres dans la conception de programmes éducatifs sur la cybersécurité afin de permettre aux entités importantes et essentielles de recruter des experts en cybersécurité qui leur permettent de se conformer aux obligations découlant de la présente directive.
__________________	__________________
12 Article 11 de la directive (UE) 2016/1148.	12 Article 11 de la directive (UE) 2016/1148.
13 Article 12 de la directive (UE) 2016/1148.	13 Article 12 de la directive (UE) 2016/1148.

Amendement 3

Proposition de directive

Considérant 3


Texte proposé par la Commission	Amendement
(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur.	(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union, au fonctionnement de notre démocratie et aux valeurs et libertés sur lesquelles notre société repose. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais à la sécurité de l’Union et au bon fonctionnement du marché intérieur, compte tenu de la transformation numérique des activités quotidiennes dans l’ensemble de l’Union. Cela nécessite une coopération plus étroite entre les autorités au sein des États membres et entre ceux-ci, ainsi qu’entre les autorités nationales et les organes compétents de l’Union.

Amendement 4

Proposition de directive

Considérant 5


Texte proposé par la Commission	Amendement
(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.	(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. En fin de compte, ces divergences peuvent aggraver la vulnérabilité de certains États membres aux menaces en matière de cybersécurité, ce qui peut avoir des retombées dans l’ensemble de l’Union, tant au regard du marché intérieur que de la sécurité en général. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace et en temps réel entre les autorités compétentes au sein d’un même État membre et entre les autorités compétentes des différents États membres, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.

Amendement 5

Proposition de directive

Considérant 6


Texte proposé par la Commission	Amendement
(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.	(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité nationale, assurer l’action publique et la sécurité publique et permettre la prévention et la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et de l’Union visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.
__________________	__________________
14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).	14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).

Amendement 6

Proposition de directive

Considérant 8


Texte proposé par la Commission	Amendement
(8) Conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»). Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE de la Commission15, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application. Les États membres ne devraient pas être tenus de dresser la liste des entités qui remplissent ce critère d’application générale portant sur la taille.	(8) Pour ce qui est de la responsabilité des États membres, conformément à la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels (ci-après le «processus d’identification»), ce qui a entraîné des divergences importantes entre les États membres à cet égard. Sans préjudice des exceptions spécifiques prévues par la présente directive, il convient d’établir un critère uniforme déterminant les entités qui relèvent du champ d’application de la présente directive afin d’éliminer ces divergences et de garantir la sécurité juridique concernant les exigences de gestion des risques et les obligations de signalement pour toutes les entités concernées. Ce critère devrait consister en l’application de la règle du plafond, en vertu de laquelle toutes les entreprises de taille moyenne et de grande taille, au sens de la recommandation 2003/361/CE de la Commission15, actives dans les secteurs ou fournissant le type de services couverts par la présente directive relèvent de son champ d’application. Les États membres ne devraient pas être tenus de dresser la liste des entités qui remplissent ce critère d’application générale portant sur la taille.
__________________	__________________
15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).	15 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

Amendement 7

Proposition de directive

Considérant 8 bis (nouveau)


Texte proposé par la Commission	Amendement
	(8 bis) Compte tenu des différences entre les cadres nationaux de l’administration publique, les États membres conservent leur capacité décisionnelle en ce qui concerne la désignation des entités relevant du champ d’application de la présente directive.

Amendement 8

Proposition de directive

Considérant 9


Texte proposé par la Commission	Amendement
(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.	(9) Les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers sur la base d’une évaluation des risques, notamment les entités définies comme des entités critiques ou des entités équivalentes à des entités critiques au sens de la directive (UE) XXX/XXX du Parlement européen et du Conseil1 bis, devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.
	__________________
	1 bis Directive (UE) [XXX/XXX] du Parlement européen et du Conseil du XXX sur la résilience des entités critiques (JO...).

Amendement 9

Proposition de directive

Considérant 10


Texte proposé par la Commission	Amendement
(10) La Commission, en coopération avec le groupe de coopération, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.	(10) La Commission, en coopération avec le groupe de coopération, devrait publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentités et aux entités de petite taille.

Amendement 10

Proposition de directive

Considérant 12


Texte proposé par la Commission	Amendement
(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission peut publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.	(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission devrait publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

Amendement 11

Proposition de directive

Considérant 14


Texte proposé par la Commission	Amendement
(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations à cette fin.	(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil17 et la présente directive, lorsque cela est possible et approprié. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre les autorités compétentes au sein d’un même État membre et entre les autorités compétentes de différents États membres en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents informatiques et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations au sein d’un même État membre et entre États membres, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les autorités compétentes au titre de la présente directive pertinentes pour les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à évaluer la cybersécurité des entités essentielles définies comme critiques. Les deux autorités devraient coopérer et échanger des informations en temps réel à cette fin.
__________________	__________________
17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 12

Proposition de directive

Considérant 18


Texte proposé par la Commission	Amendement
(18) Les services proposés par les fournisseurs de services de centre de données ne sont pas toujours fournis sous la forme de service d’informatique en nuage. En conséquence, les centres de données ne font pas toujours partie d’une infrastructure d’informatique en nuage. Afin de gérer l’ensemble des risques qui menacent la sécurité des réseaux et des systèmes d’information, la présente directive devrait également couvrir les fournisseurs de services de centres de données qui ne sont pas des services d’informatique en nuage. Aux fins de la présente directive, le terme «service de centre de données» devrait couvrir la fourniture d’un service qui englobe les structures, ou les groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des équipements de traitement de l’information et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et des infrastructures de distribution d’électricité et de contrôle environnemental. Le terme «service de centre de données» ne s’applique pas aux centres de données internes propres à une entreprise et exploités pour les besoins de l’entité concernée.	(18) Les services proposés par les fournisseurs de services de centre de données ne sont pas toujours fournis sous la forme de service d’informatique en nuage. En conséquence, les centres de données ne font pas toujours partie d’une infrastructure d’informatique en nuage. Afin de gérer l’ensemble des risques qui menacent la cybersécurité, la présente directive devrait également couvrir les fournisseurs de services de centres de données qui ne sont pas des services d’informatique en nuage. Aux fins de la présente directive, le terme «service de centre de données» devrait couvrir la fourniture d’un service qui englobe les structures, ou les groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des équipements de traitement de l’information et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et des infrastructures de distribution d’électricité et de contrôle environnemental. Le terme «service de centre de données» ne s’applique pas aux centres de données internes propres à une entreprise et exploités pour les besoins de l’entité concernée.

Amendement 13

Proposition de directive

Considérant 20


Texte proposé par la Commission	Amendement
(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.	(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la production, transformation et distribution des denrées alimentaires, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. Les attaques intensifiées menées contre les systèmes d’information durant la pandémie de COVID-19 ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables. Par conséquent, des investissements supplémentaires dans la cybersécurité sont nécessaires.

Amendement 14

Proposition de directive

Considérant 20 bis (nouveau)


Texte proposé par la Commission	Amendement
	(20 bis) Il est essentiel de renforcer la cybersensibilisation et la cyberrésilience dans toutes les entités critiques et importantes, y compris les entités de l’administration publique.

Amendement 15

Proposition de directive

Considérant 21


Texte proposé par la Commission	Amendement
(21) Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords existants au niveau sectoriel ou les autorités de surveillance et de régulation de l’Union, les États membres devraient pouvoir désigner plusieurs autorités nationales compétentes chargées d’accomplir les tâches liées à la sécurité des réseaux et des systèmes d’information des entités essentielles et importantes dans le cadre de la présente directive. Les États membres devraient pouvoir attribuer cette mission à une autorité existante.	(21) Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords existants au niveau sectoriel ou les autorités de surveillance et de régulation de l’Union, les États membres devraient pouvoir désigner plusieurs autorités nationales compétentes chargées d’accomplir les tâches liées à la sécurité des réseaux et des systèmes d’information des entités essentielles et importantes dans le cadre de la présente directive. Les États membres devraient pouvoir attribuer cette mission à une autorité existante et veiller à ce que celle-ci dispose des ressources suffisantes pour s’acquitter de ses tâches de manière effective et efficace.

Amendement 16

Proposition de directive

Considérant 22


Texte proposé par la Commission	Amendement
(22) Afin de faciliter la coopération et la communication transfrontalières entre les autorités et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre désigne un point de contact national unique chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d’information et de la coopération transfrontalière au niveau de l’Union.	(22) Afin de faciliter la coopération et la communication transfrontalières entre les autorités et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre désigne un point de contact national unique chargé de coordonner les tâches liées à la cybersécurité et de la coopération transfrontalière au niveau de l’Union.

Amendement 17

Proposition de directive

Considérant 23


Texte proposé par la Commission	Amendement
(23) Les autorités compétentes ou les CSIRT devraient recevoir les notifications d’incidents provenant des entités de manière efficace et efficiente. Les points de contact uniques devraient être chargés de transmettre les notifications d’incidents aux points de contact uniques des autres États membres touchés. Au niveau des autorités des États membres, afin de garantir l’existence d’un seul point d’entrée dans chaque État membre, les points de contact uniques devraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes au titre du règlement XXXX/XXXX, qu’ils devraient pouvoir transmettre, le cas échéant, aux autorités nationales compétentes ou aux CSIRT en vertu de la présente directive.	(23) Les autorités compétentes ou les CSIRT devraient recevoir les notifications d’incidents provenant des entités de manière efficace et efficiente. Les points de contact uniques devraient être chargés de transmettre en temps réel les notifications d’incidents aux points de contact uniques de tous les autres États membres. Au niveau des autorités des États membres, afin de garantir l’existence d’un seul point d’entrée dans chaque État membre, les points de contact uniques devraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes au titre du règlement XXXX/XXXX, qu’ils devraient pouvoir transmettre, le cas échéant, aux autorités nationales compétentes ou aux CSIRT en vertu de la présente directive.

Amendement 18

Proposition de directive

Considérant 25


Texte proposé par la Commission	Amendement
(25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.	(25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19et à la directive 2002/58/CE, au nom et sur demande d’une entité en vertu de la présente directive, un examen de sécurité des systèmes d’information et de la zone de couverture utilisés pour la fourniture de leurs services, afin d'identifier, de réduire ou de prévenir des menaces spécifiques. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux. En outre, les risques en matière de cybersécurité ne devraient jamais servir de prétexte à des violations des droits fondamentaux.
__________________	__________________
19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).	19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

Amendement 19

Proposition de directive

Considérant 27


Texte proposé par la Commission	Amendement
(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.	(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou présentant de graves risques pour la sécurité publique dans plusieurs États membres ou dans l’Union dans son ensemble. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union. Les États membres doivent surveiller l’application des règles de l’UE, s’entraider en cas de problème transfrontalier, établir un dialogue plus structuré avec le secteur privé et collaborer face aux risques pour la sécurité et aux menaces liées aux nouvelles technologies, comme ils l’ont fait pour la 5G.
__________________	__________________
20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).	20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

Amendement 20

Proposition de directive

Considérant 33


Texte proposé par la Commission	Amendement
(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques auxquelles il convient de répondre par une meilleure application des règles existantes.	(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales et sectorielles, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales et sectorielles, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques auxquelles il convient de répondre par une meilleure application des règles existantes.

Amendement 21

Proposition de directive

Considérant 34


Texte proposé par la Commission	Amendement
(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.	(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait inviter les organes et agences concernés de l’Union participant à la politique de cybersécurité, notamment Europol, l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.

Amendement 22

Proposition de directive

Considérant 36


Texte proposé par la Commission	Amendement
(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient assurer un niveau suffisant de protection des données.	(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. Lorsque des données à caractère personnel sont transférées à un pays tiers ou à une organisation internationale, il convient d’appliquer le chapitre V du règlement (UE) 2016/679.

Amendement 23

Proposition de directive

Considérant 37


Texte proposé par la Commission	Amendement
(37) Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité défini dans la recommandation (UE) 2017/1584 via les réseaux de coopération existants, notamment le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure définissant les conditions de cette coopération. Le règlement intérieur d’UE-CyCLONe devrait préciser plus en détail les modalités selon lesquelles le réseau devrait fonctionner, y compris, mais sans s’y limiter, les rôles, les modes de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune (PSDC), le système de réponse aux crises (SRC) du Service européen pour l’action extérieure (SEAE) devrait être activé.	(37) Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité défini dans la recommandation (UE) 2017/1584 via les réseaux de coopération existants, notamment le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure définissant les conditions de cette coopération. Le règlement intérieur d’UE-CyCLONe devrait préciser plus en détail les modalités selon lesquelles le réseau devrait fonctionner, y compris, mais sans s’y limiter, les rôles, les modes de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise concerne deux États membres ou plus et s’il est suspecté qu’elle est de nature criminelle, le déclenchement du protocole de réaction d’urgence des services répressifs de l’Union devrait être envisagé. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune (PSDC), le système de réponse aux crises (SRC) du Service européen pour l’action extérieure (SEAE) devrait être activé.

Amendement 24

Proposition de directive

Considérant 45


Texte proposé par la Commission	Amendement
(45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers.	(45) Les entités devraient également répondre aux risques de cybersécurité découlant de leurs interactions et de leurs relations avec d’autres parties intéressées dans le cadre d’un écosystème plus large. Plus particulièrement, les entités devraient prendre des mesures appropriées pour veiller à ce que leur coopération avec les institutions universitaires et de recherche se déroule dans le respect de leurs politiques en matière de cybersécurité et des bonnes pratiques concernant l’accès et la diffusion d’informations en toute sécurité de manière générale et la protection des droits de propriété intellectuelle de manière spécifique. De même, vu l’importance et la valeur que représentent les données pour leurs activités, les entités devraient prendre toutes les mesures de cybersécurité appropriées lorsqu’elles ont recours à des services de transformation et d’analyse des données fournis par des tiers et signaler toute cyberattaque éventuelle identifiée.

Amendement 25

Proposition de directive

Considérant 46 bis (nouveau)


Texte proposé par la Commission	Amendement
	(46 bis) Il convient de tenir particulièrement compte du fait que les services, systèmes ou produits TIC soumis à des exigences spécifiques dans le pays d’origine pourraient représenter un obstacle à la conformité avec le droit de l’Union en matière de protection de la vie privée et des données à caractère personnel. Le cas échéant, le comité européen de la protection des données devrait être consulté dans le cadre de ces évaluations des risques. Les logiciels libres et open source ainsi que les matériels open source pourraient apporter des avantages considérables en matière de cybersécurité, notamment en ce qui concerne la transparence et la nature vérifiable des caractéristiques. Dans la mesure où cela pourrait contribuer à aborder et à atténuer les risques liés aux chaînes d’approvisionnement, leur utilisation devrait être privilégiée dans la mesure du possible, conformément à l’avis 5/2021 du CEPD1 bis.
	__________________
	1 bis Avis 5/2021 du Contrôleur européen de la protection des données concernant les stratégies de cybersécurité et la directive SRI 2.0 du 11 mars 2021.

Amendement 26

Proposition de directive

Considérant 47


Texte proposé par la Commission	Amendement
(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.	(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques que le groupe de coopération devrait détailler davantage, qui comprennent ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.

Amendement 27

Proposition de directive

Considérant 48 bis (nouveau)


Texte proposé par la Commission	Amendement
	(48 bis) Les petites et moyennes entreprises, souvent, ne disposent ni de l’échelle ni des ressources nécessaires pour répondre à une gamme de besoins élargie et croissante en matière de cybersécurité dans un monde interconnecté où le travail à distance ne cesse de croître. Les États membres devraient par conséquent aborder l’orientation et le soutien à apporter aux petites et moyennes entreprises dans le cadre de leurs stratégies nationales de cybersécurité.

Amendement 28

Proposition de directive

Considérant 50


Texte proposé par la Commission	Amendement
(50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de sécurité des réseaux et des systèmes d’information correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux.	(50) Étant donné l’importance croissante des services de communications interpersonnelles non fondés sur la numérotation, il convient de veiller à ce que ceux-ci soient également soumis à des exigences de sécurité appropriées au regard de leur nature spécifique et de leur importance économique. Les fournisseurs de tels services devraient par conséquent également garantir un niveau de cybersécurité correspondant au risque encouru. Étant donné que les fournisseurs de services de communications interpersonnelles non fondés sur la numérotation n’exercent normalement pas de contrôle effectif sur la transmission de signaux sur les réseaux, le degré de risque pour ces services peut être considéré, à certains égards, comme étant inférieur à ce qu’il est pour les services de communications électroniques traditionnels. Il en va de même pour les services de communications interpersonnelles fondés sur la numérotation et qui n’exercent aucun contrôle effectif sur la transmission de signaux.

Amendement 29

Proposition de directive

Considérant 52


Texte proposé par la Commission	Amendement
(52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. L’obligation qui est faite aux entités d’informer les destinataires de ces menaces ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. Informer les destinataires au sujet des menaces pour la sécurité devrait être gratuit.	(52) Lorsque cela est approprié, les entités devraient pouvoir informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. L’obligation qui est faite aux entités d’informer les destinataires de ces menaces ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. Informer les destinataires au sujet des menaces pour la sécurité devrait être gratuit.

Amendement 30

Proposition de directive

Considérant 53


Texte proposé par la Commission	Amendement
(53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.	(53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public mettent en œuvre des mesures de sécurité dès la conception et par défaut, et soient en mesure d’informer les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures supplémentaires qu’ils peuvent prendre pour sécuriser leurs appareils et communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de cryptage. Afin d’accroître la sécurité des logiciels et des matériels, il convient d’encourager les fournisseurs à recourir aux matériels open source et ouverts.

Amendement 31

Proposition de directive

Considérant 54


Texte proposé par la Commission	Amendement
(54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications, tout en apportant une réponse efficace à la criminalité.	(54) Afin de préserver la sécurité des réseaux et services de communications électroniques ainsi que les droits fondamentaux à la protection des données et au respect de la vie privée, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec la responsabilité des États membres de garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et de permettre la prévention et la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit national et de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications. Aucune disposition du présent règlement ne saurait être interprétée comme constituant un effort visant à affaiblir le du chiffrement bout en bout, que ce soit par l’intermédiaire d’«accès dérobés» ou d’autres solutions, étant donné que les lacunes en matière de chiffrement peuvent être exploitées à des fins malveillantes. Toute mesure visant à affaiblir le chiffrement ou à contourner l’architecture de la technologie peut présenter des risques importants pour les capacités de protection efficaces qui sont en jeu. Le décryptage non autorisé ou la surveillance des communications électroniques en dehors d’autorités légales doivent être interdits pour garantir l’efficacité de la technologie et de son utilisation plus large. Il importe que les États membres s’attaquent aux problèmes rencontrés par les autorités judiciaires et les experts qui recherchent les vulnérabilités. Dans certains États membres, les entités et les personnes physiques qui recherchent les vulnérabilités sont soumises à la responsabilité pénale et civile. Les États membres sont donc encouragés à établir des lignes directrices relatives à l’absence de poursuites et l’absence de responsabilité en matière de recherche sur la sécurité de l’information.

Amendement 32

Proposition de directive

Considérant 56


Texte proposé par la Commission	Amendement
(56) Les entités essentielles et importantes se retrouvent souvent dans une situation dans laquelle un incident en particulier, en raison de ses caractéristiques, doit être signalé à différentes autorités en raison d’obligations de notification incluses dans différents instruments juridiques. De tels cas créent des charges supplémentaires et peuvent également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. C’est pourquoi, afin de simplifier le signalement des incidents de sécurité, les États membres devraient mettre en place un point d’entrée unique pour toutes les notifications requises en vertu de la présente directive et d’autres actes législatifs de l’Union, comme le règlement (UE) 2016/679 et la directive 2002/58/CE. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices qui permettraient de simplifier et de rationaliser les informations de signalement exigées par le droit de l’Union et de réduire les charges pesant sur les entreprises.	(56) Les entités essentielles et importantes se retrouvent souvent dans une situation dans laquelle un incident en particulier, en raison de ses caractéristiques, doit être signalé à différentes autorités en raison d’obligations de notification incluses dans différents instruments juridiques. De tels cas créent des charges supplémentaires et peuvent également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. C’est pourquoi, afin de simplifier le signalement des incidents de sécurité, les États membres devraient mettre en place un point d’entrée unique requis en vertu de la présente directive et d’autres actes législatifs de l’Union, comme le règlement (UE) 2016/679 et la directive 2002/58/CE. L’ENISA, en collaboration avec le groupe de coopération et le comité européen de la protection des données, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices qui permettraient de simplifier et de rationaliser les informations de signalement exigées par le droit de l’Union et de réduire les charges pesant sur les entreprises.

Amendement 33

Proposition de directive

Considérant 57


Texte proposé par la Commission	Amendement
(57) Lorsqu’il y a lieu de suspecter qu’un incident est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à signaler aux autorités répressives compétentes tout incident de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le CE3 et l’ENISA.	(57) Lorsqu’il y a lieu de suspecter qu’un incident est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à signaler aux autorités répressives compétentes tout incident de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) d’Europol et l’ENISA.

Amendement 34

Proposition de directive

Considérant 58


Texte proposé par la Commission	Amendement
(58) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités chargées de la protection des données et les autorités de contrôle conformément à la directive 2002/58/CE.	(58) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités chargées de la protection des données et les autorités de contrôle conformément au règlement (UE) 2016/679 et à la directive 2002/58/CE.

Amendement 35

Proposition de directive

Considérant 59


Texte proposé par la Commission	Amendement
(59) Le maintien à jour des bases de données précises et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.	(59) Le maintien à jour des bases de données précises et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union applicable en matière de protection des données.

Amendement 36

Proposition de directive

Considérant 62


Texte proposé par la Commission	Amendement
(62) Les registres des noms de domaines de premier niveau ainsi que les entités leur fournissant des services d’enregistrement de noms de domaines devraient rendre publiques les données relatives à l’enregistrement de noms de domaines qui ne relèvent pas du champ d’application des règles de l’Union en matière de protection des données, telles que les données concernant les personnes morales25. Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient également permettre aux demandeurs d’accès légitimes d’accéder légalement à des données spécifiques d’enregistrement de noms de domaines concernant des personnes physiques, conformément à la législation de l’Union sur la protection des données. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais aux demandes de divulgation de données d’enregistrement de noms de domaines émanant de demandeurs d’accès légitimes. Les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures entourant la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices eu égard à ces procédures sans préjudice des compétences du comité européen de la protection des données.	(62) Pour se conformer à une obligation légale en vertu de l’article 6, paragraphe 1, point c), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679, les registres des noms de domaines de premier niveau ainsi que les entités leur fournissant des services d’enregistrement de noms de domaines devraient rendre publiques certaines données relatives à l’enregistrement de noms de domaines spécifiées dans le droit de l’État membre auquel ils sont soumis, telles que le nom de domaine et le nom de la personne morale. Les registres des noms de domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient également permettre aux demandeurs d’accès légitimes, notamment aux autorités compétentes au titre de la présente directive ou aux autorités de contrôle au titre du règlement (UE) 2016/679conformément à leurs compétences, d’accéder légalement à des données spécifiques d’enregistrement de noms de domaines. Les États membres devraient veiller à ce que les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines répondent dans les meilleurs délais aux demandes légales et dûment justifiées émanant des autorités publiques, y compris les autorités compétentes au titre de la présente directive, les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, ou les autorités de contrôle au titre du règlement (UE) 2016/679, en vue de la divulgation de données d’enregistrement de noms de domaines. Les registres des noms de domaines de premier niveau ainsi que les entités qui leur fournissent des services d’enregistrement de noms de domaines devraient établir des politiques et des procédures entourant la publication et la divulgation des données d’enregistrement, y compris des accords de niveau de service régissant la gestion des demandes d’accès des demandeurs d’accès légitimes. La procédure d’accès peut également inclure l’utilisation d’une interface, d’un portail ou d’un autre outil technique afin de fournir un système efficace de demande et d’accès aux données d’enregistrement. En vue de promouvoir des pratiques harmonisées dans l’ensemble du marché intérieur, la Commission peut adopter des lignes directrices eu égard à ces procédures sans préjudice des compétences du comité européen de la protection des données.
__________________	__________________
25 RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL, considérant 14, aux termes duquel «Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale».

Amendement 37

Proposition de directive

Considérant 63


Texte proposé par la Commission	Amendement
(63) Toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, le cas échéant, mener des actions communes de surveillance.	(63) Aux fins de la présente directive, toutes les entités essentielles et importantes au sens de la présente directive devraient relever de la juridiction de l’État membre dans lequel elles fournissent leurs services. Si l’entité fournit des services dans plus d’un État membre, elle doit dès lors relever de la juridiction distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient se mettre d’accord sur les classifications constitutives, coopérer dans toute la mesure du possible, se prêter mutuellement assistance en temps réel et, le cas échéant, mener des actions communes de surveillance.

Amendement 38

Proposition de directive

Considérant 64


Texte proposé par la Commission	Amendement
(64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. La compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.	(64) Afin de tenir compte de la nature transfrontalière des services et des opérations des fournisseurs de services DNS, des registres des noms de domaines de premier niveau, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données et des fournisseurs de service numérique, un seul État membre devrait avoir compétence eu égard à ces entités. Aux fins de la présente directive, la compétence devrait être attribuée à l’État membre dans lequel l’entité concernée a son principal établissement dans l’Union. Le critère d’établissement aux fins de la présente directive suppose l’exercice effectif d’une activité au moyen d’une installation stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard. Le respect de ce critère ne devrait pas dépendre de la localisation physique du réseau et des systèmes d’information dans un lieu donné; la présence et l’utilisation de tels systèmes ne constituent pas en soi l’établissement principal et ne sont donc pas des critères déterminants permettant de déterminer l’établissement principal. L’établissement principal devrait être le lieu où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité dans l’Union. Cela correspondra généralement au lieu d’administration centrale des entreprises dans l’Union. Si ces décisions ne sont pas prises dans l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où l’entité possède un établissement avec le plus grand nombre de salariés dans l’Union. Lorsque les services sont effectués par un groupe d’entreprises, l’établissement principal de l’entreprise qui exerce le contrôle devrait être considéré comme étant l’établissement principal du groupe d’entreprises.

Amendement 39

Proposition de directive

Considérant 69


Texte proposé par la Commission	Amendement
(69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé dans le règlement (UE) 2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Ces mesures peuvent nécessiter le traitement des types de données à caractère personnel suivants: Adresses IP, localisateurs de ressources uniformes (URL), noms de domaines et adresses électroniques.	(69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité est nécessaire au respect des obligations légales qui leur incombent en vertu du droit national transposant la présente directive et est donc couvert par l'article 6, paragraphe 1, point c), et l'article 6, paragraphe 3, du règlement (UE) 2016/679. En outre, ce traitement devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé à l’article 6, paragraphe 1, point f), du règlement (UE)2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents de cybersécurité, c’est pourquoi les autorités compétentes et les autorités chargées de la protection des données dans les États membres de l’UE devraient coopérer et échanger des informations sur tous les aspects pertinents pour traiter n’importe quel cas de violation de la sécurité des données à caractère personnel. Ces mesures peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, notamment les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaines et les adresses électroniques.

Amendement 40

Proposition de directive

Considérant 71


Texte proposé par la Commission	Amendement
(71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la nature, de la gravité et de la durée de la violation, des dommages ou pertes réels causés ou des dommages ou pertes potentiels qui auraient pu être provoqués, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. L’imposition de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.	(71) Afin de rendre l’application effective, il convient d’établir une liste minimale de sanctions administratives pour violation des obligations de gestion des risques et de notification en matière de cybersécurité prévues par la présente directive, en établissant un cadre clair et cohérent pour ces sanctions dans toute l’Union. Il convient de tenir dûment compte de la gravité et de la durée de la violation, des dommages ou pertes réels causés ou des dommages ou pertes potentiels qui auraient pu être provoqués, de toute infraction antérieure pertinente, de la manière dont l’infraction a été portée à la connaissance de l’autorité compétente, du caractère intentionnel ou négligent de la violation, des mesures prises pour prévenir ou atténuer les dommages et/ou pertes subis, du degré de responsabilité ou de toute violation antérieure pertinente, du degré de coopération avec l’autorité compétente et de toute autre circonstance aggravante ou atténuante. L’imposition de sanctions y compris d’amendes administratives devrait faire l’objet de garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et de la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective et à une procédure régulière.

Amendement 41

Proposition de directive

Considérant 74


Texte proposé par la Commission	Amendement
(74) Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe ne bis in idem tel qu’il a été interprété par la Cour de justice.	(74) Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Ces sanctions pénales peuvent aussi permettre la saisie des profits réalisés en violation du présent règlement. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe ne bis in idem tel qu’il a été interprété par la Cour de justice.

Amendement 42

Proposition de directive

Considérant 76


Texte proposé par la Commission	Amendement
(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant tout ou partie des services fournis par une entité essentielle et en l’interdiction temporaire de l’exercice de fonctions de direction par une personne physique. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.	(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant tout ou partie des services fournis par une entité essentielle. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris l’accès à des voies de recours juridictionnel effectives, une procédure régulière, la présomption d’innocence et les droits de la défense.

Amendement 43

Proposition de directive

Considérant 77


Texte proposé par la Commission	Amendement
(77) La présente directive devrait établir des règles de coopération entre les autorités compétentes et les autorités de contrôle conformément au règlement (UE) 2016/679 pour traiter les violations relatives aux données à caractère personnel.	(77) La présente directive devrait établir des règles de coopération entre les autorités compétentes au titre de la présente directive et les autorités de contrôle au titre du règlement (UE) 2016/679 pour traiter les violations relatives aux données à caractère personnel.

Amendement 44

Proposition de directive

Considérant 79


Texte proposé par la Commission	Amendement
(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres.	(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres. L’UE devrait faciliter une réponse coordonnée aux incidents et aux crises de cybersécurité de grande ampleur, tout en apportant une aide à la reprise aux victimes de telles cyberattaques.

Amendement 45

Proposition de directive

Considérant 82 bis (nouveau)


Texte proposé par la Commission	Amendement
	(82 bis) La présente directive ne s’applique pas aux institutions, organes et organismes de l’Union. Toutefois, les organes de l’Union devraient être considérés comme des entités essentielles ou importantes dans le cadre de la présente directive. Afin d’atteindre un niveau uniforme de protection grâce à des règles cohérentes et homogènes, la Commission devrait publier une proposition législative visant à inclure les institutions, organes et organismes de l’Union dans le cadre de cybersécurité à l’échelle de l’UE au plus tard le 31 décembre 2022.

Amendement 46

Proposition de directive

Considérant 84


Texte proposé par la Commission	Amendement
(84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l’Union européenne et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive devrait être mise en œuvre conformément à ces droits et principes,	(84) La présente directive respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l’Union européenne et, en particulier, le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d’entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive devrait être mise en œuvre conformément à ces droits et principes, et dans le respect intégral de la législation existante de l’Union régissant ces questions. Tout traitement de données à caractère personnel en vertu de la présente directive est soumis au règlement (UE) 2016/679 et à la directive 2002/58/CE, dans leur champ d'application respectif, y compris les tâches et les pouvoirs des autorités de contrôle compétentes pour surveiller le respect de ces instruments juridiques.

Amendement 47

Proposition de directive

Article 2 – paragraphe 1


Texte proposé par la Commission	Amendement
1. La présente directive s’applique aux entités publiques et privées d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II. La présente directive ne s’applique pas aux entités qui peuvent être qualifiées de microentreprises et de petites entreprises au sens de la recommandation 2003/361/CE de la Commission28.	1. La présente directive s’applique aux entités publiques et privées d’un type appelé «entités essentielles» à l’annexe I et «entités importantes» à l’annexe II. La présente directive ne s’applique pas aux entités qui peuvent être qualifiées de microentreprises et de petites entreprises au sens de la recommandation 2003/361/CE de la Commission28.L’article 3, paragraphe 4, de l’annexe de la recommandation 2003/361/CE de la Commission n’est pas applicable.
__________________	__________________
28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).	28 Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36).

Amendement 48

Proposition de directive

Article 2 – paragraphe 2 – partie introductive


Texte proposé par la Commission	Amendement
2. Toutefois, quelle que soit leur taille, la présente directive s’applique également aux entités visées aux annexes I et II, dans les cas suivants:	2. Toutefois, quelle que soit leur taille, et sur la base d’une évaluation des risques réalisée conformément à l’article 18, la présente directive s’applique également aux entités visées aux annexes I et II, dans les cas suivants:

Amendement 49

Proposition de directive

Article 2 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) l’entité est le seul prestataire de services dans un État membre;	c) l’entité est le seul prestataire de services au niveau national ou régional;

Amendement 50

Proposition de directive

Article 2 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) une éventuelle interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;	d) une interruption du service fourni par l’entité pourrait avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique;

Amendement 51

Proposition de directive

Article 2 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) une éventuelle perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;	e) une perturbation du service fourni par l’entité pourrait induire des risques systémiques, en particulier pour les secteurs où cette perturbation pourrait avoir une incidence transfrontalière;

Amendement 52

Proposition de directive

Article 2 – paragraphe 4 bis (nouveau)


Texte proposé par la Commission	Amendement
	4 bis. Tout traitement de données à caractère personnel en vertu de la présente directive est conforme au règlement (UE) 2016/679 et à la directive 2002/58/CE et est limité à ce qui est strictement nécessaire et proportionné aux fins de la présente directive.

Amendement 53

Proposition de directive

Article 2 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations considérées comme confidentielles en application de la réglementation nationale et de l’Union, telle que les règles applicables au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif de cet échange. L’échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités essentielles ou importantes.	5. Sans préjudice de l’article 346 du traité sur le fonctionnement de l’Union européenne, les informations considérées comme confidentielles en application de la réglementation nationale et de l’Union, telle que les règles applicables au secret des affaires, ne peuvent faire l’objet d’un échange avec la Commission et d’autres autorités concernées que si cet échange est nécessaire à l’application de la présente directive. Les informations échangées se limitent au minimum nécessaire à l’objectif de cet échange. L’échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités essentielles ou importantes.

Amendement 54

Proposition de directive

Article 2 – paragraphe 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Au plus tard le 31 décembre 2021, la Commission publie une proposition législative visant à inclure les institutions, organes et organismes de l’Union dans le cadre global de l’Union en matière de cybersécurité, dans le but de parvenir à un niveau de protection uniforme à l’aide de règles cohérentes et homogènes.

Amendement 55

Proposition de directive

Article 4 – alinéa 1 – point 1 – sous-point b


Texte proposé par la Commission	Amendement
b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques;	b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques, et qui sont intégrés dans le système informatique et utilisés pour la fourniture des services auxquels ils sont destinés;

Amendement 56

Proposition de directive

Article 4 – alinéa 1 – point 4


Texte proposé par la Commission	Amendement
4) «stratégie nationale en matière de cybersécurité», le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques en matière de sécurité des réseaux et des systèmes d’information dans cet État membre;	4) «stratégie nationale en matière de cybersécurité», le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques en matière de cybersécurité dans cet État membre;

Amendement 57

Proposition de directive

Article 4 – alinéa 1 – point 12


Texte proposé par la Commission	Amendement
12) «point d’échange internet (IXP)» une structure de réseau qui permet l’interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet; un IXP n’assure l’interconnexion que pour des systèmes autonomes; un IXP n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic;	supprimé

Amendement 58

Proposition de directive

Article 4 – alinéa 1 – point 22


Texte proposé par la Commission	Amendement
22) «plateforme de services de réseaux sociaux», une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations);	supprimé

Amendement 59

Proposition de directive

Article 4 – alinéa 1 – point 24


Texte proposé par la Commission	Amendement
24) «entité», toute personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;	24) «entité», toute personne physique ou toute personne morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;

Amendement 60

Proposition de directive

Article 5 – paragraphe 1 – point a


Texte proposé par la Commission	Amendement
a) une définition des objectifs et des priorités de la stratégie des États membres en matière de cybersécurité;	a) une définition des objectifs et des priorités de la stratégie des États membres en matière de cybersécurité, tenant compte du niveau général de sensibilisation des citoyens à la cybersécurité ainsi que du niveau général de sécurité des appareils connectés des consommateurs;

Amendement 61

Proposition de directive

Article 5 – paragraphe 1 – point f


Texte proposé par la Commission	Amendement
f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil38 [directive sur la résilience des entités critiques] aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.	f) un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente directive et de la directive (UE) XXXX/XXXX du Parlement européen et du Conseil38 [directive sur la résilience des entités critiques], dans et entre les États membres, aux fins du partage d’informations sur les incidents et les cybermenaces et de l’exercice des tâches de contrôle.
__________________	__________________
38 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]	38 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]

Amendement 62

Proposition de directive

Article 5 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics;	b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris, mais sans s’y limiter, les exigences en matière de cryptage et la promotion de l’utilisation de produits de cybersécurité open source;

Amendement 63

Proposition de directive

Article 5 – paragraphe 2 – point d bis (nouveau)


Texte proposé par la Commission	Amendement
	d bis) une politique visant à soutenir l’utilisation de données ouvertes et open source dans le cadre de la sécurité par la transparence;

Amendement 64

Proposition de directive

Article 5 – paragraphe 2 – point d ter (nouveau)


Texte proposé par la Commission	Amendement
	d ter) une politique visant à promouvoir la protection et la sécurité des données à caractère personnel des utilisateurs des services en ligne;

Amendement 65

Proposition de directive

Article 5 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) une politique de promotion et de développement des compétences en matière de cybersécurité, de sensibilisation et d’initiatives de recherche et développement;	e) une politique de promotion et de développement des compétences en matière de cybersécurité, de sensibilisation et d’initiatives de recherche et développement, y compris l’élaboration de programmes de formation sur la cybersécurité afin de fournir aux entités des spécialistes et des techniciens;

Amendement 66

Proposition de directive

Article 5 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) une politique de soutien aux institutions universitaires et de recherche visant à développer des outils de cybersécurité et à sécuriser les infrastructures de réseau;	f) une politique de soutien aux institutions universitaires et de recherche qui contribuent à la stratégie nationale de cybersécurité en élaborant et en déployant des outils de cybersécurité et des infrastructures de réseau sécurisées qui contribuent à la stratégie nationale de cybersécurité, y compris des politiques spécifiques traitant des questions liées à la représentation et à l’équilibre entre les hommes et les femmes dans ce secteur;

Amendement 67

Proposition de directive

Article 5 – paragraphe 2 – point h


Texte proposé par la Commission	Amendement
h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.	h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité et leur capacité à réagir aux incidents de cybersécurité.

Amendement 68

Proposition de directive

Article 6 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.	2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués. Afin de garantir la sécurité et l’accessibilité des informations contenues dans le registre, l’ENISA applique les mesures de sécurité les plus récentes et met les informations à disposition dans des formats lisibles par machine au moyen d’interfaces correspondantes.

Amendement 69

Proposition de directive

Article 7 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) les objectifs des mesures et activités nationales de préparation;	a) les objectifs des mesures et activités nationales et, le cas échéant, régionales et transfrontalières de préparation;

Amendement 70

Proposition de directive

Article 10 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) la réalisation, à la demande d’une entité, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;	e) la réalisation, à la demande d’une entité, d’un examen de sécurité des systèmes d’information et de la zone de couverture utilisés pour la fourniture de leurs services afin d’identifier, de réduire ou de prévenir des menaces spécifiques; le traitement des données à caractère personnel dans le cadre de ce scannage est limité à ce qui est strictement nécessaire et, dans tous les cas, aux adresses IP et aux URL;

Amendement 71

Proposition de directive

Article 11 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.	4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre, conformément à leurs compétences respectives.
__________________	__________________
39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]	39 [insérer le titre complet et la référence de la publication au JO lorsqu’ils seront connus]

Amendement 72

Proposition de directive

Article 11 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement des informations aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.	5. Les États membres veillent à ce que leurs autorités compétentes fournissent régulièrement, en temps utile, des informations aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] eu égard aux risques en matière de cybersécurité, aux cybermenaces et aux incidents affectant les entités essentielles identifiées comme critiques, ou comme entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques], ainsi qu’eu égard aux mesures prises par les autorités compétentes en réponse à ces risques et incidents.

Amendement 73

Proposition de directive

Article 12 – paragraphe 3 – partie introductive


Texte proposé par la Commission	Amendement
3. Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.	3. Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le service européen pour l’action extérieure, le Centre européen de lutte contre la cybercriminalité à Europol et le comité européen de la protection des données participent aux activités du groupe de coopération en qualité d’observateurs. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.

Amendement 74

Proposition de directive

Article 12 – paragraphe 3 – alinéa 1


Texte proposé par la Commission	Amendement
Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés à participer à ses travaux.	Lorsque cela est nécessaire à l’accomplissement de ses tâches, le groupe de coopération invite des représentants des acteurs concernés à participer à ses travaux et le Parlement européen à participer en qualité d’observateur.

Amendement 75

Proposition de directive

Article 12 – paragraphe 8


Texte proposé par la Commission	Amendement
8. Le groupe de coopération se réunit régulièrement et au moins une fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de promouvoir la coopération stratégique et l’échange d’informations.	8. Le groupe de coopération se réunit régulièrement et au moins deux fois par an avec le groupe sur la résilience des entités critiques instauré en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] afin de faciliter la coopération stratégique et l’échange d’informations en temps réel.

Amendement 76

Proposition de directive

Article 13 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le réseau des CSIRT est composé de représentants des CSIRT des États membres et du CERT-UE. La Commission participe au réseau des CSIRT en qualité d’observateur. L’ENISA assure le secrétariat et soutient activement la coopération entre les CSIRT.	2. Le réseau des CSIRT est composé de représentants des CSIRT des États membres et du CERT-UE. La Commission et le Centre européen de lutte contre la cybercriminalité d’Europol participent au réseau des CSIRT en qualité d’observateurs. L’ENISA assure le secrétariat et soutient activement la coopération entre les CSIRT.

Amendement 77

Proposition de directive

Article 14 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations.	2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. Le Centre européen de lutte contre la cybercriminalité d’Europol participe aux activités du réseau UE-CyCLONe en qualité d’observateur. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations.

Amendement 78

Proposition de directive

Article 14 – paragraphe 6


Texte proposé par la Commission	Amendement
6. EU-CyCLONe coopère avec le réseau des CSIRT sur la base des modalités procédurales convenues.	6. EU-CyCLONe coopère avec le réseau des CSIRT sur la base des modalités procédurales convenues, et avec les services répressifs dans le cadre du protocole de réaction d’urgence des services répressifs de l’Union.

Amendement 79

Proposition de directive

Article 15 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union. Le rapport comporte notamment une évaluation des éléments suivants:	1. L’ENISA publie, en coopération avec la Commission, un rapport annuel sur l’état de la cybersécurité dans l’Union. Le rapport est publié dans un format lisible par machine et comporte notamment une évaluation des éléments suivants:

Amendement 80

Proposition de directive

Article 15 – paragraphe 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) l’incidence des incidents de cybersécurité sur la protection des données à caractère personnel dans l’Union.

Amendement 81

Proposition de directive

Article 15 – paragraphe 1 – point d ter (nouveau)


Texte proposé par la Commission	Amendement
	c ter) une vue d’ensemble du niveau général de sensibilisation à la cybersécurité et d’utilisation des technologies de cybersécurité parmi les citoyens, ainsi que du niveau général de sécurité des dispositifs connectés orientés vers le consommateur mis sur le marché au sein de l’Union.

Amendement 82

Proposition de directive

Article 17 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les membres de l’organe de direction suivent régulièrement des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques et les pratiques de gestion en matière de cybersécurité et leur incidence sur les activités de l’entité.	2. Les États membres veillent à ce que les membres de l’organe de direction et les spécialistes chargés de la cybersécurité suivent régulièrement des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer l’évolution des risques et des pratiques de gestion en matière de cybersécurité et leur incidence sur les activités de l’entité.

Amendement 83

Proposition de directive

Article 18 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de la fourniture de leurs services. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances.	1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la cybersécurité des réseaux et des systèmes d’information utilisés dans le cadre de la fourniture de leurs services, pour assurer la continuité de ces services et pour réduire les risques qui se posent pour les droits des personnes lors du traitement de leurs données à caractère personnel. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de cybersécurité adapté au risque existant, compte tenu de l’état des connaissances.

Amendement 84

Proposition de directive

Article 18 – paragraphe 2 – point g


Texte proposé par la Commission	Amendement
g) l’utilisation de la cryptographie et du cryptage.	g) l’utilisation de la cryptographie et du cryptage renforcé.

Amendement 85

Proposition de directive

Article 18 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées visées au paragraphe 2, point d), les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.	3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées et proportionnées visées au paragraphe 2, point d), les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé. Les autorités compétentes fournissent des orientations aux entités sur l’application pratique et proportionnée.

Amendement 86

Proposition de directive

Article 18 – paragraphe 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Les États membres confèrent à l’utilisateur d’un réseau et d’un système d’information fournis par une entité essentielle ou importante le droit d’obtenir de la part de celle-ci des informations concernant les mesures techniques et organisationnelles qui ont été mises en place pour gérer les risques qui menacent la sécurité du réseau et des systèmes d’information. Les États membres définissent les limitations à ce droit.

Amendement 87

Proposition de directive

Article 19 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.	1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, procède à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.

Amendement 88

Proposition de directive

Article 20 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT conformément aux paragraphes 3 et 4 tout incident ayant une incidence significative sur la fourniture de leurs services. Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services les incidents susceptibles de nuire à la fourniture de ces services. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant aux autorités compétentes ou au CSIRT de déterminer si l’incident a une incidence au niveau transfrontalier.	1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais, et en tout cas dans les 24 heures, aux autorités compétentes ou au CSIRT conformément aux paragraphes 3 et 4 tout incident ayant une incidence significative sur la fourniture de leurs services, et informent les autorités répressives dans le cas où l’incident est de nature malveillante suspectée ou avérée. Ces entités notifient dans les meilleurs délais, et en tout cas dans les 24 heures, aux destinataires de leurs services les incidents susceptibles de nuire à la fourniture de ces services et donnent des informations pouvant leur permettre d’atténuer les effets néfastes des cyberattaques. À titre exceptionnel, lorsqu’une information publique pourrait déclencher de nouvelles cyberattaques, ces entités peuvent retarder la notification. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant aux autorités compétentes ou au CSIRT de déterminer si l’incident a une incidence au niveau transfrontalier.

Amendement 89

Proposition de directive

Article 20 – paragraphe 2 – partie introductive


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT toute cybermenace importante que ces entités décèlent et qui aurait pu entraîner un incident significatif.	2. Les États membres veillent à ce que les entités essentielles et importantes soient en mesure de notifier aux autorités compétentes ou au CSIRT toute cybermenace importante que ces entités décèlent et qui aurait pu entraîner un incident significatif.

Amendement 90

Proposition de directive

Article 20 – paragraphe 2 – alinéa 1


Texte proposé par la Commission	Amendement
Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également leurs destinataires de la menace elle-même. La notification n’accroît pas la responsabilité de l’entité qui en est à l’origine.	Le cas échéant, ces entités sont autorisées à notifier aux destinataires de leurs services qui peuvent être affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Lorsque cette notification est effectuée, les entités informent également leurs destinataires de la menace elle-même. La notification n’accroît pas la responsabilité de l’entité qui en est à l’origine.

Amendement 91

Proposition de directive

Article 20 – paragraphe 4 – point c – partie introductive


Texte proposé par la Commission	Amendement
c) un rapport final au plus tard un mois après la présentation du rapport visé au point a), comprenant au moins les éléments suivants:	c) un rapport complet au plus tard un mois après la présentation du rapport visé au point a), comprenant au moins les éléments suivants:

Amendement 92

Proposition de directive

Article 20 – paragraphe 4 – point c – sous-point ii


Texte proposé par la Commission	Amendement
ii) le type de menace ou la cause profonde qui a probablement déclenché l’incident;	ii) le type de cybermenace ou la cause profonde qui a probablement déclenché l’incident;

Amendement 93

Proposition de directive

Article 20 – paragraphe 4 – point c – sous-point iii


Texte proposé par la Commission	Amendement
iii) les mesures d’atténuation appliquées et en cours.	iii) les mesures d’atténuation ou de correction appliquées et en cours.

Amendement 94

Proposition de directive

Article 20 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Lorsque c’est approprié, et notamment si l’incident visé au paragraphe 1 concerne deux États membres ou plus, l’autorité compétente ou le CSIRT informe les autres États membres touchés et l’ENISA de l’incident. Ce faisant, les autorités compétentes, les CSIRT et les points de contact uniques doivent, dans le respect du droit de l’Union ou de la législation nationale conforme au droit de l’Union, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.	6. Lorsque c’est approprié, et notamment si l’incident visé au paragraphe 1 concerne deux États membres ou plus, l’autorité compétente ou le CSIRT informe les autres États membres touchés et l’ENISA de l’incident. Si l’incident concerne deux États membres ou plus et s’il est suspecté qu’il est de nature criminelle, l’autorité compétente ou le CSIRT informe Europol. Ce faisant, les autorités compétentes, les CSIRT et les points de contact uniques doivent, dans le respect du droit de l’Union ou de la législation nationale conforme au droit de l’Union, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.

Amendement 95

Proposition de directive

Article 22 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA, en collaboration avec les États membres, formule des avis et des lignes directrices concernant les domaines techniques qui doivent être pris en considération en lien avec le paragraphe 1, et concernant les normes existantes, y compris les normes nationales des États membres, qui permettraient de couvrir ces domaines.	2. Après avoir consulté le comité européen de la protection des données, l’ENISA, en collaboration avec les États membres, formule des avis et des lignes directrices concernant les domaines techniques qui doivent être pris en considération en lien avec le paragraphe 1, et concernant les normes existantes, y compris les normes nationales des États membres, qui permettraient de couvrir ces domaines.

Amendement 96

Proposition de directive

Article 23 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau collectent et maintiennent les données d’enregistrement de noms de domaines exactes et complètes au sein d’une base de données dédiée avec la diligence requise, sous réserve du droit de l’Union en matière de protection des données à caractère personnel.	1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres veillent à ce que les registres des noms de domaines de premier niveau mettent en place des politiques et des procédures pour assurer la collecte et le maintien des données d’enregistrement de noms de domaines exactes et complètes au sein d’une base de données dédiée conformément au droit de l’Union en matière de protection des données à caractère personnel. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.

Amendement 97

Proposition de directive

Article 23 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les bases de données relatives à l’enregistrement des noms de domaines visées au paragraphe 1 contiennent des informations pertinentes pour identifier et contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau.	2. Les États membres veillent à ce que les bases de données relatives à l’enregistrement des noms de domaines visées au paragraphe 1 contiennent les informations nécessaires pour identifier et contacter les titulaires des noms de domaines, à savoir leur nom, leur adresse physique et de courrier électronique, ainsi que leur numéro de téléphone, et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau.

Amendement 98

Proposition de directive

Article 23 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau aient mis en place des politiques et des procédures visant à garantir que les bases de données contiennent des informations exactes et complètes. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.	supprimé

Justification

Ce paragraphe est intégré à l'article 23, paragraphe 1.

Amendement 99

Proposition de directive

Article 23 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau publient, dans les meilleurs délais après l’enregistrement d’un nom de domaine, des données d’enregistrement de domaine qui ne sont pas des données personnelles.	4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau publient, conformément à l’article 6, paragraphe 1, point c), et à l’article 6, paragraphe 3, du règlement (UE) 2016/679 et dans les meilleurs délais après l’enregistrement d’un nom de domaine, certaines données d’enregistrement de nom de domaine, telles que le nom de domaine et le nom de la personne morale.

Amendement 100

Proposition de directive

Article 23 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau donnent accès aux données spécifiques d’enregistrement de noms de domaines sur demande légitime et dûment justifiée des demandeurs d’accès légitimes, dans le respect du droit de l’Union en matière de protection des données. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau répondent dans les meilleurs délais à toutes les demandes d’accès. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.	5. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau donnent accès aux données spécifiques d’enregistrement de noms de domaines sur demande légitime et dûment justifiée des autorités publiques, y compris les autorités compétentes au titre de la présente directive, les autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention d’infractions pénales, d’enquêtes et de poursuites en la matière, ou les autorités de contrôle au titre du règlement (UE) 2016/679, dans le respect du droit de l’Union en matière de protection des données. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau répondent dans les meilleurs délais à toutes les demandes d’accès légitimes et dûment justifiées. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.

Amendement 101

Proposition de directive

Article 24 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Si une entité visée au paragraphe 1 n’est pas établie dans l’Union, mais offre des services dans l’Union, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Ladite entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. En l’absence d’un représentant désigné au sein de l’Union en vertu du présent article, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour non-respect des obligations découlant de la présente directive.	3. Si une entité visée au paragraphe 1 n’est pas établie dans l’Union, mais offre des services dans l’Union, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Sans préjudice des compétences des autorités de contrôle au titre du règlement (UE) 2016/679, ladite entité est considérée comme relevant de la compétence de l’État membre dans lequel le représentant est établi. En l’absence d’un représentant désigné au sein de l’Union en vertu du présent article, tout État membre dans lequel l’entité fournit des services peut intenter une action en justice contre l’entité pour non-respect des obligations découlant de la présente directive.

Amendement 102

Proposition de directive

Article 25 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA crée et tient un registre des entités essentielles et importantes visées à l’article 24, paragraphe 1. Les entités doivent soumettre les informations suivantes à l’ENISA au plus tard [12 mois après l’entrée en vigueur de la directive]:	1. L’ENISA crée et tient un registre sécurisé des entités essentielles et importantes visées à l’article 24, paragraphe 1. Les entités doivent soumettre les informations suivantes à l’ENISA au plus tard [12 mois après l’entrée en vigueur de la directive]:

Amendement 103

Proposition de directive

Article 26 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. Sans préjudice du règlement (UE) 2016/679, les États membres veillent à ce que les entités essentielles et importantes puissent échanger entre elles des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux vulnérabilités, aux indicateurs de compromission, aux tactiques, techniques et procédures, aux alertes de cybersécurité et aux outils de configuration, lorsque ce partage d’informations:	1. Sans préjudice du règlement (UE) 2016/679 ou de la directive 2002/58/CE, les États membres veillent à ce que les entités essentielles et importantes puissent échanger entre elles des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux vulnérabilités, aux indicateurs de compromission, aux tactiques, techniques et procédures, aux alertes de cybersécurité et aux outils de configuration, ainsi qu’à la localisation ou à l’identité de l’auteur de l’attaque, lorsque ce partage d’informations:

Amendement 104

Proposition de directive

Article 28 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données.	2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités de contrôle, sans préjudice des compétences, des tâches et des pouvoirs des autorités de contrôle au titre du règlement (UE) 2016/679. À cette fin, les autorités compétentes et les autorités de de contrôle échangent des informations pertinentes pour leurs domaines de compétence respectifs. En outre, à la demande des autorités de contrôle compétentes, les autorités compétentes leur communiquent toutes les informations obtenues dans le cadre de tout audit ou enquête ayant trait au traitement de données à caractère personnel.

Amendement 105

Proposition de directive

Article 29 – paragraphe 4 – point h


Texte proposé par la Commission	Amendement
h) d’ordonner à ces entités de rendre publics les aspects de non-respect des obligations énoncées dans la présente directive de manière spécifique;	supprimé

Amendement 106

Proposition de directive

Article 29 – paragraphe 5 – point b


Texte proposé par la Commission	Amendement
b) d’imposer ou de demander aux juridictions ou organes compétents d'imposer, conformément à la législation nationale, une interdiction temporaire interdisant à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans cette entité essentielle, ainsi qu’à toute autre personne physique tenue pour responsable de la violation, d’exercer des responsabilités dirigeantes dans cette entité.	supprimé

Amendement 107

Proposition de directive

Article 29 – paragraphe 5 – alinéa 1


Texte proposé par la Commission	Amendement
Ces sanctions sont appliquées jusqu’à ce que l’entité prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l'origine de l'application de ces sanctions.	Cette sanction est appliquée jusqu’à ce que l’entité prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l’origine de l’application de ces sanctions.

Amendement 108

Proposition de directive

Article 29 – paragraphe 7 – point c


Texte proposé par la Commission	Amendement
c) des dommages effectifs causés, des pertes subies, des dommages potentiels ou des pertes qui auraient pu être engendrées, dans la mesure où il est possible de les déterminer. Lors de l’évaluation de cet aspect, il est tenu compte, entre autres, des pertes financières ou économiques effectives ou potentielles, des incidences sur d’autres services, du nombre d’utilisateurs touchés ou potentiellement touchés;	c) des dommages effectifs causés, matériels ou non matériels, ou des pertes subies, dans la mesure où il est possible de les déterminer. Lors de l’évaluation de cet aspect, il est tenu compte, entre autres, des pertes financières ou économiques effectives ou potentielles, des incidences sur d’autres services, du nombre d’utilisateurs touchés ou potentiellement touchés;

Amendement 109

Proposition de directive

Article 29 – paragraphe 7 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) toute infraction antérieure pertinente commise par l’entité concernée;

Amendement 110

Proposition de directive

Article 29 – paragraphe 7 – point c ter (nouveau)


Texte proposé par la Commission	Amendement
	c ter) la manière dont l'autorité compétente a eu connaissance de la violation, notamment si, et dans quelle mesure, l’entité a notifié la violation;

Amendement 111

Proposition de directive

Article 29 – paragraphe 7 – point g


Texte proposé par la Commission	Amendement
g) du degré de coopération de la ou des personnes physiques ou morales tenues pour responsables avec les autorités compétentes.	g) le degré de coopération établi avec les autorités compétentes en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs;

Amendement 112

Proposition de directive

Article 29 – paragraphe 7 – point g bis (nouveau)


Texte proposé par la Commission	Amendement
	g bis) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

Amendement 113

Proposition de directive

Article 29 – paragraphe 9


Texte proposé par la Commission	Amendement
9. Les États membres veillent à ce que leurs autorités compétentes informent les autorités compétentes de l’État membre concerné désignées conformément à la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] lorsqu’ils exercent leurs pouvoirs de surveillance et d’exécution dans le but de garantir qu’une entité définie comme critique ou une entité équivalente à une entité critique en vertu de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] respecte ses obligations au titre de la présente directive. Sur demande des autorités compétentes au titre de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques], les autorités compétentes peuvent exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique ou équivalente.	9. Les États membres veillent à ce que leurs autorités compétentes informent en temps réel les autorités compétentes de tous les États membres concernés désignées conformément à la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] lorsqu’ils exercent leurs pouvoirs de surveillance et d’exécution dans le but de garantir qu’une entité définie comme critique ou une entité équivalente à une entité critique en vertu de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques] respecte ses obligations au titre de la présente directive. Sur demande des autorités compétentes au titre de la directive (UE) XXXX/XXXX [directive relative à la résilience des entités critiques], les autorités compétentes peuvent exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique ou équivalente.

Amendement 114

Proposition de directive

Article 30 – paragraphe 4 – point g


Texte proposé par la Commission	Amendement
g) d’ordonner à ces entités de rendre publics les aspects de non-respect de leurs obligations énoncées dans la présente directive de manière spécifique;	supprimé

Amendement 115

Proposition de directive

Article 30 – paragraphe 4 – point h


Texte proposé par la Commission	Amendement
h) de faire une déclaration publique désignant la ou les personnes physiques et morales responsables de la violation d’une obligation énoncée dans la présente directive et la nature de cette violation;	h) de faire une déclaration publique désignant la ou les personnes physiques responsables de la violation d’une obligation énoncée dans la présente directive et la nature de cette violation;

Amendement 116

Proposition de directive

Article 31 – paragraphe 2


Texte proposé par la Commission	Amendement
2. En fonction des circonstances propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 29, paragraphe 4, points a) à i), à l’article 29, paragraphe 5, et à l’article 30, paragraphe 4, points a) à h).	2. Les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 29, paragraphe 4, points a) à i), à l’article 29, paragraphe 5, et à l’article 30, paragraphe 4, points a) à h), en fonction des circonstances propres à chaque cas.

Amendement 117

Proposition de directive

Article 31 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant, dans chaque cas d’espèce, il est dûment tenu compte, au minimum, des éléments prévus à l’article 29, paragraphe 7.	3. La décision d’imposer une amende administrative est fonction des circonstances propres à chaque cas et, pour décider de son montant, dans chaque cas d’espèce, il est dûment tenu compte, au minimum, des éléments prévus à l’article 29, paragraphe 7.

Amendement 118

Proposition de directive

Article 32 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l'infraction commise par une entité essentielle ou importante à l'égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement dans un délai raisonnable.	1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l’infraction commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement sans retard injustifié et, dans tous les cas, dans un délai de 24 heures.

Amendement 119

Proposition de directive

Article 32 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans le même État membre.	(Ne concerne pas la version française.)

Amendement 120

Proposition de directive

Article 34 bis (nouveau)


Texte proposé par la Commission	Amendement
	Article 34 bis
	Responsabilité pour non-respect
	Sans préjudice de tout recours administratif ou non juridictionnel disponible, les destinataires de services fournis par des entités essentielles et importantes, ayant subi des dommages dus au non-respect de la présente directive par les prestataires, ont droit à un recours juridictionnel effectif.

Amendement 121

Proposition de directive

Article 35 – alinéa 1


Texte proposé par la Commission	Amendement
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le compte rendu évalue notamment la pertinence des secteurs, des sous-secteurs, de la taille et du type des entités visées aux annexes I et II pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l’expérience acquise au niveau tant stratégique qu’opérationnel. Le premier rapport est présenté au plus tard le… [54 mois après la date d’entrée en vigueur de la présente directive].	La Commission réexamine tous les trois ans le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le compte rendu évalue notamment dans quelle mesure la directive a contribué à assurer un niveau commun élevé en matière de sécurité et d’intégrité des réseaux et des systèmes d’information, tout en dotant la vie privée et les données à caractère personnel d’une protection optimale, ainsi que la pertinence des secteurs, des sous-secteurs, de la taille et du type des entités visées aux annexes I et II pour le fonctionnement de l’économie et de la société en ce qui concerne la cybersécurité. À cette fin et en vue de faire progresser la coopération stratégique et opérationnelle, la Commission tient compte des rapports du groupe de coopération et du réseau des CSIRT sur l’expérience acquise au niveau tant stratégique qu’opérationnel. Le premier rapport est présenté au plus tard le… [36 mois après la date d’entrée en vigueur de la présente directive].

Amendement 122

Proposition de directive

Annexe I – point 5 (Santé) – tiret 6 (nouveau)

Texte proposé par la Commission

Secteur

Sous-secteur

Type d’entité

5. Santé

– Prestataires de soins de santé au sens de l’article 3, point g), de la directive 2011/24/UE(90)

– Laboratoires de référence de l’Union européenne visés à l’article 15 du règlement XXXX/XXXX relatif aux menaces transfrontières graves sur la santé(91)

– Entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l’article 1, point 2, de la directive 2001/83/CE(92)

– Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de la NACE Rév. 2, section C, division 21

– Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique («liste des dispositifs médicaux critiques en cas d’urgence de santé publique») au sens de l’article 20 du règlement XXXX(93)

91 [Règlement du Parlement européen et du Conseil relatif aux menaces transfrontières graves sur la santé et abrogeant la décision nº 1082/2013/UE, référence à mettre à jour une fois que la proposition COM (2020) 727 final sera adoptée].

92 Directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain (JO L 311 du 28.11.2001, p. 67).

93 [Règlement du Parlement européen et du Conseil relatif à un rôle renforcé de l’Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux, référence à mettre à jour une fois que la proposition COM(2020) 725 final sera adoptée].

Amendement

Secteur	Sous-secteur	Type d’entité
5. Santé		– Prestataires de soins de santé au sens de l’article 3, point g), de la directive 2011/24/UE(90)
		– Laboratoires de référence de l’Union européenne visés à l’article 15 du règlement XXXX/XXXX relatif aux menaces transfrontières graves sur la santé(91)
		– Entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l’article 1, point 2, de la directive 2001/83/CE(92)
		– Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de la NACE Rév. 2, section C, division 21
		– Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique («liste des dispositifs médicaux critiques en cas d’urgence de santé publique») au sens de l’article 20 du règlement XXXX(93)
		– Entités titulaires d’une autorisation de distribution au sens de l’article 79 de la directive 2001/83/CE
91 [Règlement du Parlement européen et du Conseil relatif aux menaces transfrontières graves sur la santé et abrogeant la décision nº 1082/2013/UE, référence à mettre à jour une fois que la proposition COM (2020) 727 final sera adoptée].
92 Directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain (JO L 311 du 28.11.2001, p. 67).
93 [Règlement du Parlement européen et du Conseil relatif à un rôle renforcé de l’Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux, référence à mettre à jour une fois que la proposition COM(2020) 725 final sera adoptée].

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre	Mesures en vue d’un niveau commun élevé de cybersécurité à travers l’Union, abrogation de la directive (UE) 2016/1148
Références	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Commission compétente au fond Date de l’annonce en séance	ITRE 21.1.2021
Avis émis par Date de l’annonce en séance	LIBE 21.1.2021
Commissions associées - date de l’annonce en séance	20.5.2021
Rapporteur(e) pour avis Date de la nomination	Lukas Mandl 12.4.2021
Examen en commission	16.6.2021	3.9.2021	11.10.2021
Date de l’adoption	12.10.2021
Résultat du vote final	+: –: 0:	44 14 4
Membres présents au moment du vote final	Magdalena Adamowicz, Katarina Barley, Pernando Barrena Arza, Pietro Bartolo, Nicolas Bay, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Patrick Breyer, Saskia Bricmont, Jorge Buxadé Villalba, Damien Carême, Caterina Chinnici, Clare Daly, Marcel de Graaff, Anna Júlia Donáth, Lena Düpont, Cornelia Ernst, Laura Ferrara, Nicolaus Fest, Maria Grapini, Sophia in ‘t Veld, Patryk Jaki, Marina Kaljurand, Assita Kanko, Fabienne Keller, Peter Kofod, Moritz Körner, Jeroen Lenaers, Juan Fernando López Aguilar, Lukas Mandl, Roberta Metsola, Nadine Morano, Javier Moreno Sánchez, Maite Pagazaurtundúa, Nicola Procaccini, Emil Radev, Paulo Rangel, Terry Reintke, Diana Riba i Giner, Ralf Seekatz, Michal Šimečka, Birgit Sippel, Sara Skyttedal, Martin Sonneborn, Tineke Strik, Ramona Strugariu, Annalisa Tardino, Milan Uhrík, Tom Vandendriessche, Bettina Vollath, Elissavet Vozemberg-Vrionidi, Jadwiga Wiśniewska, Javier Zarzalejos
Suppléants présents au moment du vote final	Olivier Chastel, Tanja Fajon, Jan-Christoph Oetjen, Philippe Olivier, Anne-Sophie Pelletier, Thijs Reuten, Rob Rooken, Maria Walsh

VOTE FINAL PAR APPEL NOMINAL
EN COMMISSION SAISIE POUR AVIS

44	+
ID	Nicolas Bay, Nicolaus Fest, Peter Kofod, Philippe Olivier, Annalisa Tardino, Tom Vandendriessche
NI	Laura Ferrara
PPE	Magdalena Adamowicz, Vladimír Bilčík, Vasile Blaga, Ioan-Rareş Bogdan, Lena Düpont, Jeroen Lenaers, Lukas Mandl, Roberta Metsola, Nadine Morano, Emil Radev, Paulo Rangel, Ralf Seekatz, Sara Skyttedal, Elissavet Vozemberg-Vrionidi, Maria Walsh, Javier Zarzalejos
Renew	Olivier Chastel, Anna Júlia Donáth, Sophia in 't Veld, Fabienne Keller, Moritz Körner, Jan-Christoph Oetjen, Maite Pagazaurtundúa, Michal Šimečka, Ramona Strugariu
S&D	Katarina Barley, Pietro Bartolo, Caterina Chinnici, Tanja Fajon, Maria Grapini, Marina Kaljurand, Juan Fernando López Aguilar, Javier Moreno Sánchez, Thijs Reuten, Birgit Sippel, Bettina Vollath
Verts/ALE	Damien Carême

14	-
ECR	Jorge Buxadé Villalba, Patryk Jaki, Assita Kanko, Nicola Procaccini, Rob Rooken, Jadwiga Wiśniewska
ID	Marcel de Graaff
NI	Martin Sonneborn, Milan Uhrík
Verts/ALE	Patrick Breyer, Saskia Bricmont, Terry Reintke, Diana Riba i Giner, Tineke Strik

4	0
The Left	Pernando Barrena Arza, Clare Daly, Cornelia Ernst, Anne-Sophie Pelletier

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

AVIS DE LA COMMISSION DES AFFAIRES ÉTRANGÈRES (15.7.2021)

à l’intention de la commission de l’industrie, de la recherche et de l’énergie

2020/0359(COD))

Rapporteure pour avis: Markéta Gregorová

La commission des affaires étrangères invite la commission de l’industrie, de la recherche et de l’énergie, compétente au fond, à prendre en considération les amendements suivants:

Amendement 1

Proposition de directive

Considérant 2


Texte proposé par la Commission	Amendement
(2) Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés concernant l’amélioration du niveau de cyber-résilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux soient achevés en définissant des stratégies nationales en matière de cybersécurité, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les acteurs essentiels recensés par chacun des États membres. Elle a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération12 et du réseau des centres de réponse aux incidents de sécurité informatique (ci-après le «réseau des CSIRT»)13. En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.	(2) Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés concernant l’amélioration du niveau de cyber-résilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux soient achevés en définissant des stratégies nationales en matière de cybersécurité, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les acteurs essentiels recensés par chacun des États membres. Elle a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération12 et du réseau des centres de réponse aux incidents de sécurité informatique (ci-après le «réseau des CSIRT»)13. La directive (UE) 2016/1148, premier acte législatif de l’Union sur la cybersécurité, prévoit des mesures juridiques pour renforcer le niveau global de cyber-résilience, y compris dans le domaine de la sécurité et de la défense de l’Union, en garantissant la coopération des États membres et une culture de la sécurité dans tous les secteurs. En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité, lesquels ont très souvent une origine extérieure à l’Union, ce qui représente une grave menace pour la sécurité intérieure et extérieure au niveau de l’Union.
_________________	_________________
12 Article 11 de la directive (UE) 2016/1148.	12 Article 11 de la directive (UE) 2016/1148.
13 Article 12 de la directive (UE) 2016/1148.	13 Article 12 de la directive (UE) 2016/1148.

Amendement 2

Proposition de directive

Considérant 3 bis (nouveau)


Texte proposé par la Commission	Amendement
	(3 bis) Pour l’Union, les campagnes hybrides «sont multidimensionnelles: combinant des mesures coercitives et des mesures subversives, elles utilisent des outils et des tactiques aussi bien conventionnels que non conventionnels (diplomatiques, militaires, économiques et technologiques) pour déstabiliser l’adversaire. Elles sont conçues de manière à être difficiles à détecter ou à “attribuer” et sont mises en œuvre aussi bien par des acteurs étatiques que non étatiques»1a. Grâce à l’internet et aux réseaux en ligne, les acteurs étatiques et non étatiques disposent de nouveaux moyens pour mener des actions agressives. Ceux-ci peuvent être utilisés pour pirater des infrastructures critiques et des processus démocratiques, lancer des campagnes de désinformation et de propagande convaincantes, voler des données et divulguer des données sensibles. Dans le pire des cas, les cyberattaques permettent à un adversaire de prendre le contrôle de ressources telles que des systèmes militaires et des structures de commandement1b. Dans le même temps, un dispositif solide de coopération avec le secteur privé et les parties prenantes civiles, y compris les industries et les entités participant à la gestion des infrastructures critiques, est essentiel, et il convient de le renforcer compte tenu des caractéristiques intrinsèques du cyberespace, dans lequel l’innovation technologique est principalement portée par des entreprises privées qui ne sont souvent pas actives dans le domaine militaire; Ces incidents et crises de cybersécurité de grande ampleur au niveau de l’Union devraient être correctement préparés et protégés par des exercices de formation conjoints, étant donné qu’ils sont susceptibles d’invoquer l’article 222 du TFUE (la «clause de solidarité»).
	_________________
	1a Commission européenne/haute représentante de l’Union pour les affaires étrangères et la politique de sécurité, communication conjointe au Parlement européen, au Conseil européen et au Conseil, «Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides», JOIN(2018) 16 final, Brussels, 13.6.2018, p. 1.
	1b https://www.iss.europa.eu/sites/default/files/EUISSFiles/CP_151.pdf

Amendement 3

Proposition de directive

Considérant 3 ter (nouveau)


Texte proposé par la Commission	Amendement
	(3 ter) Les incidents et crises de cybersécurité majeurs au niveau de l’Union exigent, du fait de la forte interdépendance entre les secteurs et les pays, une action coordonnée pour garantir une réaction rapide et efficace, ainsi qu’une amélioration de la prévention et de la préparation pour faire face à des situations similaires à l’avenir. La cyber-résilience des réseaux et des systèmes d’information ainsi que la disponibilité, la confidentialité et l’intégrité des données sont indispensables pour garantir la sécurité de l’Union, à l’intérieur comme à l’extérieur de ses frontières. L’ambition de l’Union de jouer un rôle géopolitique plus important repose aussi sur des capacités de cyberdéfense et de dissuasion crédibles, y compris sur la capacité à détecter des actes malveillants de manière effective et en temps opportun ainsi qu’à y répondre de manière appropriée. Compte tenu du brouillage des frontières entre affaires civiles et militaires ainsi que du double usage qui peut être fait des cybertechnologies et des outils y afférents, il convient de définir une démarche globale dans le domaine du numérique. Il en va de même pour les opérations et missions menées par l’Union dans le cadre de la politique de sécurité et de défense commune (PSDC) afin d’assurer la paix et la stabilité dans son voisinage et au-delà. À cet égard, les orientations stratégiques sur la sécurité et la défense de l’Union devraient renforcer et guider la mise en œuvre de l’ambition de l’Union dans le domaine de la sécurité et de la défense, et traduire cette ambition en besoins capacitaires dans le domaine de la cyberdéfense, renforçant ainsi la capacité de l’Union et des États membres à prévenir, décourager et dissuader les actes de cybermalveillance, à y répondre et à s’en remettre, en renforçant sa posture, sa connaissance de la situation, ses outils, ses procédures et ses partenariats. La coopération de l’Union avec des organisations internationales telles que l’OTAN contribue aux discussions sur les moyens de prévenir et de décourager les attaques hybrides et les cyberattaques et d’y réagir, et d’étudier les moyens de mettre en place une analyse commune des cybermenaces.

Amendement 4

Proposition de directive

Considérant 6


Texte proposé par la Commission	Amendement
(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et européennes visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.	(6) La présente directive ne modifie pas la possibilité donnée à chaque État membre d’adopter les mesures nécessaires pour garantir la protection des intérêts essentiels de sa sécurité, assurer l’action publique et la sécurité publique et permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union et des droits fondamentaux. Indépendamment de l’environnement technologique, il est essentiel de veiller au respect plein et entier de la légalité et d’autres garanties, en particulier les droits fondamentaux, tels que le droit au respect de la vie privée et de la confidentialité des communications ainsi que le droit à la protection des données à caractère personnel. De même, afin d’assurer une résilience globale, il est nécessaire non seulement de renforcer les infrastructures technologiques et de posséder des capacités de réaction, mais aussi de sensibiliser le public aux risques et à la sécurité informatiques. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de sa sécurité intérieure. À cet égard, les règles nationales et européennes visant à protéger les informations classifiées, les accords de non-divulgation et les accords informels de non-divulgation, tels que le protocole d’échange d’information «Traffic Light Protocol»14, sont pertinentes.
_________________	_________________
14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).	14 Le protocole «Traffic Light Protocol» permet à une personne partageant des informations d’indiquer à son public des limitations applicables à la diffusion plus large de ces informations: il est utilisé par la quasi-totalité des communautés des CSIRT et par certains centres d’échange et d’analyse d’informations (ISAC).

Amendement 5

Proposition de directive

Considérant 14 bis (nouveau)


Texte proposé par la Commission	Amendement
	(14 bis) En vue de mettre en place un système de connectivité sécurisé et de s’appuyer sur l’infrastructure européenne de communication quantique (EuroQCI) et le programme de communication gouvernementale par satellite de l’Union européenne (Govsatcom), et notamment du déploiement du GNSS GALILEO pour les utilisateurs dans le domaine de la défense, lorsque le développement futur devrait tenir compte, entre autres, de l’incidence de la fusion de la vitesse et de la complexité de l’informatique quantique avec des systèmes militaires hautement autonomes, les États membres devraient veiller à la protection de l’ensemble des infrastructures de communications électroniques, telles que les systèmes de réseaux spatiaux, terrestres et sous-marins. Dans le même temps, il convient d’établir une vision commune de la stratégie d’adoption de l’informatique en nuage pour les secteurs sensibles, dans le but de définir une approche de l’Union fondée sur des normes communes entre pays partenaires partageant les mêmes valeurs.

Amendement 6

Proposition de directive

Considérant 20


Texte proposé par la Commission	Amendement
(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.	(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Les infrastructures qui sont détenues, gérées ou exploitées par l’Union ou en son nom dans le cadre de ses programmes spatiaux sont particulièrement importantes pour la sécurité de l’Union et de ses États membres et pour le bon fonctionnement des missions relevant de la PSDC. Ces infrastructures doivent bénéficier d’une protection adéquate conformément au règlement (UE) 2021/696 du Parlement européen et du Conseil18a. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur et menaçant la sécurité des citoyens de l’Union. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.
	_________________
	18a Règlement (UE) 2021/696 du Parlement européen et du Conseil du 28 avril 2021 établissant le programme spatial de l’Union et l’Agence de l’Union européenne pour le programme spatial et abrogeant les règlements (UE) nº 912/2010, (UE) nº 1285/2013 et (UE) nº 377/2014 et la décision nº 541/2014/UE (JO L 170 du 12.5.2021, p. 69).

Amendement 7

Proposition de directive

Considérant 26


Texte proposé par la Commission	Amendement
(26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive.	(26) Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive, afin de contribuer à l’élaboration de normes de l’Union susceptibles de façonner le paysage de la cybersécurité à l’échelle internationale. Les États membres pourraient également étudier la possibilité de renforcer la coopération avec des pays partenaires partageant les mêmes valeurs et des organisations internationales telles que le Conseil de l’Europe, l’Organisation du traité de l’Atlantique Nord, l’Organisation de coopération et de développement économiques, l’Organisation pour la sécurité et la coopération en Europe et les Nations unies, en vue de parvenir à des accords multilatéraux sur les normes en matière de cybersécurité, le comportement responsable des États et des acteurs non étatiques dans le cyberespace et une gouvernance numérique mondiale efficace, ainsi que de créer un cyberespace ouvert, libre, stable et sûr fondé sur le droit international.

Amendement 8

Proposition de directive

Considérant 27


Texte proposé par la Commission	Amendement
(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.	(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur ou menaçant la sécurité des citoyens ainsi que les intérêts économiques et financiers de l’Union. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union. L’Union et les États membres devraient également encourager davantage les exercices de simulation et les discussions fondées sur des scénarios en matière de gestion de crise afin de garantir la cohérence des politiques intérieures et extérieures et de parvenir à une conception commune des procédures de mise en œuvre de la clause de solidarité.
_________________	_________________
20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).	20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

Amendement 9

Proposition de directive

Considérant 36


Texte proposé par la Commission	Amendement
(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords devraient assurer un niveau suffisant de protection des données.	(36) L’Union devrait, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération et du réseau des CSIRT. De tels accords doivent assurer un niveau suffisant de protection des données, et ils devraient promouvoir l’accès au marché, remédier aux risques en matière de sécurité, renforcer la résilience à l’échelon mondial et sensibiliser aux cybermenaces et aux actes de cybermalveillance. L’Union devrait également continuer à soutenir le renforcement des capacités dans les pays tiers. Les États membres devraient, s’il y a lieu, encourager la participation de pays partenaires, qui ont des vues analogues et partagent les valeurs de l’Union, aux projets pertinents de la CSP. Par conséquent, la Commission devrait étudier la possibilité de relancer des processus visant à établir un cadre formel et structuré de coopération dans ce domaine.

Amendement 10

Proposition de directive

Considérant 37


Texte proposé par la Commission	Amendement
(37) Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité défini dans la recommandation (UE) 2017/1584 via les réseaux de coopération existants, notamment le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure définissant les conditions de cette coopération. Le règlement intérieur d’UE-CyCLONe devrait préciser plus en détail les modalités selon lesquelles le réseau devrait fonctionner, y compris, mais sans s’y limiter, les rôles, les modes de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune (PSDC), le système de réponse aux crises (SRC) du Service européen pour l’action extérieure (SEAE) devrait être activé.	(37) Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité défini dans la recommandation (UE) 2017/1584 via les réseaux de coopération existants, notamment le réseau européen d’organisations de liaison en cas de crises de cybersécurité (UE - CyCLONe), le réseau des CSIRT et le groupe de coopération, le Centre européen de lutte contre la cybercriminalité et le Centre de situation et du renseignement de l’UE (INTCEN), afin de développer la coopération stratégique en matière de renseignement sur les cybermenaces et les actes de cybermalveillance pour soutenir l’Union dans l’appréciation de la situation et la prise de décision en vue d’une réponse diplomatique commune. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure définissant les conditions de cette coopération. Le règlement intérieur d’UE-CyCLONe devrait préciser plus en détail les modalités selon lesquelles le réseau devrait fonctionner, y compris, mais sans s’y limiter, les rôles, les modes de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR), qui favorise également la coordination au niveau politique de la réaction à l’invocation de la clause de solidarité. La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la PSDC, le système de réponse aux crises (SRC) du Service européen pour l’action extérieure (SEAE) devrait être activé, de même que toute mesure visant à protéger les missions et opérations de la PSDC et les délégations de l’Union. En outre, l’Union devrait exploiter pleinement sa boîte à outils cyberdiplomatique.

Amendement 11

Proposition de directive

Considérant 40 bis (nouveau)


Texte proposé par la Commission	Amendement
	(40 bis) Les États membres devraient envisager d’intégrer à leur stratégie nationale de cybersécurité un programme de cyberdéfense active assorti d’exercices d’entraînement communs entre les États membres et les organisations internationales. Ce programme devrait permettre de détecter, d’analyser et d’atténuer les menaces de manière synchronisée et en temps réel. La cyberdéfense active fonctionne à la vitesse du réseau et utilise des capteurs, des logiciels et des renseignements pour détecter et stopper les activités malveillantes, idéalement avant qu’elles n’affectent les réseaux et systèmes. En outre, les États membres devraient améliorer sensiblement la méthode de partage d’information, afin de définir une norme commune de communication qui pourrait être utilisée pour les informations classifiées et non classifiées, afin de renforcer l’intervention rapide. L’Union et les États membres devraient également renforcer leur capacité à imputer des cyberattaques pour une dissuasion efficace et une réaction proportionnée, conformément au droit international.

Amendement 12

Proposition de directive

Considérant 40 ter (nouveau)


Texte proposé par la Commission	Amendement
	(40 ter) Les États membres devraient proposer un programme de cyberdéfense active dans le cadre de leur stratégie nationale en matière de cybersécurité. La cyberdéfense active est la détection, l’analyse et l’atténuation précoces, en temps réel, d’atteintes à la sécurité du réseau, associées à l’utilisation de ressources déployées en dehors du réseau attaqué. Elle repose sur une stratégie défensive qui exclut les mesures offensives contre des infrastructures civiles critiques des adversaires, lesquelles seraient contraires au droit international (tel que le protocole additionnel de 1977 aux conventions de Genève). La capacité à partager et à comprendre rapidement et automatiquement les informations et analyses concernant les menaces ainsi que les alertes relatives à des cyberactivités malveillantes et les mesures prises en réaction à celles-ci sont d’une importance vitale pour unir les efforts afin de réussir à détecter et à prévenir les cyberattaques. Les mesures de cyberdéfense active pourraient notamment porter sur la configuration des configurations de serveurs de messagerie électronique, la configuration de sites web, la journalisation et le filtrage par DNS. Les États membres devraient adopter des dispositifs pour garantir l’accès le plus large possible aux outils de cybersécurité les plus performants à l’appui des entreprises, des petites et moyennes entreprises et les entreprises aux moyens financiers limités, par des prestations, des subventions, des prêts ou des avantages fiscaux affectés à l’acquisition de produits et de services de cybersécurité de pointe, afin que le coût de ceux-ci ne soit pas un élément de discrimination. Les États membres devraient également s’efforcer de promouvoir des partenariats avec des établissements universitaires et d’autres instituts de recherche dans l’optique de développer la R-D en matière de cybersécurité afin de mettre au point des technologies, des outils et des savoir-faire communs applicables tant dans le secteur civil que dans le secteur de la défense, grâce à une démarche pluridisciplinaire. Les partenariats devraient être financés par des outils existants aussi bien que par de nouveaux outils de financement, sous la tutelle de la Commission européenne.

Amendement 13

Proposition de directive

Considérant 43


Texte proposé par la Commission	Amendement
(43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs procédures de développement sécurisées.	(43) Il est tout particulièrement important de répondre aux risques de cybersécurité découlant de la chaîne d’approvisionnement d’une entité et de ses relations avec ses fournisseurs vu la prévalence d’incidents dans le cadre desquels les entités ont été victimes de cyberattaques et des acteurs malveillants ont réussi à compromettre la sécurité des réseaux et systèmes d’information d’une entité en exploitant les vulnérabilités touchant les produits et les services de tiers. Les entités devraient donc évaluer et prendre en compte la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et fournisseurs de services, y compris de leurs systèmes de gestion des risques, de leurs procédures de développement sécurisées conformément aux normes de cybersécurité de l’Union.

Amendement 14

Proposition de directive

Considérant 43 bis (nouveau)


Texte proposé par la Commission	Amendement
	(43 bis) Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs. Compte tenu des graves perturbations et dommages qui peuvent découler de l’exploitation des vulnérabilités dans le secteur de la défense, la cybersécurité de l’industrie de la défense doit reposer sur des mesures spéciales pour garantir la sécurité de la chaîne d’approvisionnement, au regard notamment des entités qui sont en bas de cette chaîne et qui n’ont pas besoin d’accéder à des informations classifiées, mais qui pourraient exposer l’ensemble du secteur à des risques importants. Il convient d’accorder une attention particulière aux répercussions d’un éventuel incident et de la menace émanant de toute manipulation des données de réseau, qui pourrait paralyser des moyens de défense essentiels, voire neutraliser les systèmes d’exploitation et les rendre ainsi vulnérables au piratage.

Amendement 15

Proposition de directive

Considérant 46


Texte proposé par la Commission	Amendement
(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.	(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission, l’ENISA et le Service européen pour l’action extérieure, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21, dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.
_________________	_________________
21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).	21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

Amendement 16

Proposition de directive

Considérant 68


Texte proposé par la Commission	Amendement
(68) Les entités devraient être encouragées à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.	(68) Les entités devraient être encouragées à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. En outre, les États membres pourraient également étudier la possibilité de nouer le dialogue avec des pays partenaires partageant les mêmes valeurs. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données. De même, les États membres devraient aider les autorités compétentes et les CSIRT à mettre en place des programmes gratuits ou accessibles d’assistance, de formation et d’audit en matière de cybersécurité pour les entités qui ne relèvent pas du champ d’application de la présente directive, en particulier les jeunes pousses, les PME et les organisations non gouvernementales (ONG).

Amendement 17

Proposition de directive

Considérant 68 bis (nouveau)


Texte proposé par la Commission	Amendement
	(68 bis) Étant donné que la cybersécurité revêt une dimension à la fois civile et militaire, l’échange d’informations entre les secteurs (relevant de la défense, du civil, de la répression et de l’action extérieure) devrait également être encouragé. L’unité conjointe de cybersécurité pourrait jouer un rôle important dans la protection de l’Union contre les cyberattaques en aidant les acteurs à établir une compréhension commune du paysage des menaces et à coordonner leur action.

Amendement 18

Proposition de directive

Considérant 73


Texte proposé par la Commission	Amendement
(73) Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l’autorité de contrôle devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’imposition d’une amende administrative n’affecte pas l’exercice d’autres pouvoirs par les autorités compétentes ou l’imposition d’autres sanctions prévues dans les dispositions nationales transposant la présente directive.	(73) Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsque des amendes administratives sont imposées à des personnes qui ne sont pas une entreprise, l’autorité de contrôle devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause, sans préjudice des objectifs de la présente directive. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’imposition d’une amende administrative n’affecte pas l’exercice d’autres pouvoirs par les autorités compétentes ou l’imposition d’autres sanctions prévues dans les dispositions nationales transposant la présente directive.

Amendement 19

Proposition de directive

Article 5 – paragraphe 2 – point a


Texte proposé par la Commission	Amendement
a) une politique traitant de la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités essentielles et importantes pour la fourniture de leurs services;	a) une politique traitant de la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités essentielles et importantes pour la fourniture de leurs services, sur la base d’une évaluation complète des menaces potentielles pour les chaînes d’approvisionnement;

Amendement 20

Proposition de directive

Article 5 – paragraphe 2 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) une politique visant à promouvoir l’interopérabilité et le respect de normes communes de l’Union en matière de cybersécurité;

Amendement 21

Proposition de directive

Article 5 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert;	d) une politique liée au maintien de la disponibilité générale et de l’intégrité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communications sous-marins;

Amendement 22

Proposition de directive

Article 5 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) une politique de soutien aux institutions universitaires et de recherche visant à développer des outils de cybersécurité et à sécuriser les infrastructures de réseau;	f) une politique de soutien aux institutions universitaires et de recherche en matière de cybersécurité et de développement d’outils de cybersécurité et d’infrastructures de réseau sures;

Amendement 23

Proposition de directive

Article 5 – paragraphe 2 – point h


Texte proposé par la Commission	Amendement
h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.	h) une politique répondant aux besoins spécifiques des jeunes pousses, des PME et des ONG, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité, la réponse aux incidents de cybersécurité et la recherche d’une assistance en matière de cybersécurité;

Amendement 24

Proposition de directive

Article 5 – paragraphe 2 – point h bis (nouveau)


Texte proposé par la Commission	Amendement
	h bis) une politique pour promouvoir l’utilisation et le développement de logiciels ouverts.

Amendement 25

Proposition de directive

Article 6 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, si nécessaire, les interactions entre l’entité effectuant le signalement et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.	1. Chaque État membre désigne l’un de ses CSIRT visés à l’article 9 comme coordinateur aux fins de la divulgation responsable et obligatoire des vulnérabilités. Le CSIRT désigné doit agir comme intermédiaire de confiance, en facilitant, si nécessaire, les interactions entre l’entité effectuant le signalement et le fabricant ou le fournisseur de produits ou de services TIC. Lorsque la vulnérabilité signalée concerne plusieurs fabricants ou fournisseurs de produits ou services TIC dans l’Union, le CSIRT désigné de chaque État membre concerné coopère avec le réseau CSIRT.

Amendement 26

Proposition de directive

Article 6 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.	2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Conformément à l’article 10, paragraphe 2, les CSIRT facilitent l’accès aux informations sur les vulnérabilités enregistrées dans le registre européen des vulnérabilités et, dans le même temps, apporter un appui en matière d’atténuation des risques, aux entités qui ne relèvent pas du champ d’application de la présente directive, en particulier aux jeunes entreprises, aux PME et aux ONG. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.

Amendement 27

Proposition de directive

Article 7 – paragraphe 3 – point f


Texte proposé par la Commission	Amendement
f) les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents et des crises de cybersécurité majeurs au niveau de l’Union.	f) les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents et des crises de cybersécurité majeurs au niveau de l’Union, y compris au regard des réponses aux demandes au titre de la clause de solidarité.

Amendement 28

Proposition de directive

Article 7 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale.	4. Les États membres communiquent à la Commission la désignation de leurs autorités compétentes visées au paragraphe 1 et soumettent leurs plans nationaux d’intervention en cas d’incident et de crise de cybersécurité visés au paragraphe 3 dans les trois mois suivant cette désignation et l’adoption de ces plans. Les États membres peuvent exclure certaines informations du plan lorsque et dans la mesure où cela est strictement nécessaire pour préserver la sécurité nationale. En cas d’incident ou de crise de cybersécurité majeur qui implique plus d’un État membre et qui est pertinent à l’échelon de l’Union, des structures de gestion de crise et de gouvernance doivent être mises en place. Ces structures organisent l’échange d’informations, la coordination et la coopération avec les structures de gestion des crises d’ordre militaire ou touchant à la sécurité extérieure, ainsi qu’avec les organes des États membres chargés de la sécurité et de la défense.

Amendement 29

Proposition de directive

Article 9 – paragraphe 4 bis (nouveau)


Texte proposé par la Commission	Amendement
	4 bis. Les CSIRT coopèrent et échangent des informations pertinentes avec les institutions nationales chargées du maintien de la sécurité publique, de la défense et de la sécurité nationale.

Amendement 30

Proposition de directive

Article 9 – paragraphe 4 ter (nouveau)


Texte proposé par la Commission	Amendement
	4 ter. Les CSIRT coopèrent et, sans préjudice du droit de l’Union, en particulier du règlement (UE) 2016/679, échangent des informations pertinentes sur les cybermenaces, les vulnérabilités, les bonnes pratiques et les normes avec des pays tiers de confiance et des organisations internationales.

Amendement 31

Proposition de directive

Article 9 – paragraphe 4 quater (nouveau)


Texte proposé par la Commission	Amendement
	4 quater. Sans préjudice du droit de l’Union, en particulier du règlement (UE) 2016/679, les CSIRT apportent une assistance en matière de cybersécurité aux CSIRT ou à des structures équivalentes dans les pays candidats à l’adhésion à l’Union et aux autres pays tiers des Balkans occidentaux et du partenariat oriental.

Amendement 32

Proposition de directive

Article 10 – paragraphe 2 – point e bis (nouveau)


Texte proposé par la Commission	Amendement
	e bis) la mise en place des programmes gratuits ou accessibles d’assistance, de formation et d’audit en matière de cybersécurité pour les entités qui ne relèvent pas du champ d’application de la présente directive, en particulier les jeunes pousses, les PME et les ONG;

Amendement 33

Proposition de directive

Article 11 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.	4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données, les autorités nationales de surveillance de l’intelligence artificielle, les autorités nationales chargées de la gouvernance des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.
_________________	_________________
39 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	39 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 34

Proposition de directive

Article 12 – paragraphe 3 – partie introductive


Texte proposé par la Commission	Amendement
3. Le groupe de coopération est composé de représentants des États membres, de la Commission et de l’ENISA. Le service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], peuvent participer aux activités du groupe de coopération.	3. Le groupe de coopération est composé de représentants des États membres, de la Commission, d’EU–CyCLONe, de l’ENISA et de l’Agence européenne de défense. Le service européen pour l’action extérieure participe aux activités du groupe de coopération en qualité d’observateur. Les autorités nationales de surveillance de l’intelligence artificielle, les autorités nationales chargées de la gouvernance des données et les autorités européennes de surveillance (AES), conformément à l’article 17, paragraphe 5, point c), du règlement (UE) XXXX/XXXX [le règlement sur la résilience opérationnelle numérique du secteur financier], participent aux activités du groupe de coopération.

Amendement 35

Proposition de directive

Article 12 – paragraphe 4 – point e bis (nouveau)


Texte proposé par la Commission	Amendement
	e bis) sans préjudice du droit de l’Union, la coopération, l’assistance mutuelle et l’échange de bonnes pratiques et d’informations avec des pays tiers de confiance et des organisations internationales;

Amendement 36

Proposition de directive

Article 13 – paragraphe 3 – point k


Texte proposé par la Commission	Amendement
k) la coopération et l’échange d’informations avec les centres d’opérations de sécurité (COS) régionaux et au niveau de l’Union afin d’améliorer la connaissance commune de la situation concernant les incidents et les menaces dans toute l’Union;	k) la coopération et l’échange d’informations avec les centres d’opérations de sécurité (COS) régionaux et au niveau de l’Union et, s’il y a lieu, des CERT militaires, afin d’améliorer la connaissance commune de la situation concernant les incidents et les menaces dans toute l’Union;

Amendement 37

Proposition de directive

Article 14 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le réseau UE-CyCLONe est composé des représentants de la Commission, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations.	2. Le réseau UE-CyCLONe est composé des représentants de la Commission, du SEAE, de l’ENISA et des autorités des États membres chargées de la gestion des crises désignées conformément à l’article 7. L’ENISA assure le secrétariat du réseau et soutient l’échange sécurisé d’informations. Les autorités nationales chargées de la gestion des crises sont conseillées par un groupe consultatif de la société civile. Pour les incidents ou crises de cybersécurité majeurs au niveau de l’Union qui implique plus d’un État membre, une structure de gestion de crise associant tous les acteurs concernés est mise en place au niveau de l’Union. Cette structure comprend est composée de l’unité conjointe de cybersécurité, de CSIRT, du réseau des CSIRT, du groupe de coordination, de la Commission, du SEAE et de l’ENISA. Elle se charge également de la préparation et de la mise en œuvre des activités liées à l’invocation et à la mise en application de la clause de solidarité.

Amendement 38

Proposition de directive

Article 14 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) de renforcer le niveau de préparation à la gestion des crises et incidents majeurs;	a) de renforcer le niveau de préparation à la gestion des crises et incidents majeurs, et d’assurer la liaison avec les agences des États membres chargées de la sécurité intérieure et de la défense territoriale;

Amendement 39

Proposition de directive

Article 17 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les membres de l’organe de direction suivent régulièrement des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques et les pratiques de gestion en matière de cybersécurité et leur incidence sur les activités de l’entité.	2. Les États membres veillent à ce que les membres de l’organe de direction suivent régulièrement des formations spécifiques afin d’acquérir des connaissances et des compétences suffisantes pour appréhender et évaluer les risques et les pratiques de gestion en matière de cybersécurité et leur incidence sur les activités de l’entité. Les États membres encouragent les entités essentielles et importantes à évaluer régulièrement les membres des organes de direction visés au paragraphe 1 du présent article au regard de l’adéquation de leurs compétences en vue de garantir le respect de l’article 18.

Amendement 40

Proposition de directive

Article 18 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées visées au paragraphe 2, point d), les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.	3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées visées au paragraphe 2, point d), les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé, en tenant compte des normes et de la législation de l’Union en matière de cybersécurité et des facteurs de risque non techniques potentiels, tels que les vulnérabilités cachées ou les portes dérobées et les éventuelles ruptures d’approvisionnement systémiques.

Amendement 41

Proposition de directive

Article 19 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.	1. Le groupe de coopération, en coopération avec la Commission, l’ENISA et le Service européen pour l’action extérieure, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.

Amendement 42

Proposition de directive

Article 19 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La Commission, après avoir consulté le groupe de coopération et l’ENISA, détermine les services, systèmes ou produits TIC critiques spécifiques qui peuvent faire l’objet de l’évaluation coordonnée des risques visée au paragraphe 1.	2. La Commission, après avoir consulté le groupe de coopération, l’ENISA et le Service européen pour l’action extérieure, détermine les services, systèmes ou produits TIC critiques spécifiques qui peuvent faire l’objet de l’évaluation coordonnée des risques visée au paragraphe 1.

Amendement 43

Proposition de directive

Article 19 – paragraphe 2 bis (nouveau)


Texte proposé par la Commission	Amendement
	2 bis. Lors de l’identification de risques pour des services, systèmes ou chaînes d’approvisionnement informatiques critiques, la Commission, après consultation du groupe de coopération, de l’ENISA et du Service européen pour l’action extérieure, formule des recommandations à l’intention des États membres et des autorités nationales compétentes définies dans le présent règlement en vue de remédier aux risques recensés et de renforcer leur résilience à l’égard de ceux-ci.

Amendement 44

Proposition de directive

Article 25 – paragraphe 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) des informations sur l’organe de direction responsable des mesures de gestion des risques en matière de cybersécurité prévues à l’article 18, conformément à l’article 17;

Amendement 45

Proposition de directive

Article 29 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	c) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques, y compris aux risques liés aux chaînes d’approvisionnement visés à l’article 18, paragraphe 3;

Amendement 46

Proposition de directive

Article 30 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	b) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques, y compris aux risques liés aux chaînes d’approvisionnement visés à l’article 18, paragraphe 3;

Amendement 47

Proposition de directive

Annexe I – entités essentielles: secteurs, sous-secteurs et types d’entités – Secteur 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Éducation et recherche – Établissements d’enseignement supérieur et instituts de recherche

Amendement 48

Proposition de directive

Annexe I – ENTITÉS ESSENTIELLES: SECTEURS, SOUS-SECTEURS ET TYPES D’ENTITÉS – Secteur 9 Administration publique – Type d’entité


Texte proposé par la Commission	Amendement
– Entités de l’administration publique des pouvoirs publics centraux	– Entités de l’administration publique des pouvoirs publics centraux
– Entités de l’administration publique des régions de niveau NUTS 1 énumérées à l’annexe I du règlement (CE) nº 1059/2003(27)	– Entités de l’administration publique des régions de niveau NUTS 1 énumérées à l’annexe I du règlement (CE) nº 1059/2003 (27, 27 bis (nouveau))
– Entités de l’administration publique des régions de niveau NUTS 2 énumérées à l’annexe I du règlement (CE) nº 1059/2003	– Entités de l’administration publique des régions de niveau NUTS 2 énumérées à l’annexe I du règlement (CE) nº 1059/2003 (27 ter (nouveau))
__________________	__________________
27 Règlement (CE) nº 1059/2003 du Parlement européen et du Conseil du 26 mai 2003 relatif à l’établissement d’une nomenclature commune des unités territoriales statistiques (NUTS) (JO L 154 du 21.6.2003, p. 1).	27 Règlement (CE) nº 1059/2003 du Parlement européen et du Conseil du 26 mai 2003 relatif à l’établissement d’une nomenclature commune des unités territoriales statistiques (NUTS) (JO L 154 du 21.6.2003, p. 1).
	27 bis (nouveau) Ou les unités administratives équivalentes, dans les États membres où la classification NUTS n’a pas encore été prise en compte dans la structure institutionnelle de l’administration.
	27 ter (nouveau) Ou les unités administratives équivalentes, dans les États membres où la classification NUTS n’a pas encore été prise en compte dans la structure institutionnelle de l’administration.

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre	Mesures en vue d’un niveau commun élevé de cybersécurité à travers l’Union, abrogation de la directive (UE) 2016/1148
Références	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Commission compétente au fond Date de l’annonce en séance	ITRE 21.1.2021
Avis émis par Date de l’annonce en séance	AFET 21.1.2021
Rapporteur(e) pour avis Date de la nomination	Markéta Gregorová 22.2.2021
Examen en commission	25.5.2021	16.6.2021	17.6.2021
Date de l’adoption	14.7.2021
Résultat du vote final	+: –: 0:	59 5 6
Membres présents au moment du vote final	Alviina Alametsä, Alexander Alexandrov Yordanov, Maria Arena, Petras Auštrevičius, Traian Băsescu, Anna Bonfrisco, Reinhard Bütikofer, Fabio Massimo Castaldo, Susanna Ceccardi, Włodzimierz Cimoszewicz, Katalin Cseh, Tanja Fajon, Anna Fotyga, Michael Gahler, Giorgos Georgiou, Sunčana Glavak, Raphaël Glucksmann, Klemen Grošelj, Bernard Guetta, Márton Gyöngyösi, Andrzej Halicki, Sandra Kalniete, Dietmar Köster, Maximilian Krah, Andrius Kubilius, Ilhan Kyuchyuk, David Lega, Miriam Lexmann, Nathalie Loiseau, Antonio López-Istúriz White, Jaak Madison, Claudiu Manda, Thierry Mariani, Vangelis Meimarakis, Sven Mikser, Francisco José Millán Mon, Javier Nart, Urmas Paet, Demetris Papadakis, Kostas Papadakis, Tonino Picula, Manu Pineda, Giuliano Pisapia, Thijs Reuten, Jérôme Rivière, María Soraya Rodríguez Ramos, Nacho Sánchez Amor, Isabel Santos, Jacek Saryusz-Wolski, Andreas Schieder, Radosław Sikorski, Jordi Solé, Sergei Stanishev, Tineke Strik, Hermann Tertsch, Hilde Vautmans, Harald Vilimsky, Idoia Villanueva Ruiz, Viola Von Cramon-Taubadel, Thomas Waitz, Witold Jan Waszczykowski, Charlie Weimers, Isabel Wiseler-Lima, Salima Yenbou, Željana Zovko
Suppléants présents au moment du vote final	Ioan-Rareş Bogdan, Andrey Kovatchev, Marisa Matias, Gabriel Mato, Milan Zver

VOTE FINAL PAR APPEL NOMINAL EN COMMISSION SAISIE POUR AVIS

59	+
ECR	Anna Fotyga, Jacek Saryusz-Wolski, Hermann Tertsch, Witold Jan Waszczykowski
ID	Anna Bonfrisco, Susanna Ceccardi
NI	Fabio Massimo Castaldo, Márton Gyöngyösi
PPE	Alexander Alexandrov Yordanov, Traian Băsescu, Ioan-Rareş Bogdan, Michael Gahler, Sunčana Glavak, Andrzej Halicki, Sandra Kalniete, Andrey Kovatchev, Andrius Kubilius, David Lega, Miriam Lexmann, Antonio López-Istúriz White, Gabriel Mato, Vangelis Meimarakis, Francisco José Millán Mon, Radosław Sikorski, Isabel Wiseler-Lima, Željana Zovko, Milan Zver
Renew	Petras Auštrevičius, Katalin Cseh, Klemen Grošelj, Bernard Guetta, Ilhan Kyuchyuk, Nathalie Loiseau, Javier Nart, Urmas Paet, María Soraya Rodríguez Ramos, Hilde Vautmans
S&D	Maria Arena, Włodzimierz Cimoszewicz, Tanja Fajon, Raphaël Glucksmann, Dietmar Köster, Claudiu Manda, Sven Mikser, Demetris Papadakis, Tonino Picula, Giuliano Pisapia, Thijs Reuten, Nacho Sánchez Amor, Isabel Santos, Andreas Schieder, Sergei Stanishev
Verts/ALE	Alviina Alametsä, Reinhard Bütikofer, Jordi Solé, Tineke Strik, Viola Von Cramon-Taubadel, Thomas Waitz, Salima Yenbou

5	-
NI	Kostas Papadakis
The Left	Giorgos Georgiou, Marisa Matias, Manu Pineda, Idoia Villanueva Ruiz

6	0
ECR	Charlie Weimers
ID	Maximilian Krah, Jaak Madison, Thierry Mariani, Jérôme Rivière, Harald Vilimsky

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

AVIS DE LA COMMISSION DU MARCHÉ INTÉRIEUR ET DE LA PROTECTION DES CONSOMMATEURS (14.7.2021)

à l’intention de la commission de l’industrie, de la recherche et de l’énergie

concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Rapporteur pour avis: Morten Løkkegaard

JUSTIFICATION SUCCINCTE

De manière générale, le rapporteur approuve la proposition législative de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2). Dans un monde de plus en plus numérisé, la sécurité en ligne est essentielle pour garantir un environnement numérique sûr ainsi que le fonctionnement du marché unique, dans lequel les consommateurs et les opérateurs peuvent opérer librement.

La proposition de directive SRI 2 constitue une amélioration importante par rapport à la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI 1). Elle recense les principales défaillances de la directive SRI 1, notamment le faible niveau de cyber-résilience des entreprises et des secteurs, ainsi que le degré de résilience variable et l’insuffisance d’une appréciation commune de la situation et d’une réaction aux crises, dans les États membres et entre eux. Le rapporteur salue les ambitions visant à corriger ces défaillances dans la directive SRI 2.

Champ d’application

Le rapporteur se félicite de l’élargissement du champ d’application de la proposition de directive SRI 2, en particulier de la prise en compte de nouveaux secteurs tels que l’administration publique. La liste explicite des secteurs et services couverts réduira certainement la marge d’appréciation des États membres dans la définition des entités relevant de la directive et limitera par conséquent la fragmentation du marché unique.

Pour les secteurs et services concernés, la Commission propose d’appliquer la règle du plafond en tant que critère uniforme déterminant les entités qui relèvent du champ d’application de la directive. Ce critère présente sans aucun doute l’avantage de garantir la sécurité juridique tout en réduisant les divergences entre États membres.

Tout en se félicitant de l’élargissement du champ d’application sectoriel, le rapporteur estime cependant que ce critère général devrait être combiné à une évaluation du niveau de risque des entités au sein de chaque secteur. Cela permettrait d’exclure du champ d’application de la directive les entités de taille moyenne et de grande taille qui sont considérées, à la suite d’une évaluation des risques, comme présentant un faible degré de criticité et de dépendance à l’égard d’entités par ailleurs critiques.

Le rapporteur insiste sur le fait qu’il ne faudrait pas considérer que cela laisse le champ libre à des divergences d’interprétation entre les États membres. Afin d’éviter une fragmentation supplémentaire de la mise en œuvre dans les États membres, la Commission est encouragée à publier des orientations claires à cet égard.

Enfin, tout en saluant le fait que les microentreprises et les petites entreprises soient exclues du champ d’application, le rapporteur estime qu’il est nécessaire d’encourager leur inclusion volontaire, dès lors que ces entreprises font également l’objet de cyberattaques et en sont affectées.

Cadres réglementaires coordonnés en matière de cybersécurité

Le rapporteur accueille favorablement le chapitre définissant différents éléments des stratégies nationales en matière de cybersécurité et leurs outils de gestion des situations de crise. Il est proposé aux États membres, dans le cadre de leur stratégie nationale en matière de cybersécurité, d’adopter des mesures de promotion de l’utilisation de la cryptographie et du cryptage, en particulier dans le cas des PME.

Le rapporteur se félicite de la mise en place par l’ENISA d’un registre européen des vulnérabilités, mais il estime important que l’enregistrement respecte la confidentialité des informations commerciales et les secrets d’affaires, et qu’il ne constitue pas une charge inutile pour les entités.

Coopération entre les États membres

La directive SRI 2 prévoit une coopération plus structurée – particulièrement bienvenue – entre les États membres au sein du groupe de coopération, du réseau des CSIRT et du groupe chargé des incidents majeurs, nouvellement créé. Toutefois, il est nécessaire de veiller à une amélioration du niveau de confiance et de la volonté d’échanger des informations entre États membres, étant donné qu’il est essentiel que cette coopération soit efficace pour garantir un niveau élevé de cybersécurité dans l’Union.

Compte tenu de ce qui précède, plusieurs amendements ont été élaborés en vue de renforcer le rôle des réseaux. Le rapporteur considère, en particulier, que l’examen par les pairs est une manière constructive de renforcer la confiance partagée des États membres, et il est d’avis que ces derniers devraient jouer un rôle de premier plan dans l’évaluation de l’efficacité des politiques de chacun d’entre eux en matière de cybersécurité.

Gestion des risques en matière de cybersécurité

Le rapporteur se félicite de l’extension de l’évaluation des risques à l’ensemble de la chaîne d’approvisionnement (articles 18 et 19), mais souligne toutefois qu’il convient de clarifier ce point pour apporter des orientations claires aux entités soumises à cette exigence ainsi qu’aux États membres lorsqu’ils procèdent à une évaluation coordonnée des risques en matière de sécurité dans les secteurs ou les chaînes d’approvisionnement particulièrement critiques.

Obligations en matière de communication d’informations

Le rapporteur estime qu’il convient de clarifier certains points de la directive révisée, en particulier en ce qui concerne certaines des obligations qu’elle impose aux entreprises. Il s’agit de réduire la bureaucratie et de faciliter le respect des nouvelles règles par les entreprises en gardant à l’esprit l’objectif final, à savoir une mise en œuvre effective de la directive.

Le rapporteur propose d’étendre de 24 heures à 72 heures le délai de signalement des incidents pour les premières notifications, afin de permettre aux entreprises de répondre efficacement à la cyberattaque en cours avant de la notifier. En outre, il est proposé de supprimer toute référence à la notification obligatoire des «incidents potentiels».

La commission du marché intérieur et de la protection des consommateurs invite la commission de l’industrie, de la recherche et de l’énergie, compétente au fond, à prendre en considération les amendements suivants:

Amendement 1

Proposition de directive

Considérant 5


Texte proposé par la Commission	Amendement
(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.	(5) L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et sont susceptibles de produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyber-résilience en raison de l’adoption de normes différentes. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres et de renforcer le marché intérieur, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des sanctions effectifs qui sont essentiels à l’application effective de ces obligations. Il convient, par conséquent, que la directive (UE) 2016/1148 soit abrogée et remplacée par la présente directive.

Amendement 2

Proposition de directive

Considérant 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	(6 bis) La présente directive est sans préjudice des règles établies par la législation de l’Union relative à la protection des données à caractère personnel.

Amendement 3

Proposition de directive

Considérant 9


Texte proposé par la Commission	Amendement
(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.	(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission. La Commission devrait donner des orientations claires concernant les critères qui déterminent quelles microentités ou entités de petite taille seraient essentielles ou importantes, en particulier lorsqu’elles fournissent des services dans plusieurs États membres.

Amendement 4

Proposition de directive

Considérant 10


Texte proposé par la Commission	Amendement
(10) La Commission, en coopération avec le groupe de coopération, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.	(10) La Commission, en coopération avec le groupe de coopération, devrait publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.

Amendement 5

Proposition de directive

Considérant 12 bis (nouveau)


Texte proposé par la Commission	Amendement
	(12 bis) L’élargissement du champ d’application de cette directive implique l’inclusion d’entités soumises à une réglementation sectorielle. Afin d’éviter toute duplication ou charge réglementaire, la Commission devrait veiller à ce que les actes sectoriels exigeant que les entités essentielles ou importantes adoptent des mesures de gestion des risques en matière de cybersécurité ou notifient les incidents ou les cybermenaces importantes soient compatibles avec la présente directive.

Amendement 6

Proposition de directive

Considérant 12 ter (nouveau)


Texte proposé par la Commission	Amendement
	(12 ter) La Commission devrait publier des lignes directrices claires accompagnant la présente directive afin de garantir l’harmonisation de la mise en œuvre dans les États membres et d’éviter la fragmentation.

Amendement 7

Proposition de directive

Considérant 12 quater (nouveau)


Texte proposé par la Commission	Amendement
	(12 quater) La Commission devrait également publier des lignes directrices afin d’aider les États membres à mettre correctement en œuvre les dispositions relatives au champ d’application, et d’évaluer la proportionnalité des obligations énoncées dans la présente directive compte tenu du caractère critique des entités entrant dans le champ d’application, en particulier lorsqu’elles s’appliquent aux entités dotées d’un modèle économique ou d’environnements d’exploitation complexes, au titre desquels ces dernières peuvent satisfaire à la fois aux critères attribués aux entités essentielles et importantes, ou exercer simultanément des activités dont certaines relèvent du champ d’application de la présente directive et d’autres non. Dans les cas où l’activité principale des entités se situe en dehors du champ d’application de la présente directive, mais qu’une autre activité secondaire entre dans le champ d’application, les dispositions ne devraient s’appliquer qu’au niveau des fonctions ou des unités au sein d’une entité relevant du champ d’application de la présente directive.

Amendement 8

Proposition de directive

Considérant 14


Texte proposé par la Commission	Amendement
(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies de cybersécurité prévoient un cadre politique pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du partage d’informations relatives aux incidents et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations à cette fin.	(14) Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d’assurer la cohérence des approches entre la directive (UE) XXXX/XXXX du Parlement européen et du Conseil17 et la présente directive. À cet effet, les États membres devraient veiller à ce que les entités critiques et les entités équivalentes, au titre de la directive (UE) XXXX/XXXX, soient considérées comme des entités essentielles en vertu de la présente directive. Les États membres devraient également veiller à ce que leurs stratégies nationales de cybersécurité prévoient un cadre politique pour une coordination renforcée entre l’autorité compétente en vertu de la présente directive et l’autorité compétente en vertu de la directive (UE) XXXX/XXXX dans le cadre du signalement d’incidents, du partage d’informations relatives aux incidents, aux incidents évités et aux cybermenaces ainsi que de l’exercice des tâches de surveillance. Les autorités en vertu des deux directives devraient coopérer et échanger des informations, notamment en ce qui concerne le recensement des entités critiques, les cybermenaces, les risques en matière de cybersécurité, les incidents affectant les entités critiques ainsi que les mesures de cybersécurité adoptées par les entités critiques. Sur demande des autorités compétentes au titre de la directive (UE) XXX/XXX, les autorités compétentes au titre de la présente directive devraient être autorisées à exercer leurs pouvoirs de surveillance et d’exécution sur une entité essentielle définie comme critique. Les deux autorités devraient coopérer et échanger des informations à cette fin.
__________________	__________________
17[insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	17 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 9

Proposition de directive

Considérant 15


Texte proposé par la Commission	Amendement
(15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer à tous les fournisseurs de services DNS, y compris les opérateurs de serveurs racines de noms de domaines, aux serveurs de noms de domaines de premier niveau (TLD), aux serveurs d’autorité pour les noms de domaines et aux résolveurs récursifs.	(15) Le fait de maintenir et préserver un système de noms de domaines (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique, le marché intérieur et la société. Par conséquent, la présente directive devrait s’appliquer à tous les fournisseurs de services DNS, y compris les opérateurs de serveurs racines de noms de domaines, aux serveurs de noms de domaines de premier niveau (TLD), aux serveurs d’autorité pour les noms de domaines et aux résolveurs récursifs, ainsi qu’aux fournisseurs de services d’anonymisation et de services d’enregistrement fiduciaire, les courtiers ou les revendeurs de domaines, et tout autre service lié à l’enregistrement des noms de domaines.

Amendement 10

Proposition de directive

Considérant 20


Texte proposé par la Commission	Amendement
(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables.	(20) Ces interdépendances croissantes découlent d’un réseau de fourniture de services de plus en plus transfrontière et interdépendant, qui utilise des infrastructures essentielles dans toute l’Union dans les secteurs de l’énergie, des transports, des infrastructures numériques, de l’eau potable, des eaux usées, de la santé, de certains aspects de l’administration publique et de l’espace, dans la mesure où la fourniture de certains services dépendant de structures terrestres détenues, gérées et exploitées par des États membres ou par des parties privées est concernée, ce qui ne couvre donc pas les infrastructures détenues, gérées ou exploitées par ou au nom de l’Union dans le cadre de ses programmes spatiaux. Ces interdépendances signifient que toute perturbation, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement des incidences négatives durables et de grande ampleur pour la fourniture de services dans l’ensemble du marché intérieur. La pandémie de COVID-19 a mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques peu probables et la nécessité de protéger le marché intérieur au moyen de stratégies et d’actions communes à l’échelle de l’Union.

Amendement 11

Proposition de directive

Considérant 23


Texte proposé par la Commission	Amendement
(23) Les autorités compétentes ou les CSIRT devraient recevoir les notifications d’incidents provenant des entités de manière efficace et efficiente. Les points de contact uniques devraient être chargés de transmettre les notifications d’incidents aux points de contact uniques des autres États membres touchés. Au niveau des autorités des États membres, afin de garantir l’existence d’un seul point d’entrée dans chaque État membre, les points de contact uniques devraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes au titre du règlement XXXX/XXXX, qu’ils devraient pouvoir transmettre, le cas échéant, aux autorités nationales compétentes ou aux CSIRT en vertu de la présente directive.	(23) Les autorités compétentes ou les CSIRT devraient recevoir les notifications d’incidents provenant des entités de manière standardisée, efficace et efficiente. Les points de contact uniques devraient être chargés de transmettre les notifications d’incidents aux points de contact uniques des autres États membres touchés. Afin de garantir l’existence d’un seul point d’entrée dans chaque État membre, les points de contact uniques devraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes au titre du règlement XXXX/XXXX, qu’ils devraient pouvoir transmettre, le cas échéant, aux autorités nationales compétentes ou aux CSIRT en vertu de la présente directive.

Amendement 12

Proposition de directive

Considérant 25


Texte proposé par la Commission	Amendement
(25) En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, une analyse des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.	(25) Afin de détecter, d’atténuer et d’éviter les menaces spécifiques en ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil19 relatif aux données à caractère personnel, au nom et sur demande d’une entité en vertu de la présente directive, une analyse proactive des réseaux et des systèmes d’information utilisés pour la fourniture de leurs services. Les États membres devraient avoir pour but d’assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres peuvent solliciter l’assistance de l’agence européenne pour la cybersécurité (ENISA) pour la mise en place des CSIRT nationaux.
__________________	__________________
19Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).	19Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

Amendement 13

Proposition de directive

Considérant 26 bis (nouveau)


Texte proposé par la Commission	Amendement
	(26 bis) Dans le cadre de leurs stratégies nationales en matière de cybersécurité, les États membres devraient adopter des politiques de promotion et d’intégration de systèmes intelligents en vue de la prévention et de la détection des incidents et des menaces de cybersécurité. Les États membres devraient mettre en place, conformément à leurs stratégies nationales en matière de cybersécurité, des politiques axées sur la sensibilisation à la cybersécurité et la cyberculture, en vue de protéger les consommateurs. Lorsqu’ils adoptent des stratégies nationales de cybersécurité, les États membres devraient veiller à mettre en place des cadres d’action pour traiter la question de l’accès licite à l’information.

Amendement 14

Proposition de directive

Considérant 27


Texte proposé par la Commission	Amendement
(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20 , un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.	(27) Conformément à l’annexe de la recommandation (UE) 2017/1584 de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs («plan d’action»)20, un incident majeur signifie un incident qui frappe plusieurs États membres ou qui provoque des perturbations dépassant les capacités d’action du seul État membre concerné, mettant ainsi en péril le marché intérieur. En fonction de leur cause et de leurs conséquences, les incidents majeurs peuvent dégénérer et se transformer en crises à part entière, empêchant le bon fonctionnement du marché intérieur. Vu la large portée et, dans la plupart des cas, la nature transfrontalière de ces incidents, les États membres et les institutions, organes et agences compétents de l’Union devraient coopérer au niveau technique, opérationnel et politique afin de coordonner correctement la réaction dans toute l’Union.
__________________	__________________
20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).	20 Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).

Amendement 15

Proposition de directive

Considérant 28


Texte proposé par la Commission	Amendement
(28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. En ce qui concerne la divulgation des vulnérabilités, la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement importante. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.	(28) Puisque l’exploitation des vulnérabilités dans les réseaux et les systèmes d’information peut causer des perturbations et des dommages considérables touchant les entreprises et les consommateurs, l’identification et la correction rapide de ces vulnérabilités est un facteur important de la réduction du risque en matière de cybersécurité. Les entités qui mettent au point de tels systèmes devraient dont établir des procédures appropriées pour gérer les vulnérabilités découvertes. Puisque les vulnérabilités sont souvent découvertes et signalées (divulguées) par des tiers (les entités effectuant le signalement), le fabricant de produits ou le fournisseur de services TIC devraient également mettre en place les procédures nécessaires pour recevoir les informations relatives aux vulnérabilités communiquées par les tiers. À cet égard, les normes internationales ISO/CEI 30111 et ISO/CEI 29417 fournissent des orientations sur la gestion des vulnérabilités et la divulgation des vulnérabilités respectivement. En ce qui concerne la divulgation des vulnérabilités, la coordination entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits ou de services TIC est particulièrement importante. La divulgation coordonnée des vulnérabilités consiste en un processus structuré dans lequel les vulnérabilités sont signalées aux organisations de manière à leur donner la possibilité de diagnostiquer la vulnérabilité et d’y remédier avant que des informations détaillées à ce sujet soient divulguées à des tiers ou au public. La divulgation coordonnée des vulnérabilités devrait également comprendre la coordination entre l’entité effectuant le signalement et l’organisation en ce qui concerne le calendrier des corrections et la publication des vulnérabilités.

Amendement 16

Proposition de directive

Considérant 28 bis (nouveau)


Texte proposé par la Commission	Amendement
	(28 bis) La Commission, l’ENISA et les États membres devraient continuer à encourager l’harmonisation internationale avec les normes et les bonnes pratiques existantes du secteur dans le domaine de la gestion des risques, par exemple dans les domaines des évaluations de la sécurité de la chaîne d’approvisionnement, du partage d’informations et de la divulgation des vulnérabilités.

Amendement 17

Proposition de directive

Considérant 30


Texte proposé par la Commission	Amendement
(30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. À cet égard, les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place un registre des vulnérabilités dans lequel les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées.	(30) L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. À cet égard, les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et leurs utilisateurs, mais également pour les autorités nationales compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données des vulnérabilités dans laquelle les entités essentielles et importantes et leurs fournisseurs, ainsi que les entités qui ne relèvent pas du champ d’application de la présente directive, peuvent, à titre volontaire, divulguer les vulnérabilités et fournir des informations à cet égard afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées.

Amendement 18

Proposition de directive

Considérant 31


Texte proposé par la Commission	Amendement
(31) Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Un registre européen des vulnérabilités géré par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec les registres existants sur le territoire de pays tiers.	(31) Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Une base de données européenne des vulnérabilités gérée par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurés avec les bases de données ou registres sur les vulnérabilités sur le territoire de pays tiers et de transmettre des rapports aux registres appropriés, à condition que ces actions ne portent pas atteinte à la protection de la confidentialité et des secrets d’affaires.

Amendement 19

Proposition de directive

Considérant 32


Texte proposé par la Commission	Amendement
(32) Tous les deux ans, le groupe de coopération devrait élaborer un programme de travail qui inclurait les actions qu’il doit réaliser afin de mettre en œuvre ses objectifs et ses tâches. Le calendrier du premier programme adopté au titre de la présente directive devrait être aligné sur le calendrier du dernier programme adopté au titre de la directive (UE) 2016/1148 afin d’éviter de perturber les travaux du groupe.	(32) Tous les deux ans, le groupe de coopération devrait débattre des priorités politiques et des principaux défis en matière de cybersécurité, et élaborer un programme de travail qui inclurait les actions qu’il doit réaliser afin de mettre en œuvre ses objectifs et ses tâches. Le calendrier du premier programme adopté au titre de la présente directive devrait être aligné sur le calendrier du dernier programme adopté au titre de la directive (UE) 2016/1148 afin d’éviter de perturber les travaux du groupe.

Amendement 20

Proposition de directive

Considérant 32 bis (nouveau)


Texte proposé par la Commission	Amendement
	(32 bis) Le groupe de coopération devrait être composé de représentants des États membres, de la Commission et de l’ENISA.

Amendement 21

Proposition de directive

Considérant 34


Texte proposé par la Commission	Amendement
(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.	(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), ainsi que d’autres organes et agences compétents de l’Union à participer à ses travaux.

Amendement 22

Proposition de directive

Considérant 35


Texte proposé par la Commission	Amendement
(35) Les autorités compétentes et les CSIRT devraient pouvoir participer aux programmes d’échange d’agents provenant d’autres États membres afin d’améliorer la coopération. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte.	(35) Les autorités compétentes et les CSIRT devraient pouvoir participer à des programmes d’échange et des programmes de formation en commun pour les agents provenant d’autres États membres afin d’améliorer la coopération et de renforcer la confiance entre les États membres. Elles devraient prendre les mesures nécessaires pour que les agents d’autres États membres puissent jouer un rôle effectif dans les activités de l’autorité compétente hôte ou du CSIRT.

Amendement 23

Proposition de directive

Considérant 39


Texte proposé par la Commission	Amendement
(39) Aux fins de la présente directive, le terme «incidents évités» devrait faire référence à un événement qui aurait potentiellement pu causer des dommages, mais dont la réalisation totale a pu être empêchée.	supprimé

Amendement 24

Proposition de directive

Considérant 45 bis (nouveau)


Texte proposé par la Commission	Amendement
	(45 bis) En outre, les entités devraient également assurer une éducation et une formation adéquates à leur personnel en matière de cybersécurité à tous les niveaux de l’organisation.

Amendement 25

Proposition de directive

Considérant 46


Texte proposé par la Commission	Amendement
(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21 , dans le but de déterminer, secteur par secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.	(46) Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités actives dans les secteurs couverts par la présente directive à bien gérer les risques de cybersécurité liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération impliquant les autorités nationales compétentes, en collaboration avec la Commission et l’ENISA, devrait réaliser des évaluations coordonnées sectorielles des risques liés aux chaînes d’approvisionnement, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 sur la cybersécurité des réseaux 5G21, dans le but de déterminer, dans chaque secteur, les services, systèmes ou produits TIC critiques, les menaces pertinentes et les vulnérabilités.
__________________	__________________
21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).	21 Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 Cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

Amendement 26

Proposition de directive

Considérant 47


Texte proposé par la Commission	Amendement
(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.	(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné et de sa criticité, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.

Amendement 27

Proposition de directive

Considérant 51


Texte proposé par la Commission	Amendement
(51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents qui les concernent.	(51) Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet et les consommateurs dépendent de l’internet pour des éléments essentiels de leur vie quotidienne. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que les réseaux de communications électroniques publics, comme les dorsales internet ou les câbles de communication sous-marins, disposent de mesures de cybersécurité appropriées et signalent les incidents qui les concernent.

Amendement 28

Proposition de directive

Considérant 52


Texte proposé par la Commission	Amendement
(52) Lorsque cela est approprié, les entités devraient informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux. L’obligation qui est faite aux entités d’informer les destinataires de ces menaces ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. Informer les destinataires au sujet des menaces pour la sécurité devrait être gratuit.	(52) Les entités devraient viser à informer les destinataires de leurs services des menaces importantes et considérables, ainsi que des mesures qu’ils peuvent prendre pour atténuer le risque qui en résulte pour eux, en particulier lorsque ces mesures sont susceptibles d’améliorer la protection des consommateurs. Cela ne devrait pas les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute cybermenace pour la sécurité et pour rétablir le niveau normal de sécurité du service. L’information fournie aux destinataires au sujet des menaces pour la sécurité devrait être gratuite et formulée dans un langage facile à comprendre.

Amendement 29

Proposition de directive

Considérant 53


Texte proposé par la Commission	Amendement
(53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures qu’ils peuvent prendre pour sécuriser leurs communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.	(53) Plus particulièrement, il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public informent les destinataires des services des cybermenaces particulières et importantes pour la sécurité et des mesures supplémentaires qu’ils peuvent prendre pour sécuriser leurs appareils et communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.

Amendement 30

Proposition de directive

Considérant 54


Texte proposé par la Commission	Amendement
(54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de l’article 18. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications, tout en apportant une réponse efficace à la criminalité.	(54) Afin de préserver la sécurité des réseaux et services de communications électroniques, il convient d’encourager l’utilisation du chiffrement, notamment du chiffrement de bout en bout, voire si nécessaire de l’imposer, pour les fournisseurs de ces services et réseaux, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins des mesures de gestion du risque en matière de cybersécurité. L’utilisation du chiffrement de bout en bout ne porte pas préjudice aux pouvoirs, aux politiques et aux procédures dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Les solutions pour un accès légal aux informations contenues dans les communications chiffrées de bout en bout devraient préserver l’efficacité du cryptage pour ce qui est de la protection de la vie privée et de la sécurité des communications, tout en apportant une réponse efficace à la criminalité. Toute action entreprise doit respecter strictement les principes de proportionnalité et de subsidiarité.

Amendement 31

Proposition de directive

Considérant 55


Texte proposé par la Commission	Amendement
(55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale dans les 24 heures, suivie d’un rapport final un mois après au plus tard. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’évider que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais de 24 heures pour la notification initiale et de un mois pour le rapport final.	(55) La présente directive établit une approche consécutive du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident ou d’un incident évité, elles devraient être tenues de présenter une notification initiale dans les 72 heures, suivie d’un rapport complet au plus tard trois mois après la présentation de la notification initiale, et d’un rapport final au plus tard un mois après avoir remédié à l’incident. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. La notification initiale devrait être précédée d’une alerte précoce dans les 24 premières heures, sans obligation de communication d’informations supplémentaires. Ce premier avertissement devrait être soumis dès que possible, ce qui permettrait aux entités de demander rapidement l’aide des autorités compétentes ou des CSIRT et aux autorités compétentes ou aux CSIRT de limiter la propagation potentielle de l’incident signalé, ainsi qu’aux CSIRT de bénéficier d’un outil de connaissance de la situation. Afin d’éviter que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais prévus.

Amendement 32

Proposition de directive

Considérant 56


Texte proposé par la Commission	Amendement
(56) Les entités essentielles et importantes se retrouvent souvent dans une situation dans laquelle un incident en particulier, en raison de ses caractéristiques, doit être signalé à différentes autorités en raison d’obligations de notification incluses dans différents instruments juridiques. De tels cas créent des charges supplémentaires et peuvent également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. C’est pourquoi, afin de simplifier le signalement des incidents de sécurité, les États membres devraient mettre en place un point d’entrée unique pour toutes les notifications requises en vertu de la présente directive et d’autres actes législatifs de l’Union, comme le règlement (UE) 2016/679 et la directive 2002/58/CE. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices qui permettraient de simplifier et de rationaliser les informations de signalement exigées par le droit de l’Union et de réduire les charges pesant sur les entreprises.	(56) Les entités essentielles et importantes se retrouvent souvent dans une situation dans laquelle un incident en particulier, en raison de ses caractéristiques, doit être signalé à différentes autorités en raison d’obligations de notification incluses dans différents instruments juridiques. De tels cas créent des charges supplémentaires et peuvent également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. C’est pourquoi, afin de simplifier le signalement des incidents de sécurité et de respecter le principe de la transmission unique d’informations, les États membres devraient mettre en place un point d’entrée unique pour toutes les notifications requises en vertu de la présente directive et d’autres actes législatifs de l’Union, comme le règlement (UE) 2016/679 et la directive 2002/58/CE. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices qui permettraient de simplifier et de rationaliser les informations de signalement exigées par le droit de l’Union et de réduire les charges pesant sur les entreprises.

Amendement 33

Proposition de directive

Considérant 59


Texte proposé par la Commission	Amendement
(59) Le maintien à jour des bases de données précises et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.	(59) Le maintien à jour des bases de données précises, vérifiées et complètes de noms de domaines et de données d’enregistrement (appelées «données WHOIS») ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du système de noms de domaines (DNS), lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. Lorsque le traitement comprend des données à caractère personnel, ce traitement doit s’effectuer conformément au droit de l’Union en matière de protection des données.

Amendement 34

Proposition de directive

Considérant 61


Texte proposé par la Commission	Amendement
(61) Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaines, les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau (appelées «bureaux d’enregistrement») doivent collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaines. En particulier, les registres de noms domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément aux règles de l’Union en matière de protection des données.	(61) Afin d’assurer la disponibilité de données exactes et complètes sur l’enregistrement des noms de domaines, les registres des noms de domaines de premier niveau ainsi que les entités qui fournissent des services d’enregistrement de noms de domaines (y compris les services fournis par les registres de noms de domaines et les bureaux d’enregistrement, les fournisseurs de services d’anonymisation et de services d’enregistrement fiduciaire, les courtiers ou les revendeurs de domaines, et tout autre service lié à l’enregistrement des noms de domaines) doivent collecter et garantir l’intégrité et la disponibilité des données relatives à l’enregistrement des noms de domaines. En particulier, les registres de noms domaines de premier niveau ainsi que les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient établir des politiques et des procédures aux fins de collecter et maintenir des données d’enregistrement exactes et complètes, ainsi que pour prévenir et corriger les données d’enregistrement inexactes, conformément aux règles de l’Union en matière de protection des données.

Amendement 35

Proposition de directive

Considérant 68


Texte proposé par la Commission	Amendement
(68) Les entités devraient être encouragées à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.	(68) Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à évaluer, surveiller, se défendre et répondre de manière adéquate aux cybermenaces. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations. À cette fin, les États membres devraient activement soutenir et encourager également les entités concernées qui ne relèvent pas du champ d’application de la présente directive à participer à ces mécanismes d’échange d’informations. Ces mécanismes devraient être opérés dans le plein respect des règles de concurrence de l’Union ainsi que des règles du droit de l’Union en matière de protection des données.

Amendement 36

Proposition de directive

Considérant 69


Texte proposé par la Commission	Amendement
(69) Le traitement de données à caractère personnel, dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé dans le règlement (UE) 2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Ces mesures peuvent nécessiter le traitement des types de données à caractère personnel suivants: Adresses IP, localisateurs de ressources uniformes (URL), noms de domaines et adresses électroniques.	(69) Le traitement de données à caractère personnel, qui devrait se limiter à ce qui est strictement nécessaire et proportionné aux fins de garantir la sécurité du réseau et des informations ainsi que de veiller à la protection des consommateurs, par des entités, des autorités publiques, des CERT, des CSIRT et des fournisseurs de technologies et de services de sécurité devrait constituer un intérêt légitime du responsable du traitement concerné, tel que visé dans le règlement (UE) 2016/679. Cela devrait comprendre des mesures liées à la prévention, à la détection, à l’analyse et à la réaction aux incidents, des mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée, ainsi que l’échange volontaire d’informations sur ces incidents, les cybermenaces et les vulnérabilités, de même que les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration. Ces mesures peuvent nécessiter le traitement des types de données à caractère personnel suivants: Adresses IP, localisateurs de ressources uniformes (URL), noms de domaines et adresses électroniques.

Amendement 37

Proposition de directive

Considérant 70


Texte proposé par la Commission	Amendement
(70) Afin de renforcer les pouvoirs et actions de surveillance qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale d’actions et de moyens de surveillance par lesquels les autorités compétentes peuvent contrôler les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de surveillance entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations tant pour les entités que pour les autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de surveillance à part entière (ex ante et ex post), tandis que les entités importantes devraient pour leur part être soumises à un régime de surveillance léger, uniquement ex post. Pour ces dernières, cela signifie que les entités importantes ne sont pas tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes sont quant à elles invitées à mettre en œuvre une approche réactive de la surveillance ex post et, par conséquent, ne pas être assujetties à une obligation générale de surveillance de ces entités.	(70) Afin de renforcer les pouvoirs et actions de surveillance qui contribuent à assurer un respect effectif des règles et d’atteindre un niveau commun élevé de sécurité au sein du secteur numérique, notamment en prévenant les risques pour les utilisateurs et autres réseaux, systèmes d’information et services, la présente directive devrait prévoir une liste minimale d’actions et de moyens de surveillance par lesquels les autorités compétentes peuvent contrôler les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de surveillance entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations tant pour les entités que pour les autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de surveillance à part entière (ex ante et ex post), tandis que les entités importantes devraient pour leur part être soumises à un régime de surveillance léger, uniquement ex post, en tenant compte d’une approche fondée sur le risque. Pour ces dernières, cela signifie que les entités importantes ne sont pas tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes sont quant à elles invitées à mettre en œuvre une approche réactive de la surveillance ex post et, par conséquent, ne pas être assujetties à une obligation générale de surveillance de ces entités, sauf en cas de violation avérée des obligations.

Amendement 38

Proposition de directive

Considérant 76


Texte proposé par la Commission	Amendement
(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant tout ou partie des services fournis par une entité essentielle et en l’interdiction temporaire de l’exercice de fonctions de direction par une personne physique. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.	(76) Afin de renforcer encore l’efficacité et le caractère dissuasif des sanctions applicables aux violations des obligations prévues en vertu de la présente directive, les autorités compétentes devraient être habilitées à imposer des sanctions consistant en la suspension d’une certification ou d’une autorisation concernant les services en question fournis par une entité essentielle. Compte tenu de leur gravité et de leur incidence sur les activités des entités et, en définitive, sur leurs consommateurs, ces sanctions ne devraient être appliquées que proportionnellement à la gravité de la violation et en tenant compte des circonstances spécifiques de chaque cas, notamment le caractère intentionnel ou négligent de la violation, les mesures prises pour prévenir ou atténuer les dommages et/ou les pertes subis. Ces sanctions ne devraient être appliquées qu’à titre d’ultima ratio, c’est-à-dire uniquement après que les autres mesures d’exécution pertinentes prévues par la présente directive ont été épuisées, et seulement pendant la période durant laquelle les entités auxquelles elles s’appliquent prennent les mesures nécessaires pour remédier aux manquements ou se conformer aux exigences de l’autorité compétente pour laquelle ces sanctions ont été appliquées. L’imposition de ces sanctions est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la charte des droits fondamentaux de l’Union européenne, y compris le droit à une protection juridictionnelle effective, une procédure régulière, la présomption d’innocence et les droits de la défense.

Amendement 39

Proposition de directive

Considérant 79


Texte proposé par la Commission	Amendement
(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres.	(79) Un mécanisme d’évaluation par les pairs devrait être mis en place, permettant l’évaluation par des experts désignés par les États membres et de l’ENISA de la mise en œuvre des politiques de cybersécurité, y compris le niveau des capacités et des ressources disponibles des États membres, et l’échange de bonnes pratiques.

Amendement 40

Proposition de directive

Considérant 80


Texte proposé par la Commission	Amendement
(80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques requis en vertu de la présente directive. La Commission devrait également être habilitée à adopter des actes délégués établissant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»26. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.	(80) Afin de tenir compte des nouvelles cybermenaces, de l’évolution technologique ou des spécificités sectorielles, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en ce qui concerne les éléments en rapport avec les mesures de gestion des risques requis en vertu de la présente directive. La Commission devrait être habilitée à adopter des actes délégués établissant les éléments techniques des mesures de gestion des risques. La Commission devrait également être habilitée à adopter des actes délégués qui précisent le type d’informations présentées par les entités essentielles et importantes au sujet de tout incident ayant une incidence significative sur la fourniture de leurs services ou de tout incident évité, et qui précisent les cas dans lesquels un incident devrait être considéré comme significatif. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»26. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.
__________________	__________________
26 JO L 123 du 12.5.2016, p. 1.	26 JO L 123 du 12.5.2016, p. 1.

Amendement 41

Proposition de directive

Considérant 81


Texte proposé par la Commission	Amendement
(81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération, les éléments techniques des mesures de gestion des risques ou le type d’informations, le format et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil27.	(81) Afin d’assurer des conditions uniformes de mise en œuvre des dispositions pertinentes de la présente directive concernant les modalités de procédure nécessaires au fonctionnement du groupe de coopération, le format et la procédure de notification des incidents, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) nº 182/2011 du Parlement européen et du Conseil27.
__________________	__________________
27 Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).	27 Règlement (UE) nº 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l’exercice des compétences d’exécution par la Commission (JO L 55 du 28.2.2011, p. 13).

Amendement 42

Proposition de directive

Article 1, paragraphe 1


Texte proposé par la Commission	Amendement
1. La présente directive établit des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union.	1. La présente directive établit des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union afin de créer un environnement numérique fiable pour les consommateurs et les opérateurs économiques, ainsi que d’améliorer le fonctionnement du marché intérieur et d’en supprimer les obstacles.

Amendement 43

Proposition de directive

Article 2 – paragraphe 2 – alinéa 1 – partie introductive


Texte proposé par la Commission	Amendement
2. Toutefois, quelle que soit leur taille, la présente directive s’applique également aux entités visées aux annexes I et II, dans les cas suivants:	2. Toutefois, quelle que soit leur taille, la présente directive s’applique également aux entités d’un type visé aux annexes I et II, dans les cas suivants:

Amendement 44

Proposition de directive

Article 2 – paragraphe 2 – alinéa 2 bis (nouveau)


Texte proposé par la Commission	Amendement
	La Commission publie des lignes directrices afin d’aider les États membres à mettre correctement en œuvre les dispositions relatives au champ d’application, et afin d’accorder d’éventuelles dérogations au champ d’application de la directive ou à certaines de ses dispositions pour certaines entités importantes, compte tenu de leur faible criticité dans leur secteur spécifique et/ou de leur faible dépendance à l’égard d’autres secteurs ou types de services. Les États membres, en tenant pleinement compte des lignes directrices de la Commission, notifient à la Commission leurs décisions motivées à cet égard.

Amendement 45

Proposition de directive

Article 4 – alinéa 1 – point 4


Texte proposé par la Commission	Amendement
(4) «stratégie nationale en matière de cybersécurité», le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques en matière de sécurité des réseaux et des systèmes d’information dans cet État membre;	(4) «stratégie nationale en matière de cybersécurité», le cadre cohérent d’un État membre fournissant des objectifs et des priorités stratégiques en matière de sécurité des réseaux et des systèmes d’information dans cet État membre, ainsi que les politiques nécessaires pour les concrétiser;

Amendement 46

Proposition de directive

Article 4 – alinéa 1 – point 5 bis (nouveau)


Texte proposé par la Commission	Amendement
	(5 bis) «incident transfrontalier», tout incident touchant des opérateurs sous le contrôle des autorités nationales compétentes d’au moins deux États membres différents;

Amendement 47

Proposition de directive

Article 4 – alinéa 1 – point 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	(6 bis) «incident évité», un événement qui aurait potentiellement pu causer des dommages, mais dont la réalisation totale a pu être empêchée;

Amendement 48

Proposition de directive

Article 4 – alinéa 1 – point 15 bis (nouveau)


Texte proposé par la Commission	Amendement
	(15 bis) «services d’enregistrement des noms de domaines», les services fournis par les registres et les bureaux d’enregistrement des noms de domaines, les fournisseurs de services d’anonymisation et de services d’enregistrement fiduciaire, les courtiers ou les revendeurs de domaines, et tout autre service lié à l’enregistrement des noms de domaines;

Amendement 49

Proposition de directive

Article 5 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:	1. Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées, notamment les ressources humaines et financières appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend notamment les éléments suivants:

Amendement 50

Proposition de directive

Article 5 – alinéa 1 – point b


Texte proposé par la Commission	Amendement
b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2 ainsi que les rôles et responsabilités des organismes et entités publics ainsi que des autres acteurs concernés;	b) un cadre de gouvernance visant à atteindre ces objectifs et priorités, y compris les politiques visées au paragraphe 2 ainsi que les rôles et responsabilités des organismes et entités publics ainsi que des autres acteurs concernés, notamment ceux chargés du cyberrenseignement et de la cyberdéfense;

Amendement 51

Proposition de directive

Article 5 – paragraphe 1 – point c


Texte proposé par la Commission	Amendement
c) une évaluation visant à déterminer les actifs pertinents et les risques de cybersécurité dans cet État membre;	c) une évaluation visant à déterminer les actifs pertinents et les risques de cybersécurité dans cet État membre, y compris les éventuelles pénuries qui pourraient avoir une incidence négative sur le marché unique;

Amendement 52

Proposition de directive

Article 5 – paragraphe 1 – point e


Texte proposé par la Commission	Amendement
e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité;	e) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité, y compris un guichet unique pour les PME;

Amendement 53

Proposition de directive

Article 5 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics;	b) des lignes directrices concernant l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris l’utilisation de produits de cybersécurité open source;

Amendement 54

Proposition de directive

Article 5 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) une politique visant à promouvoir et à faciliter la divulgation coordonnée des vulnérabilités au sens de l’article 6;	c) une politique visant à promouvoir et à faciliter la divulgation coordonnée des vulnérabilités au sens de l’article 6, notamment par la définition de lignes directrices et de bonnes pratiques fondées sur des normes établies et reconnues à l’échelle internationale en matière de traitement et de divulgation des vulnérabilités;

Amendement 55

Proposition de directive

Article 5 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) une politique de promotion et de développement des compétences en matière de cybersécurité, de sensibilisation et d’initiatives de recherche et développement;	e) une politique de promotion de la cybersécurité pour les consommateurs, qui les sensibilise aux cybermenaces, augmente la cyberculture, renforce la confiance des utilisateurs, développe les compétences et l’éducation en matière de cybersécurité technologiquement neutres, et favorise les initiatives de recherche et développement ainsi que la cybersécurité des produits connectés;

Amendement 56

Proposition de directive

Article 5 – paragraphe 2 – point e bis (nouveau)


Texte proposé par la Commission	Amendement
	e bis) des mesures de promotion de l’utilisation de la cryptographie et du cryptage, en particulier par les PME;

Amendement 57

Proposition de directive

Article 5 – paragraphe 2 – point h


Texte proposé par la Commission	Amendement
h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.	h) une politique de promotion de la cybersécurité répondant aux besoins spécifiques des PME lorsqu’elles s’acquittent des obligations fixées par la présente directive, ainsi qu’aux besoins spécifiques de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité, y compris, par exemple, le financement et l’éducation dans le but de favoriser l’adoption de mesures en matière de cybersécurité.

Amendement 58

Proposition de directive

Article 5 – paragraphe 2 – point h bis (nouveau)


Texte proposé par la Commission	Amendement
	h bis) cette politique comprend la mise en place d’un point de contact national unique pour les PME et d’un cadre favorisant l’utilisation la plus efficace des pôles d’innovation numérique et des fonds disponibles en vue de l’atteinte des objectifs politiques.

Amendement 59

Proposition de directive

Article 5 – paragraphe 2 – point h ter (nouveau)


Texte proposé par la Commission	Amendement
	h ter) une politique promouvant l’utilisation cohérente et synergique des fonds disponibles;

Amendement 60

Proposition de directive

Article 5 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie.	4. Les États membres évaluent leurs stratégies nationales de cybersécurité au moins tous les quatre ans sur la base d’indicateurs clés de performance et, le cas échéant, les modifient. L’Agence de l’Union européenne pour la cybersécurité (ENISA) aide les États membres, sur demande, à élaborer une stratégie nationale et des indicateurs clés de performance aux fins de l’évaluation de la stratégie. L’ENISA adresse également des recommandations aux États membres sur l’élaboration d’indicateurs clés de performance en vue de l’évaluation de la stratégie nationale, qui soient comparables au niveau de l’Union.

Amendement 61

Proposition de directive

Article 6 – titre


Texte proposé par la Commission	Amendement
Divulgation coordonnée des vulnérabilités et registre européen des vulnérabilités	Divulgation coordonnée des vulnérabilités et base de données européenne des vulnérabilités

Amendement 62

Proposition de directive

Article 6 – paragraphe 2


Texte proposé par la Commission	Amendement
2. L’ENISA élabore et tient à jour un registre européen des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations sur les vulnérabilités contenues dans le registre. Le registre comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués.	2. L’ENISA élabore et tient à jour une base de données européenne des vulnérabilités. À cette fin, l’ENISA établit et maintient les systèmes d’information, les politiques et les procédures appropriés, ainsi que les politiques pertinentes en matière de divulgation, en vue notamment de permettre aux entités importantes et essentielles et à leurs fournisseurs de réseaux et de systèmes d’information de divulguer et d’enregistrer facilement les vulnérabilités présentes dans les produits TIC ou les services TIC, ainsi que de donner accès à toutes les parties intéressées aux informations pertinentes sur les vulnérabilités contenues dans le registre, à condition que ces actions ne portent pas atteinte à la protection de la confidentialité et des secrets d’affaires. La base de données des vulnérabilités comprend notamment des informations décrivant la vulnérabilité, le produit TIC ou les services TIC affectés ainsi que la gravité de la vulnérabilité en termes de circonstances dans lesquelles elle peut être exploitée, la disponibilité des correctifs correspondants et, en l’absence de correctifs disponibles, des orientations adressées aux utilisateurs de produits et services vulnérables sur la manière dont les risques résultant des vulnérabilités divulguées peuvent être atténués. Afin d’éviter les doubles emplois, l’ENISA conclut un accord de partage d’informations et un accord de coopération structurée avec le registre mondial Common Vulnerabilities and Exposures (CVE) et, le cas échéant, avec d’autres bases de données développées et gérées à l’échelle mondiale par des partenaires de confiance.

Amendement 63

Proposition de directive

Article 7 – paragraphe 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	1 bis. Lorsqu’un État membre désigne plus d’une autorité compétente visée au paragraphe 1, il doit indiquer clairement laquelle de ces autorités compétentes fera office de point de contact principal lors d’un incident ou d’une crise de grande ampleur.

Amendement 64

Proposition de directive

Article 7 – paragraphe 3 – point f


Texte proposé par la Commission	Amendement
f) les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents et des crises de cybersécurité majeurs au niveau de l’Union.	f) les procédures et la coordination nationaux entre les autorités et les organismes nationaux compétents, y compris ceux chargés du cyber-renseignement et de la cyberdéfense, visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents et des crises de cybersécurité majeurs au niveau de l’Union.

Amendement 65

Proposition de directive

Article 10 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) l’analyse dynamique des risques et incidents et la conscience situationnelle en matière de cybersécurité;	d) l’analyse dynamique des risques et incidents et la conscience situationnelle en matière de cybersécurité, notamment par l’analyse des alertes précoces et des notifications visées à l’article 20;

Amendement 66

Proposition de directive

Article 10 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
e) la réalisation, à la demande d’une entité, d’un scannage proactif du réseau et des systèmes d’information utilisés pour la fourniture de leurs services;	e) la réalisation, à la demande d’une entité, d’un scannage du réseau et des systèmes d’information utilisés pour la fourniture de leurs services afin de repérer, d’atténuer ou de prévenir des menaces spécifiques;

Amendement 67

Proposition de directive

Article 10 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) la participation au réseau des CSIRT ainsi que la fourniture d’une assistance mutuelle aux autres membres du réseau à leur demande.	f) la participation active au réseau des CSIRT ainsi que la fourniture d’une assistance mutuelle aux autres membres du réseau à leur demande;

Amendement 68

Proposition de directive

Article 10 – paragraphe 2 – point f bis (nouveau)


Texte proposé par la Commission	Amendement
	f bis) la fourniture d’une assistance opérationnelle et d’orientations aux entités visées aux annexes I et II, et en particulier aux PME;

Amendement 69

Proposition de directive

Article 10 – paragraphe 2 – point f ter (nouveau)


Texte proposé par la Commission	Amendement
	f ter) la participation à des exercices conjoints de cybersécurité au niveau de l’Union.

Amendement 70

Proposition de directive

Article 11 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que leurs autorités compétentes ou leurs CSIRT reçoivent des notifications relatives aux incidents, aux cybermenaces importantes et quasi-accidents, soumises en application de la présente directive. Lorsqu’un État membre décide que ses CSIRT ne reçoivent pas ces notifications, ils se voient accorder, dans la mesure nécessaire à l’accomplissement de leurs tâches, un accès aux données relatives aux incidents notifiés par les entités essentielles ou importantes conformément à l’article 20.	2. Les États membres veillent à ce que leurs autorités compétentes ou leurs CSIRT reçoivent des notifications relatives aux incidents, aux cybermenaces importantes et quasi-accidents, soumises en application de la présente directive. Lorsqu’un État membre décide que ses CSIRT ne reçoivent pas ces notifications, ils se voient accorder, dans la mesure nécessaire à l’accomplissement efficace de leurs tâches, un accès adéquat aux données relatives aux incidents notifiés par les entités essentielles ou importantes conformément à l’article 20.

Amendement 71

Proposition de directive

Article 11 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil 39[le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre.	4. Dans la mesure nécessaire pour s’acquitter efficacement des tâches et obligations prévues par la présente directive, les États membres assurent une coopération appropriée entre les autorités compétentes et les points de contact uniques et les services répressifs, les autorités chargées de la protection des données et les autorités responsables des infrastructures critiques en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] et les autorités financières nationales désignées conformément au règlement (UE) XXXX/XXXX du Parlement européen et du Conseil39 [le règlement sur la résilience opérationnelle numérique du secteur financier] dans cet État membre, ainsi qu’avec les autorités chargées de la cyberdéfense et du cyberrenseignement.
__________________	__________________
39 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]	39 [insérer le titre complet et la référence de la publication au JO lorsqu’elle est connue]

Amendement 72

Proposition de directive

Article 12 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le groupe de coopération exécute ses tâches en s’appuyant sur les programmes de travail bisannuels visés au paragraphe 6.	2. Le groupe de coopération se réunit régulièrement et exécute ses tâches en s’appuyant sur les programmes de travail bisannuels visés au paragraphe 6.

Amendement 73

Proposition de directive

Article 12 – paragraphe 3 – alinéa 2


Texte proposé par la Commission	Amendement
Si besoin est, le groupe de coopération peut inviter des représentants des acteurs concernés à participer à ses travaux.	Si besoin est, le groupe de coopération peut inviter des représentants des organes et agences compétents de l’Union ainsi que des acteurs concernés à participer à ses travaux.

Amendement 74

Proposition de directive

Article 12 – paragraphe 4 – point a


Texte proposé par la Commission	Amendement
a) la fourniture d’orientations aux autorités compétentes en rapport avec la transposition et la mise en œuvre de la présente directive;	a) la fourniture d’orientations aux autorités compétentes en rapport avec la transposition et la mise en œuvre de la présente directive et la promotion de sa mise en œuvre uniforme dans les États membres;

Amendement 75

Proposition de directive

Article 12 – paragraphe 4 – point a bis (nouveau)


Texte proposé par la Commission	Amendement
	a bis) l’échange d’informations sur les priorités politiques et les principaux défis en matière de cybersécurité et la définition des principaux objectifs de la cybersécurité;

Amendement 76

Proposition de directive

Article 12 – paragraphe 4 – point a ter (nouveau)


Texte proposé par la Commission	Amendement
	a ter) l’étude des stratégies nationales des États membres et de leur état de préparation;

Amendement 77

Proposition de directive

Article 12 – paragraphe 4 – point c


Texte proposé par la Commission	Amendement
c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité;	c) l’échange de conseils et la coopération avec la Commission sur les initiatives politiques émergentes en matière de cybersécurité, ainsi qu’avec le Service européen pour l’action extérieure sur les aspects géopolitiques de la cybersécurité dans l’Union;

Amendement 78

Proposition de directive

Article 12 – paragraphe 4 – point f


Texte proposé par la Commission	Amendement
f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7;	f) la discussion portant sur les rapports relatifs à l’évaluation par les pairs visés à l’article 16, paragraphe 7, sur l’évaluation de son fonctionnement et sur les conclusions qui en découlent;

Amendement 79

Proposition de directive

Article 12 – paragraphe 4 – point k bis (nouveau)


Texte proposé par la Commission	Amendement
	k bis) l’accompagnement de l’ENISA dans l’organisation de formations communes des autorités nationales compétentes au niveau de l’Union.

Amendement 80

Proposition de directive

Article 12 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Au plus tard le ...  24 mois après la date d’entrée en vigueur de la présente directive et ensuite tous les deux ans, le groupe de coopération établit un programme de travail concernant les actions à entreprendre pour mettre en œuvre ses objectifs et ses tâches. Le calendrier du premier programme adopté au titre de la présente directive est aligné sur le calendrier du dernier programme adopté au titre de la directive (UE) 2016/1148.	6. Au plus tard [12 mois après la date d’entrée en vigueur de la présente directive] et ensuite tous les deux ans, le groupe de coopération établit un programme de travail concernant les actions à entreprendre pour mettre en œuvre ses objectifs et ses tâches. Le calendrier du premier programme adopté au titre de la présente directive est aligné sur le calendrier du dernier programme adopté au titre de la directive (UE) 2016/1148.

Amendement 81

Proposition de directive

Article 12 – paragraphe 8 bis (nouveau)


Texte proposé par la Commission	Amendement
	8 bis. Le groupe de coopération publie régulièrement un rapport de synthèse de ses activités, sans préjudice de la confidentialité des informations échangées au cours de ses réunions.

Amendement 82

Proposition de directive

Article 13 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) l’échange d’informations sur les capacités des CSIRT;	a) l’échange d’informations sur les capacités et la préparation des CSIRT;

Amendement 83

Proposition de directive

Article 13 – paragraphe 3 – point b


Texte proposé par la Commission	Amendement
b) l’échange d’informations pertinentes sur les incidents, les quasi-accidents, les cybermenaces, les risques et les vulnérabilités;	b) l’échange d’informations pertinentes sur les incidents, les quasi-accidents, les cybermenaces, les risques et les vulnérabilités et le soutien aux capacités opérationnelles des États membres;

Amendement 84

Proposition de directive

Article 13 – paragraphe 3 – point d bis (nouveau)


Texte proposé par la Commission	Amendement
	d bis) l’échange et la discussion portant sur les informations relatives aux incidents de nature transfrontalière;

Amendement 85

Proposition de directive

Article 13 – paragraphe 3 – point g – sous-point i bis (nouveau)


Texte proposé par la Commission	Amendement
	i bis) le partage d’informations;

Amendement 86

Proposition de directive

Article 13 – paragraphe 3 – point j


Texte proposé par la Commission	Amendement
j) à la demande d’un CSIRT donné, l’étude des capacités et de l’état de préparation dudit CSIRT;	j) l’étude des capacités et de l’état de préparation dudit CSIRT;

Amendement 87

Proposition de directive

Article 13 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Aux fins du réexamen visé à l’article 35 et d’ici le 24 mois après la date d’entrée en vigueur de la présente directive, puis tous les deux ans, le réseau des CSIRT évalue les progrès réalisés dans le cadre de la coopération opérationnelle et produit un rapport. Le rapport tire notamment des conclusions sur les résultats des évaluations par les pairs visées à l’article 16, effectuées en rapport avec les CSIRT nationaux, y compris des conclusions et des recommandations, conformément au présent article. Ce rapport est aussi transmis au groupe de coopération.	4. Aux fins du réexamen visé à l’article 35 et d’ici le 24 mois après la date d’entrée en vigueur de la présente directive, puis chaque année, le réseau des CSIRT évalue les progrès réalisés dans le cadre de la coopération opérationnelle et produit un rapport. Le rapport tire notamment des conclusions sur les résultats des évaluations par les pairs visées à l’article 16, effectuées en rapport avec les CSIRT nationaux, y compris des conclusions et des recommandations, conformément au présent article. Ce rapport est aussi transmis au groupe de coopération.

Amendement 88

Proposition de directive

Article 14 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) de renforcer le niveau de préparation à la gestion des crises et incidents majeurs;	a) de renforcer le niveau de préparation à la gestion des crises et incidents majeurs, y compris des cybermenaces transfrontières;

Amendement 89

Proposition de directive

Article 14 – paragraphe 5


Texte proposé par la Commission	Amendement
5. UE-CyCLONe rend régulièrement compte au groupe de coopération des cybermenaces ainsi que des incidents et tendances en matière de cybersécurité, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes.	5. UE-CyCLONe rend régulièrement compte au groupe de coopération des cybermenaces ainsi que des incidents et tendances en matière de cybersécurité, en mettant notamment l’accent sur leur incidence sur les entités essentielles et importantes ainsi que sur leur résilience.

Amendement 90

Proposition de directive

Article 14, paragraphe 6


Texte proposé par la Commission	Amendement
6. EU-CyCLONe coopère avec le réseau des CSIRT sur la base des modalités procédurales convenues.	6. EU-CyCLONe coopère étroitement avec le réseau des CSIRT sur la base des modalités procédurales convenues.

Amendement 91

Proposition de directive

Article 15 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union. Le rapport comporte notamment une évaluation des éléments suivants:	1. L’ENISA publie, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union et le présente au Parlement européen. Le rapport comporte notamment une évaluation des éléments suivants:

Amendement 92

Proposition de directive

Article 15 – paragraphe 1 – point a


Texte proposé par la Commission	Amendement
a) le développement des capacités de cybersécurité dans l’ensemble de l’Union;	a) le développement des capacités de cybersécurité dans l’ensemble de l’Union, y compris le niveau général des compétences en matière de cybersécurité, le degré global de résilience du marché intérieur face aux cybermenaces et le niveau de mise en œuvre de la directive dans l’ensemble des États membres;

Amendement 93

Proposition de directive

Article 15 – paragraphe 1 – point c


Texte proposé par la Commission	Amendement
c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité.	c) un indice de cybersécurité permettant une évaluation globale du niveau de maturité des capacités de cybersécurité, y compris une évaluation globale de la cybersécurité pour les consommateurs;

Amendement 94

Proposition de directive

Article 15 – paragraphe 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) les aspects géopolitiques ayant une incidence directe ou indirecte sur la situation en matière de cybersécurité dans l’Union.

Amendement 95

Proposition de directive

Article 16 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard 18 mois après l’entrée en vigueur de la présente directive, la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations sont effectuées par des experts techniques en cybersécurité provenant d’États membres différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:	1. La Commission établit, après consultation du groupe de coopération et de l’ENISA, et au plus tard 12 mois après l’entrée en vigueur de la présente directive, la méthodologie et le contenu d’un système d’évaluation par les pairs pour apprécier l’efficacité des politiques en matière de cybersécurité des États membres. Les évaluations sont effectuées par des experts techniques en cybersécurité provenant d’au moins deux États membres et de l’ENISA, différents de celui qui fait l’objet de l’évaluation et portent au moins sur les points suivants:

Amendement 96

Proposition de directive

Article 16 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La méthodologie comprend des critères objectifs, non discriminatoires, équitables et transparents sur la base desquels les États membres désignent les experts habilités à effectuer les évaluations par les pairs. L’ENISA et la Commission désignent des experts pour participer en tant qu’observateurs aux évaluations par les pairs. La Commission, soutenue par l’ENISA, établit, dans le cadre de la méthodologie visée au paragraphe 1, un système objectif, non discriminatoire, équitable et transparent aux fins de la sélection et de la répartition aléatoire des experts pour chaque évaluation par les pairs.	2. La méthodologie comprend des critères objectifs, non discriminatoires, technologiquement neutres, équitables et transparents sur la base desquels les États membres désignent les experts habilités à effectuer les évaluations par les pairs. L’ENISA et la Commission désignent des experts pour participer en tant qu’observateurs aux évaluations par les pairs. La Commission, soutenue par l’ENISA, établit, dans le cadre de la méthodologie visée au paragraphe 1, un système objectif, non discriminatoire, équitable et transparent aux fins de la sélection et de la répartition aléatoire des experts pour chaque évaluation par les pairs.

Amendement 97

Proposition de directive

Article 18 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes prennent les mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de la fourniture de leurs services. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances.	1. Les États membres veillent à ce que les entités essentielles et importantes prennent des mesures techniques et organisationnelles pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de la fourniture de leurs services. Ces mesures sont appropriées et proportionnées au niveau de criticité du secteur ou du type de service, ainsi qu’au niveau de dépendance de l’entité par rapport à d’autres secteurs ou types de services, et sont adoptées à la suite d’une évaluation fondée sur les risques. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances. En particulier, des mesures sont prises pour prévenir et réduire autant que possible les conséquences des incidents de sécurité sur les destinataires de leurs services.

Amendement 98

Proposition de directive

Article 18 – paragraphe 2 – point d


Texte proposé par la Commission	Amendement
d) la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services tels que les fournisseurs de services de stockage et de traitement des données ou de services de sécurité gérés;	d) les mesures en vue de l’évaluation des risques liés à la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services tels que les fournisseurs de services de stockage et de traitement des données ou de services de sécurité gérés;

Amendement 99

Proposition de directive

Article 18 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) des politiques et des procédures (tests et audits) pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;	f) des politiques et des procédures (tests et audits), ainsi que des exercices réguliers de cybersécurité pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;

Amendement 100

Proposition de directive

Article 18 – paragraphe 2 – point g


Texte proposé par la Commission	Amendement
g) l’utilisation de la cryptographie et du cryptage.	g) l’utilisation de la cryptographie, du cryptage et, en particulier, du chiffrement de bout en bout;

Amendement 101

Proposition de directive

Article 18 – paragraphe 2 – point g bis (nouveau)


Texte proposé par la Commission	Amendement
	g bis) des politiques visant à garantir une formation et une sensibilisation adéquates en matière de cybersécurité.

Amendement 102

Proposition de directive

Article 18 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées visées au paragraphe 2, point d), les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.	3. Les États membres veillent à ce que, lorsqu’elles envisagent de prendre les mesures appropriées visées au paragraphe 2, point d), les entités tiennent compte, lorsqu’elles ont accès aux informations pertinentes, des vulnérabilités propres à chaque fournisseur et prestataire de services et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.

Amendement 103

Proposition de directive

Article 18 – paragraphe 5


Texte proposé par la Commission	Amendement
5. La Commission peut adopter des actes d’exécution afin d’établir les spécifications techniques et méthodologiques des éléments visés au paragraphe 2. Lorsqu’elle prépare ces actes, la Commission procède conformément à la procédure d’examen visée à l’article 37, paragraphe 2, et suit, dans toute la mesure du possible, les normes internationales et européennes, ainsi que les spécifications techniques pertinentes.	5. La Commission est habilitée à adopter des actes délégués afin d’établir les spécifications techniques et méthodologiques des éléments visés au paragraphe 2 et suit, dans toute la mesure du possible, les normes internationales et européennes, ainsi que les spécifications techniques pertinentes. Lors de l’élaboration des actes délégués, la Commission consulte également toutes les parties prenantes concernées.

Amendement 104

Proposition de directive

Article 18 – paragraphe 6


Texte proposé par la Commission	Amendement
6. La Commission est habilitée à adopter des actes délégués conformément à l’article 36 pour compléter les éléments prévus au paragraphe 2 afin de tenir compte des nouvelles cybermenaces, des évolutions technologiques ou des spécificités sectorielles.	6. La Commission, en coopération avec le groupe de coopération et l’ENISA, fournit des orientations et des bonnes pratiques sur le respect, par les entités, de façon proportionnée, conformément aux exigences énoncées au paragraphe 2, et en particulier à l’exigence énoncée au point d) dudit paragraphe.

Amendement 105

Proposition de directive

Article 19 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques.	1. En vue d’accroître le niveau global de cybersécurité, le groupe de coopération, en coopération avec la Commission et l’ENISA, peut procéder à des évaluations coordonnées des risques de sécurité inhérents à des chaînes d’approvisionnement de services, de systèmes ou de produits TIC critiques spécifiques, en tenant compte des facteurs de risque techniques et, le cas échéant, non techniques, tels que les risques géopolitiques.

Amendement 106

Proposition de directive

Article 20 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT conformément aux paragraphes 3 et 4 tout incident ayant une incidence significative sur la fourniture de leurs services. Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services les incidents susceptibles de nuire à la fourniture de ces services. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant aux autorités compétentes ou au CSIRT de déterminer si l’incident a une incidence au niveau transfrontalier.	1. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT conformément aux paragraphes 3 et 4 tout incident ayant une incidence significative sur la fourniture de leurs services ou de tout incident évité. Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services les incidents susceptibles de nuire à la fourniture de ces services. Les États membres veillent à ce que ces entités signalent, entre autres, toute information permettant aux autorités compétentes ou au CSIRT de déterminer si l’incident ou l’incident évité a une incidence au niveau transfrontalier.

Amendement 107

Proposition de directive

Article 20 – paragraphe 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	1 bis. Afin de simplifier les obligations de signalement, les États membres mettent en place un point d’entrée unique pour toutes les notifications requises en vertu de la présente directive et d’autres actes législatifs de l’Union, comme le règlement (UE) 2016/679 et la directive 2002/58/CE.

Amendement 108

Proposition de directive

Article 20 – paragraphe 1 ter (nouveau)


Texte proposé par la Commission	Amendement
	1 ter. L’ENISA, en collaboration avec le groupe de coopération, met au point des formulaires de notification communs au moyen de lignes directrices qui permettraient de simplifier et de rationaliser les informations de signalement exigées par le droit de l’Union et de réduire la charge pesant sur les entreprises en matière de conformité.

Amendement 109

Proposition de directive

Article 20 – paragraphe 2 – alinéa 1


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les entités essentielles et importantes notifient dans les meilleurs délais aux autorités compétentes ou au CSIRT toute cybermenace importante que ces entités décèlent et qui aurait pu entraîner un incident significatif.	supprimé

Amendement 110

Proposition de directive

Article 20 – paragraphe 2 – alinéa 2


Texte proposé par la Commission	Amendement
Le cas échéant, ces entités notifient dans les meilleurs délais aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également leurs destinataires de la menace elle-même. La notification n’accroît pas la responsabilité de l’entité qui en est à l’origine.	supprimé

Amendement 111

Proposition de directive

Article 20 – paragraphe 3 – point a


Texte proposé par la Commission	Amendement
a) l’incident a causé ou est susceptible de causer une perturbation opérationnelle importante ou des pertes financières substantielles pour l’entité concernée;	a) l’incident a causé une perturbation opérationnelle importante ou des pertes financières substantielles pour l’entité concernée;

Amendement 112

Proposition de directive

Article 20 – paragraphe 3 – point b


Texte proposé par la Commission	Amendement
b) l’incident a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des pertes matérielles ou non matérielles considérables.	b) l’incident a affecté d’autres personnes physiques ou morales en causant des pertes matérielles ou non matérielles considérables.

Amendement 113

Proposition de directive

Article 20 – paragraphe 3 bis (nouveau)


Texte proposé par la Commission	Amendement
	3 bis. La Commission est habilitée à adopter des actes délégués, conformément à l’article 36, pour compléter la présenta directive en précisant le type d’informations soumises en vertu du paragraphe 1 du présent article et en précisant, en outre, les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3 du présent article.

Amendement 114

Proposition de directive

Article 20 – paragraphe 4 – point -a (nouveau)


Texte proposé par la Commission	Amendement
	-a) une alerte précoce dans les 24 heures après avoir eu connaissance d’un incident, sans obligation pour l’entité concernée de divulguer des informations supplémentaires concernant l’incident;

Amendement 115

Proposition de directive

Article 20 – paragraphe 4 – point a


Texte proposé par la Commission	Amendement
a) sans retard injustifié et en tout cas dans les 24 heures après avoir eu connaissance de l’incident, une première notification qui, le cas échéant, indique si l’incident est vraisemblablement causé par une action illicite ou malveillante;	a) sans retard injustifié et en tout cas dans les 72 heures après avoir eu connaissance de l’incident, une première notification qui, le cas échéant, indique si l’incident est vraisemblablement causé par une action illicite ou malveillante;

Amendement 116

Proposition de directive

Article 20 – paragraphe 4 – point c – partie introductive


Texte proposé par la Commission	Amendement
c) un rapport final au plus tard un mois après la présentation du rapport visé au point a), comprenant au moins les éléments suivants:	c) un rapport complet au plus tard trois mois après la présentation du rapport visé au point a), comprenant au moins les éléments suivants:

Amendement 117

Proposition de directive

Article 20 – paragraphe 4 – point c – sous-point i


Texte proposé par la Commission	Amendement
i) une description détaillée de l’incident, de sa gravité et de son incidence;	i) une description plus détaillée de l’incident, de sa gravité et de son incidence;

Amendement 118

Proposition de directive

Article 20 – paragraphe 4 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) en cas d’incident toujours en cours au moment de la présentation du rapport complet visé au point c), un rapport final est fourni un mois après que l’incident a été atténué;

Amendement 119

Proposition de directive

Article 20 – paragraphe 7


Texte proposé par la Commission	Amendement
7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou pour faire face à un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, l’autorité compétente ou le CSIRT et, le cas échéant, les autorités ou les CSIRT des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident ou exiger de l’entité qu’elle le fasse.	7. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou pour faire face à un incident en cours, ou lorsque la divulgation de l’incident est par ailleurs dans l’intérêt public, l’autorité compétente ou le CSIRT et, le cas échéant, les autorités ou les CSIRT des autres États membres concernés , après avoir consulté l’entité concernée, informent le public de l’incident ou exiger de l’entité qu’elle le fasse.

Amendement 120

Proposition de directive

Article 20 – paragraphe 8


Texte proposé par la Commission	Amendement
8. À la demande de l’autorité compétente ou du CSIRT, le point de contact unique transmet les notifications reçues en vertu des paragraphes 1 et 2 aux points de contact uniques des autres États membres touchés.	8. À la demande de l’autorité compétente ou du CSIRT, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1 aux points de contact uniques des autres États membres touchés.

Amendement 121

Proposition de directive

Article 20 – paragraphe 9


Texte proposé par la Commission	Amendement
9. Le point de contact unique soumet mensuellement à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents, les cybermenaces majeures et les quasi-accidents notifiés conformément aux paragraphes 1 et 2 et conformément à l’article 27. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut émettre des orientations techniques sur les paramètres des informations incluses dans le rapport de synthèse.	9. Le point de contact unique soumet mensuellement à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents, les cybermenaces majeures et les quasi-accidents notifiés conformément au paragraphe 1 et conformément à l’article 27. Afin de contribuer à la fourniture d’informations comparables, l’ENISA peut émettre des orientations techniques sur les paramètres des informations incluses dans le rapport de synthèse.

Amendement 122

Proposition de directive

Article 20 – paragraphe 10


Texte proposé par la Commission	Amendement
10. Les autorités compétentes fournissent aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] des informations sur les incidents et les cybermenaces notifiés conformément aux paragraphes 1 et 2 par les entités essentielles identifiées comme des entités critiques, ou comme des entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques].	10. Les autorités compétentes fournissent aux autorités compétentes désignées en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques] des informations sur les incidents et les cybermenaces notifiés conformément au paragraphe 1 par les entités essentielles identifiées comme des entités critiques, ou comme des entités équivalentes aux entités critiques, en vertu de la directive (UE) XXXX/XXXX [directive sur la résilience des entités critiques].

Amendement 123

Proposition de directive

Article 20 – paragraphe 11


Texte proposé par la Commission	Amendement
11. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure d’une notification présentée en vertu des paragraphes 1 et 2. La Commission peut également adopter des actes d’exécution pour préciser plus en détail les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.	11. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure d’une notification présentée en vertu du paragraphe 1. La Commission peut également adopter des actes d’exécution pour préciser plus en détail les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.

Amendement 124

Proposition de directive

Article 21 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de démontrer la conformité à certaines exigences visées à l’article 18, les États membres peuvent exiger que des entités essentielles et importantes certifient certains produits TIC, services TIC et processus TIC dans le cadre de schémas européens de certification en matière de cybersécurité spécifiques adoptés conformément à l’article 49 du règlement (UE) 2019/881. Les produits, services et processus soumis à la certification peuvent être développés par une entité essentielle ou importante ou achetés à des tiers.	1. Afin de démontrer la conformité à certaines exigences visées à l’article 18 et pour accroître le niveau de cybersécurité, les États membres, après consultation du groupe de coopération et de l’ENISA, encouragent les entités essentielles et importantes à certifier certains produits TIC, services TIC et processus TIC, soit mis au point par l’entité essentielle ou importante, soit acquis auprès de tiers, dans le cadre de schémas européens en matière de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 ou de schémas de certification similaires reconnus au niveau international. Dans la mesure du possible, les États membres encouragent l’utilisation de schémas de certification adoptés de façon harmonisée.

Amendement 125

Proposition de directive

Article 21 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La Commission est habilitée à adopter des actes délégués précisant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques en application du paragraphe 1. Les actes délégués sont adoptés conformément à l’article 36.	2. La Commission évalue régulièrement l’efficacité et l’utilisation des schémas européens de certification en matière de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 et détermine quelles catégories d’entités essentielles sont encouragées à obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques en application du paragraphe 1.

Amendement 126

Proposition de directive

Article 22 – paragraphe -1 (nouveau)


Texte proposé par la Commission	Amendement
	-1 bis. La Commission, en collaboration avec l’ENISA, soutient et promeut l’élaboration et la mise en œuvre de normes établies par les organismes de normalisation de l’Union et internationaux compétents aux fins de la mise en œuvre convergente de l’article 18, paragraphes 1 et 2. La Commission soutient la mise à jour des normes à la lumière de l’évolution technologique.

Amendement 127

Proposition de directive

Article 22 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de favoriser la convergence de la mise en œuvre de l’article 18, paragraphes 1 et 2, les États membres encouragent, sans imposer l’utilisation d’un type particulier de technologies ni créer de discrimination en faveur d’un tel type particulier de technologies, le recours à des normes et des spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d’information.	1. Afin de favoriser la convergence de la mise en œuvre de l’article 18, paragraphes 1 et 2, les États membres encouragent, sans imposer l’utilisation d’un type particulier de technologies ni créer de discrimination en faveur d’un tel type particulier de technologies, et selon les orientations de l’ENISA et du groupe de coopération, le recours à des normes et des spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d’information.

Amendement 128

Proposition de directive

Article 23 – titre


Texte proposé par la Commission	Amendement
Bases de données des noms de domaines et des données d’enregistrement	Infrastructure de bases de données des noms de domaines et des données d’enregistrement

Amendement 129

Proposition de directive

Article 23 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau collectent et maintiennent les données d’enregistrement de noms de domaines exactes et complètes au sein d’une base de données dédiée avec la diligence requise, sous réserve du droit de l’Union en matière de protection des données à caractère personnel.	1. Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau, collectent, vérifient et maintiennent les données d’enregistrement de noms de domaines exactes et complètes nécessaires à la fourniture de leurs services au sein d’une base de données dédiée avec la diligence requise, sous réserve du droit de l’Union en matière de protection des données à caractère personnel.

Amendement 130

Proposition de directive

Article 23 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Les États membres veillent à ce que les bases de données relatives à l’enregistrement des noms de domaines visées au paragraphe 1 contiennent des informations pertinentes pour identifier et contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau.	2. Les États membres veillent à ce que l’infrastructure de base de données relative à l’enregistrement des noms de domaines visée au paragraphe 1 contienne des informations pertinentes, qui comprennent au moins le nom des titulaires de noms de domaines, leur adresse physique et électronique, ainsi que leur numéro de téléphone, nécessaires pour identifier et contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau, notamment au moins le nom des titulaires de noms de domaines, leur adresse physique, leur adresse électronique, ainsi que leur numéro de téléphone.

Amendement 131

Proposition de directive

Article 23 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau aient mis en place des politiques et des procédures visant à garantir que les bases de données contiennent des informations exactes et complètes. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.	3. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau aient mis en place des politiques et des procédures visant à garantir que l’infrastructure de bases de données contienne des informations exactes, vérifiées et complètes, et que les données inexactes ou incomplètes soient corrigées ou supprimées par le titulaire du nom de domaine sans délai. Les États membres veillent à ce que ces politiques et procédures soient mises à la disposition du public.

Amendement 132

Proposition de directive

Article 23 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau publient, dans les meilleurs délais après l’enregistrement d’un nom de domaine, des données d’enregistrement de domaine qui ne sont pas des données personnelles.	4. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines mettent à la disposition du public, dans les meilleurs délais et en tout état de cause dans les 24 heures après l’enregistrement d’un nom de domaine, l’ensemble des données d’enregistrement de domaine de personnes morales titulaires de noms de domaines.

Amendement 133

Proposition de directive

Article 23 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau donnent accès aux données spécifiques d’enregistrement de noms de domaines sur demande légitime et dûment justifiée des demandeurs d’accès légitimes, dans le respect du droit de l’Union en matière de protection des données. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau répondent dans les meilleurs délais à toutes les demandes d’accès. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.	5. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines soient tenus de donner accès aux données spécifiques d’enregistrement de noms de domaines sur demande dûment justifiée des demandeurs d’accès légitimes, dans le respect du droit de l’Union en matière de protection des données. Les États membres veillent à ce que les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines répondent dans les meilleurs délais et dans tous les cas dans un délai de 72 heures à toutes les demandes d’accès légitimes et dûment justifiées. Les États membres veillent à ce que les politiques et procédures de divulgation de ces données soient rendues publiques.

Amendement 134

Proposition de directive

Article 24 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Aux fins de la présente directive, les entités visées au paragraphe 1 sont réputées avoir leur établissement principal dans l’Union dans l’État membre où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si ces décisions ne sont pas prises dans un quelconque établissement de l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où les entités possèdent un établissement comptant le plus grand nombre de salariés dans l’Union.	2. Aux fins de la présente directive, les entités visées au paragraphe 1 sont réputées avoir leur établissement principal dans l’Union dans l’État membre où sont prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si ces décisions ne sont pas prises dans un quelconque établissement de l’Union, l’établissement principal doit être considéré comme se trouvant dans les États membres où les entités possèdent un établissement comptant le plus grand nombre de salariés dans l’Union. Ceci est fait de manière à garantir qu’aucune charge disproportionnée ne pèse sur les autorités de régulation nationales.

Amendement 135

Proposition de directive

Article 25 – paragraphe 1 – partie introductive


Texte proposé par la Commission	Amendement
1. L’ENISA crée et tient un registre des entités essentielles et importantes visées à l’article 24, paragraphe 1. Les entités doivent soumettre les informations suivantes à l’ENISA au plus tard [12 mois après l’entrée en vigueur de la directive]:	1. L’ENISA crée et tient un registre des entités essentielles et importantes visées à l’article 24, paragraphe 1. À cette fin, les entités doivent soumettre les informations suivantes à l’ENISA au plus tard [12 mois après l’entrée en vigueur de la directive]:

Amendement 136

Proposition de directive

Article 26 – paragraphe 1 – point b


Texte proposé par la Commission	Amendement
b) renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur «capacité de se propager», en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement.	b) renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur «capacité de se propager», en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement.

Amendement 137

Proposition de directive

Article 26 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Les États membres établissent des règles précisant la procédure, les éléments opérationnels (y compris l’utilisation de plateformes TIC dédiées), le contenu et les conditions des accords de partage d’informations visés au paragraphe 2. Ces règles fixent également les détails de la participation des autorités publiques à ces accords, ainsi que les éléments opérationnels, y compris l’utilisation de plateformes informatiques dédiées. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 5, paragraphe 2, point g).	3. Les États membres établissent des lignes directrices précisant la procédure, les éléments opérationnels (y compris l’utilisation de plateformes TIC dédiées), le contenu et les conditions des accords de partage d’informations visés au paragraphe 2. Ces lignes directrices incluent également les détails de la participation, le cas échéant, des autorités publiques et des experts indépendants à ces accords, ainsi que les éléments opérationnels, y compris l’utilisation de plateformes informatiques dédiées. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 5, paragraphe 2, point g).

Amendement 138

Proposition de directive

Article 26 – paragraphe 5


Texte proposé par la Commission	Amendement
5. Conformément au droit de l’Union, l’ENISA soutient la mise en place des mécanismes de partage d’informations en matière de cybersécurité visés au paragraphe 2 par la fourniture de bonnes pratiques et d’orientations.	5. Conformément au droit de l’Union, l’ENISA soutient la mise en place des mécanismes de partage d’informations en matière de cybersécurité visés au paragraphe 2 par la fourniture de bonnes pratiques et d’orientations, ainsi qu’en facilitant le partage d’informations au niveau de l’Union, tout en sauvegardant les informations commerciales sensibles. À la demande des entités essentielles et importantes, le groupe de coopération est invité à fournir des bonnes pratiques et des orientations.

Amendement 139

Proposition de directive

Article 27 – alinéa -1 (nouveau)


Texte proposé par la Commission	Amendement
	-1 bis. Les États membres veillent à ce que les entités essentielles et importantes puissent notifier, sur une base volontaire, les cybermenaces que ces entités décèlent et qui aurait pu entraîner un incident significatif. Les États membres veillent à ce qu’aux fins de ces notifications, les entités agissent conformément à la procédure établie à l’article 20. Les signalements volontaires n’ont pas pour effet d’imposer à l’entité qui est à l’origine du signalement des obligations supplémentaires.

Amendement 140

Proposition de directive

Article 27 – alinéa 1


Texte proposé par la Commission	Amendement
Sans préjudice de l’article 3, les États membres veillent à ce que les entités qui ne relèvent pas du champ d’application de la présente directive puissent, à titre volontaire, transmettre des notifications relatives aux incidents importants, aux cybermenaces ou aux incidents évités. Lorsqu’ils traitent des notifications, les États membres agissent conformément à la procédure énoncée à l’article 20. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Un signalement volontaire n’a pas pour effet d’imposer à l’entité qui est à l’origine du signalement des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification.	1. Sans préjudice de l’article 3, les États membres veillent à ce que les entités qui ne relèvent pas du champ d’application de la présente directive puissent, à titre volontaire, transmettre des notifications relatives aux incidents importants, aux cybermenaces ou aux incidents évités. Lorsqu’ils traitent des notifications, les États membres agissent conformément à la procédure énoncée à l’article 20. Les États membres traitent les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Un signalement volontaire n’a pas pour effet d’imposer à l’entité qui est à l’origine du signalement des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis ladite notification, mais l’État membre peut lui faire bénéficier de l’assistance des CSIRT.

Amendement 141

Proposition de directive

Article 28 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Les États membres veillent à ce que les autorités compétentes procèdent à une surveillance efficace et prennent les mesures nécessaires pour assurer le respect de la présente directive, et notamment des obligations énoncées aux articles 18 et 20.	1. Les États membres veillent à ce que les autorités compétentes procèdent à une surveillance efficace et prennent les mesures nécessaires pour assurer le respect de la présente directive, et notamment des obligations énoncées aux articles 18 et 20, et bénéficient de moyens suffisants pour jouer leur rôle.

Amendement 142

Proposition de directive

Article 28 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données.	2. Pour traiter des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données, notamment avec celles d’autres États membres, le cas échéant.

Amendement 143

Proposition de directive

Article 29 – paragraphe 2 – point c


Texte proposé par la Commission	Amendement
c) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	c) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques, réalisés par un organisme indépendant qualifié ou une autorité compétente;

Amendement 144

Proposition de directive

Article 29 – paragraphe 2 – point f


Texte proposé par la Commission	Amendement
f) des demandes d’accès à des données, à des documents ou à toutes informations nécessaires à l’accomplissement de leurs missions de surveillance;	f) des demandes d’accès à des données, documents ou informations pertinents nécessaires à l’accomplissement de leurs missions de surveillance;

Amendement 145

Proposition de directive

Article 29 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, points e) à g), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.	3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, points e) à g), les autorités compétentes mentionnent la finalité de la demande, précisent quelles sont les informations exigées et limitent leurs demandes au périmètre de l’incident ou du sujet de préoccupation.

Amendement 146

Proposition de directive

Article 29 – paragraphe 5 – alinéa 1 – point a


Texte proposé par la Commission	Amendement
a) de suspendre ou de demander à un organisme de certification ou d’autorisation de suspendre une certification ou une autorisation concernant tout ou partie des services ou activités fournis par une entité essentielle;	a) de suspendre ou de demander à un organisme de certification ou d’autorisation de suspendre une certification ou une autorisation concernant des services ou activités concernés fournis par une entité essentielle;

Amendement 147

Proposition de directive

Article 29 – paragraphe 5 – alinéa 1 – point b


Texte proposé par la Commission	Amendement
b) d’imposer ou de demander aux juridictions ou organes compétents d'imposer, conformément à la législation nationale, une interdiction temporaire interdisant à toute personne exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans cette entité essentielle, ainsi qu’à toute autre personne physique tenue pour responsable de la violation, d’exercer des responsabilités dirigeantes dans cette entité.	supprimé

Amendement 148

Proposition de directive

Article 30, paragraphe 1


Texte proposé par la Commission	Amendement
1. Lorsque, selon les éléments de preuve ou les indications communiquées, une entité importante ne respecte pas les obligations énoncées dans la présente directive, et notamment aux articles 18 et 20, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant, dans le cadre de mesures de contrôle ex post.	1. Lorsque, selon les éléments de preuve ou les indications communiquées, une entité importante ne respecte pas les obligations énoncées dans la présente directive, et notamment aux articles 18 et 20, les États membres veillent à ce que les autorités compétentes prennent des mesures, le cas échéant et en compte tenu d’une approche fondée sur le risque, dans le cadre de mesures de contrôle ex post.

Amendement 149

Proposition de directive

Article 30 – paragraphe 2 – point b


Texte proposé par la Commission	Amendement
b) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques;	b) des audits de sécurité ciblés fondés sur des évaluations des risques ou sur des informations disponibles ayant trait aux risques, réalisés par un organisme indépendant qualifié ou une autorité compétente;

Amendement 150

Proposition de directive

Article 30 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, points d) ou e), les autorités compétentes mentionnent la finalité de la demande et précisent quelles sont les informations exigées.	3. Lorsqu’elles exercent leurs pouvoirs en vertu du paragraphe 2, points d) ou e), les autorités compétentes mentionnent la finalité de la demande, précisent quelles sont les informations exigées et limitent leurs demandes au périmètre de l’incident ou du sujet de préoccupation.

Amendement 151

Proposition de directive

Article 31 – paragraphe 4


Texte proposé par la Commission	Amendement
4. Les États membres veillent à ce que les violations des obligations énoncées à l’article 18 ou à l’article 20, conformément aux paragraphes 2 et 3 du présent article, soient soumises à des amendes administratives d’un montant maximum s’élevant à au moins 10 000 000 EUR ou à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle ou importante appartient, le montant le plus élevé étant retenu.	4. Les États membres veillent à ce que les violations des obligations énoncées à l’article 18 ou à l’article 20, conformément aux paragraphes 2 et 3 du présent article, soient soumises à des amendes administratives d’un montant maximum s’élevant à 10 000 000 EUR ou à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle ou importante appartient, le montant le plus élevé étant retenu.

Amendement 152

Proposition de directive

Article 32 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l’infraction commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement dans un délai raisonnable.	1. Lorsque les autorités compétentes disposent d’indications selon lesquelles l’infraction commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 18 et 20 donne lieu à une violation de données à caractère personnel au sens de l’article 4, paragraphe 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent les autorités de contrôle compétentes en vertu des articles 55 et 56 dudit règlement sans retard injustifié et, dans tous les cas, dans un délai de 72 heures.

Amendement 153

Proposition de directive

Article 32 – paragraphe 3


Texte proposé par la Commission	Amendement
3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans le même État membre.	3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe également l’autorité de contrôle établie dans le même État membre.

Amendement 154

Proposition de directive

Article 36 – paragraphe 2


Texte proposé par la Commission	Amendement
2. Le pouvoir d’adopter des actes délégués visé à l’article 18, paragraphe 6, et à l’article 21, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du […].	2. Le pouvoir d’adopter des actes délégués visé à l’article 18, paragraphe 5, et à l’article 20, paragraphe 3, est conféré à la Commission pour une période de cinq ans à compter du […].

Amendement 155

Proposition de directive

Article 36 – paragraphe 3


Texte proposé par la Commission	Amendement
3. La délégation de pouvoir visée à l’article 18, paragraphe 6, et à l’article 21, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.	3. Un acte délégué adopté en vertu de l’article 18, paragraphe 5, et de l’article 20, paragraphe 3, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.

Amendement 156

Proposition de directive

Article 36 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Un acte délégué adopté en vertu de l’article 18, paragraphe 6, et de l’article 21, paragraphe 2, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.	6. Un acte délégué adopté en vertu de l’article 18, paragraphe 5, et de l’article 20, paragraphe 3, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

ANNEXE: LISTE DES ENTITÉS OU PERSONNES
AYANT APPORTÉ LEUR CONTRIBUTION À LA RAPPORTEURE

La liste suivante est établie sur une base purement volontaire, sous la responsabilité exclusive de la rapporteure. La rapporteure a reçu des contributions des entités ou personnes suivantes pour l’élaboration du projet d’avis, jusqu’à son adoption en commission.

Person	Entity
	BSA (The Software Alliance)
	BusinessEurope
	Confederation of Danish Industries
	Danish Permanent Representation
	Deutsche Telekom
	Digital Europe
	DOT Europe
	ETNO (European Telecommunications Network Operators)
	French Permanent Representation
	German Permanent Representation
	HUAWEI
	IFPI
	INTEL
	ITI (The Information Technology Industry Council)
	Kaspersky
	MÆRSK
	Microsoft
	ICANN
	MOTION PICTURE ASSOCIATION
	Orgalim
	Palo Alto Networks
	Rettighedsalliancen

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre	Mesures en vue d’un niveau commun élevé de cybersécurité à travers l’Union, abrogation de la directive (UE) 2016/1148
Références	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Commission compétente au fond Date de l’annonce en séance	ITRE 21.1.2021
Avis émis par Date de l’annonce en séance	IMCO 21.1.2021
Rapporteur(e) pour avis Date de la nomination	Morten Løkkegaard 9.2.2021
Examen en commission	26.5.2021	21.6.2021
Date de l’adoption	12.7.2021
Résultat du vote final	+: –: 0:	42 1 2
Membres présents au moment du vote final	Alex Agius Saliba, Andrus Ansip, Pablo Arias Echeverría, Alessandra Basso, Brando Benifei, Adam Bielan, Hynek Blaško, Biljana Borzan, Vlad-Marius Botoş, Markus Buchheit, Andrea Caroppo, Anna Cavazzini, Dita Charanzová, Deirdre Clune, David Cormand, Carlo Fidanza, Evelyne Gebhardt, Alexandra Geese, Sandro Gozi, Maria Grapini, Svenja Hahn, Virginie Joron, Eugen Jurzyca, Marcel Kolaja, Kateřina Konečná, Andrey Kovatchev, Jean-Lin Lacapelle, Maria-Manuel Leitão-Marques, Morten Løkkegaard, Antonius Manders, Leszek Miller, Anne-Sophie Pelletier, Miroslav Radačovský, Christel Schaldemose, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein, Marco Zullo
Suppléants présents au moment du vote final	Clara Aguilera, Maria da Graça Carvalho, Christian Doleschal, Claude Gruffat, Jiří Pospíšil, Kosma Złotowski

VOTE FINAL PAR APPEL NOMINAL
EN COMMISSION SAISIE POUR AVIS

42	+
ECR	Adam Bielan, Carlo Fidanza, Kosma Złotowski
ID	Alessandra Basso, Hynek Blaško, Markus Buchheit, Virginie Joron, Jean-Lin Lacapelle
PPE	Pablo Arias Echeverría, Andrea Caroppo, Maria da Graça Carvalho, Deirdre Clune, Christian Doleschal, Andrey Kovatchev, Antonius Manders, Jiří Pospíšil, Andreas Schwab, Tomislav Sokol, Ivan Štefanec, Róża Thun und Hohenstein
Renew	Andrus Ansip, Vlad-Marius Botoş, Dita Charanzová, Sandro Gozi, Morten Løkkegaard, Marco Zullo
S&D	Alex Agius Saliba, Clara Aguilera, Brando Benifei, Biljana Borzan, Evelyne Gebhardt, Maria Grapini, Maria-Manuel Leitão-Marques, Leszek Miller, Christel Schaldemose
The Left	Kateřina Konečná, Anne-Sophie Pelletier
Verts/ALE	Anna Cavazzini, David Cormand, Alexandra Geese, Claude Gruffat, Marcel Kolaja

1	-
NI	Miroslav Radačovský

2	0
ECR	Eugen Jurzyca
Renew	Svenja Hahn

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

AVIS DE LA COMMISSION DES TRANSPORTS ET DU TOURISME (14.7.2021)

à l’intention de la commission de l’industrie, de la recherche et de l’énergie

(COM(2020)0823 – C9-0422/2020 – 2020/0359(COD))

Rapporteur pour avis: Jakop G. Dalunde

JUSTIFICATION SUCCINCTE

Le secteur des transports apparaît de plus en plus vulnérable et exposé aux cybermenaces. En raison de ses spécificités, le secteur présente également un certain nombre de vulnérabilités différentes. Les amendements de ce projet d’avis, bien qu’ils aient un caractère général, sont donc proposés en tenant compte de ces particularités. Mes propositions concernent le secteur des transports pour les raisons suivantes:

 il s’agit souvent d’une activité internationale dans laquelle de nombreuses entités relèvent de la juridiction de plusieurs États membres. Le secteur affiche dès lors d’importantes disparités concernant les obligations en matière de gestion et de signalement des risques de cybersécurité entre les États membres;

 le secteur des transports repose sur l’échange sécurisé de données entre les différents acteurs. Compte tenu de la nature interconnectée des activités logistiques, une cybersécurité insuffisante au sein d’une entité peut compromettre l’ensemble du système et entraîner de graves conséquences pour les opérations des autres entités;

 le transport est un secteur à forte intensité de main-d’œuvre et donc particulièrement sensible aux menaces de cybersécurité visant les employés.

Pour ces raisons, les amendements visent essentiellement à évaluer le degré de disparité entre les États membres concernant les obligations en matière de cybersécurité, à favoriser l’harmonisation de ces obligations par des moyens non législatifs et à promouvoir la formation du personnel et la connaissance des risques de cybersécurité.

Outre ces points généraux, il convient de noter que le secteur des transports utilise de plus en plus de capteurs à distance capables de se connecter à l’internet pour offrir des services et que les véhicules contiennent de plus en plus de dispositifs numériques. Bien qu’ils ne fassent pas nécessairement partie de systèmes d’information plus vastes, ces dispositifs peuvent nécessiter des évaluations spécifiques de la sécurité.

La commission des transports et du tourisme invite la commission de l’industrie, de la recherche et de l’énergie, compétente au fond, à prendre en considération les amendements suivants:

Amendement 1

Proposition de directive

Considérant 3


Texte proposé par la Commission	Amendement
(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, notamment dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour le bon fonctionnement du marché intérieur.	(3) Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, contribuant à la croissance de nouveaux modèles d’entreprise et de nouveaux services, tels que ceux liés à l’économie des petits boulots, à la demande et des plateformes, notamment dans le cadre des échanges transfrontières et de l’approche de la mobilité à la demande (Mobility as-a-Service approach ou MaaS). Cette évolution a conduit à une expansion du paysage des menaces qui pèsent sur la cybersécurité et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et les effets des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents de cybersécurité peuvent nuire au bien-être de la société, à la poursuite des activités économiques sur le marché intérieur ainsi qu’aux activités sociales, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et des travailleurs, causant un préjudice majeur à l’économie et la société de l’Union, voire constituer une menace terroriste.. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus importantes que jamais pour préserver les libertés et droits fondamentaux de l’Union et le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques, tels que les transports, d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

Amendement 2

Proposition de directive

Considérant 9


Texte proposé par la Commission	Amendement
(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission.	(9) Toutefois, les microentités ou les entités de petite taille qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour les économies ou les sociétés des États membres ou pour des secteurs ou des types de services particuliers devraient également être couvertes par la présente directive, et les États membres devraient être chargés d’établir une liste de ces entités, et de la transmettre à la Commission. Cet exercice devrait être réalisé en parfaite connaissance de la spécificité des petites et moyennes entreprises (PME) et ne devrait pas constituer une charge administrative excessive pour les PME.

Amendement 3

Proposition de directive

Considérant 10


Texte proposé par la Commission	Amendement
(10) La Commission, en coopération avec le groupe de coopération, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille.	(10) La Commission, en coopération avec le groupe de coopération et les parties prenantes concernées, peut publier des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux entreprises de petite taille. La Commission devrait également veiller à ce que des orientations appropriées soient données à toutes les micro et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec le soutien des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard. .

Amendement 4

Proposition de directive

Considérant 12


Texte proposé par la Commission	Amendement
(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. La Commission peut publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.	(12) La législation et les instruments sectoriels peuvent contribuer à garantir des niveaux élevés de cybersécurité tout en tenant pleinement compte du caractère spécifique et complexe de ces secteurs. Lorsqu’un acte juridique sectoriel de l’Union impose aux entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents ou des cybermenaces importantes et que cette obligation produit un effet au moins équivalent à celui des obligations prévues par la présente directive, il convient d’appliquer ces dispositions sectorielles, y compris en matière de surveillance et d’application. Afin d’éviter toute insécurité juridique dans l’interprétation et l’application de la présente directive, la Commission devrait veiller à la cohérence entre la présente directive et la législation sectorielle applicable. À cette fin, la Commission devrait recenser les doubles emplois et les redondances dans la législation, les exigences réglementaires ou les procédures applicables, en vue de les supprimer. La Commission peut publier des lignes directrices relatives à la mise en œuvre de la lex specialis. La présente directive n’empêche pas l’adoption d’actes sectoriels de l’Union supplémentaires prévoyant des mesures de gestion des risques en matière de cybersécurité et la notification des incidents. La présente directive est sans préjudice des compétences de mise en œuvre existantes qui ont été conférées à la Commission dans un certain nombre de secteurs, notamment les transports et l’énergie.

Amendement 5

Proposition de directive

Considérant 15 bis (nouveau)


Texte proposé par la Commission	Amendement
	(15 bis) La numérisation accrue de secteurs économiques clés, tels que les transports, devrait s’effectuer de manière sécurisée, avec une résilience intégrée pour garantir que l’ensemble de la chaîne d’approvisionnement réagisse de manière adéquate aux risques et aux menaces. Il est donc nécessaire d’adopter une approche coordonnée pour garantir un niveau minimal de sécurité pour les appareils connectés, en particulier dans des secteurs tels que les transports et dans lesquels ils sont installés dans les véhicules et déploient systématiquement le chiffrement de bout en bout.

Amendement 6

Proposition de directive

Considérant 17


Texte proposé par la Commission	Amendement
(17) Vu l’émergence de technologies innovantes et de nouveaux modèles commerciaux, de nouveaux modèles de déploiement et de service d’informatique en nuage devraient apparaître sur le marché en cause en réaction aux besoins changeants des clients. Dans un tel contexte, les services d’informatique en nuage peuvent être fournis sous une forme extrêmement distribuée, toujours plus près de l’endroit où les données sont générées ou collectées, entraînant ainsi une transition du modèle traditionnel vers un modèle très distribué (le traitement des données à la périphérie, ou «edge computing»).	(17) Vu l’émergence de technologies innovantes, telles que l’intelligence artificielle, de nouveaux modèles commerciaux et de nouveaux modèles de travail flexible et à distance, de nouveaux modèles de déploiement et de service d’informatique en nuage devraient apparaître sur le marché en cause en réaction aux besoins changeants des clients et des entreprises . Dans un tel contexte, les services d’informatique en nuage peuvent être fournis sous une forme extrêmement distribuée, toujours plus près de l’endroit où les données sont générées ou collectées, entraînant ainsi une transition du modèle traditionnel vers un modèle très distribué (le traitement des données à la périphérie, ou «edge computing»).

Amendement 7

Proposition de directive

Considérant 18 bis (nouveau)


Texte proposé par la Commission	Amendement
	(18 bis) Étant donné que le déploiement de la mobilité autonome apportera des avantages considérables, mais qu’elle entraînera également une série de nouveaux risques, notamment en ce qui concerne la sécurité du trafic routier, la cybersécurité, les droits de propriété intellectuelle, les questions relatives à la protection des données et à l’accès aux données, les infrastructures techniques, la normalisation et l’emploi, il est essentiel de veiller à ce que le cadre juridique de l’Union réponde de manière adéquate à ces enjeux et gère efficacement tous les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information.

Amendement 8

Proposition de directive

Considérant 18 ter (nouveau)


Texte proposé par la Commission	Amendement
	(18 ter) La pandémie de COVID-19 a démontré l’importance de préparer l’Union à la décennie numérique ainsi que la nécessité d’améliorer en permanence la cyber-résilience. La présente directive vise par conséquent à établir des règles minimales concernant le fonctionnement du cadre réglementaire coordonné afin de permettre la transformation numérique, l’innovation dans les transports autonomes, la logistique et la gestion du trafic dans tous les modes de transport, et d’améliorer auprès des utilisateurs, en particulier dans les microentreprises, les PME et les jeunes entreprises, la résilience face aux cyberattaques et la capacité à remédier aux vulnérabilités.

Amendement 9

Proposition de directive

Considérant 19


Texte proposé par la Commission	Amendement
(19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.	(19) Les fournisseurs de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil18, ainsi que les fournisseurs de services de livraison express ou de messagerie, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri ou la distribution, y compris les services d’enlèvement. Les services de transport et de livraison qui ne sont pas réalisés en lien avec l’une de ces étapes devraient sortir de la portée des services postaux.
__________________	__________________
18 Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).	18 Directive 97/67/CE du Parlement européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service (JO L 15 du 21.1.1998, p. 14).

Amendement 10

Proposition de directive

Considérant 27 bis (nouveau)


Texte proposé par la Commission	Amendement
	(27 bis) Les États membres devraient, dans leurs stratégies nationales en matière de cybersécurité, répondre aux besoins spécifiques des PME en matière de cybersécurité, à savoir une faible sensibilisation à la cybersécurité, un manque de sécurité informatique à distance, un coût élevé des solutions de cybersécurité et un niveau accru de menace. Les États membres devraient disposer d’un point de contact en matière de cybersécurité afin de permettre aux PME d’accéder aux informations, services et orientations utiles.

Amendement 11

Proposition de directive

Considérant 33


Texte proposé par la Commission	Amendement
(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques auxquelles il convient de répondre par une meilleure application des règles existantes.	(33) Lorsqu’il met au point les documents d’orientation, le groupe de coopération devrait toujours: dresser l’état des lieux des solutions et des expériences nationales, évaluer les effets produits par les éléments livrables du groupe de coopération sur les approches nationales, discuter des défis en matière de mise en œuvre et formuler des recommandations spécifiques, notamment en vue de faciliter l’harmonisation de la transposition de la présente directive entre les États membres, auxquelles il convient de répondre par une meilleure application des règles existantes. Le groupe de coopération devrait également recenser les solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique en Europe. Cela vaut tout particulièrement pour les secteurs qui ont un caractère international et transfrontière, tels que les transports.

Amendement 12

Proposition de directive

Considérant 34


Texte proposé par la Commission	Amendement
(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), l’Agence de l’Union européenne pour la sécurité aérienne (AESA) et l’Agence de l’Union européenne pour le programme spatial (EUSPA), à participer à ses travaux.	(34) Le groupe de coopération devrait conserver sa forme de forum flexible et continuer d’être en mesure de réagir aux priorités politiques et aux difficultés nouvelles et en évolution, tout en tenant compte de la disponibilité des ressources. Il devrait régulièrement organiser des réunions conjointes avec les parties intéressées privées de toute l’Union en vue de discuter des activités menées par le groupe et de recueillir des informations sur les nouveaux défis politiques. Afin d’améliorer la coopération au niveau de l’Union, le groupe devrait envisager d’inviter, le cas échéant, les organes et agences de l’Union participant à la politique de cybersécurité, comme le Centre européen de lutte contre la cybercriminalité (EC3), le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, les agences de l’Union européenne chargées de la sécurité des transports, – l’Agence de l’Union européenne pour la sécurité aérienne (AESA), l’Agence européenne pour la sécurité maritime (AESM), l’Agence de l’Union européenne pour les chemins de fer (ERA) – l’Agence de l’Union européenne pour le programme spatial (EUSPA) et tout autre organe et agence dont les travaux sont pertinents, à participer à ses travaux.

Amendement 13

Proposition de directive

Considérant 37 bis (nouveau)


Texte proposé par la Commission	Amendement
	(37 bis) Une trop grande disparité des obligations en matière de gestion et de signalement des risques de cybersécurité dans la transposition de la présente directive par les États membres pourrait mettre en danger le niveau commun de cybersécurité au sein de l’Union. L’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) devrait donc, en coopération avec la Commission, évaluer le degré de divergence concernant les obligations en matière de gestion et de signalement des risques de cybersécurité entre les États membres dans son rapport bisannuel sur l’état de la cybersécurité au sein de l’Union.

Amendement 14

Proposition de directive

Considérant 46 bis (nouveau)


Texte proposé par la Commission	Amendement
	(46 bis) Afin de préserver et de protéger les chaînes d’approvisionnement critiques, l’accent devrait également être mis sur la protection de l’ensemble de la chaîne de transport et de logistique. La chaîne de transport et de logistique est composée d’un grand nombre d’acteurs et de systèmes interconnectés: les marchandises sont transportées de manière intermodale par air, route, rail, voies navigables intérieures et transport maritime. Ce processus nécessite un échange rapide et fiable de données entre les différents maillons de la chaîne de transport et de logistique au moyen de différentes interfaces. En raison de la nature interconnectée des différents maillons de la chaîne, une cybersécurité insuffisante risque de compromettre le fonctionnement de l’ensemble de la chaîne par les effets domino créés par un cyberincident dans une ou plusieurs parties de la chaîne de transport et de logistique.

Amendement 15

Proposition de directive

Considérant 47


Texte proposé par la Commission	Amendement
(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.	(47) Les évaluations des risques liés aux chaînes d’approvisionnement, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée à l’échelle de l’Union des risques concernant la sécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services, systèmes ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services, systèmes ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, notamment le traitement de données à caractère personnel; iii) la disponibilité d’autres services, systèmes ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services, systèmes ou produits TIC face aux événements perturbateurs; iv bis) la mesure dans laquelle les services, systèmes ou produits TIC critiques spécifiques utilisés directement par les consommateurs sont résilients et conformes à une approche conviviale;et v) concernant les services, systèmes ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités.

Amendement 16

Proposition de directive

Considérant 55


Texte proposé par la Commission	Amendement
(55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale dans les 24 heures, suivie d’un rapport final un mois après au plus tard. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’évider que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais de 24 heures pour la notification initiale et de un mois pour le rapport final.	(55) La présente directive établit une approche en deux étapes du signalement des incidents afin de trouver le juste équilibre entre, d’une part, le signalement rapide qui aide à atténuer la propagation potentielle des incidents et permet aux entités de chercher de l’aide et, d’autre part, le signalement approfondi qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la résilience des entreprises individuelles et de secteurs tout entiers face aux cybermenaces. Lorsque les entités prennent connaissance d’un incident, elles devraient être tenues de présenter une notification initiale dans les 36 heures, suivie d’un rapport final un mois après au plus tard. La notification initiale ne devrait inclure que les informations strictement nécessaires pour porter l’incident à la connaissance des autorités compétentes et permettre à l’entité de demander une assistance, le cas échéant. Cette notification, le cas échéant, devrait indiquer si l’incident semble être causé par des actions illégales ou malveillantes. Les États membres devraient veiller à ce que l’obligation de présenter cette notification initiale ne détourne pas les ressources de l’entité effectuant le signalement des activités liées à la gestion de l’incident, qui doivent être prioritaires. Afin d’évider que les obligations de signalement des incidents détournent les ressources des activités de gestion des incidents ou compromettent de quelque manière que ce soit les efforts déployés par les entités à cet égard, les États membres devraient également prévoir que, dans des cas dûment justifiés et en accord avec les autorités compétentes ou avec le CSIRT, l’entité concernée peut ne pas respecter les délais de 36 heures pour la notification initiale et de un mois pour le rapport final.

Amendement 17

Proposition de directive

Article 2 – paragraphe 2 – alinéa 2


Texte proposé par la Commission	Amendement
Les États membres établissent une liste des entités identifiées conformément aux points b) à f) et la soumettent à la Commission au plus tard [6 mois après la date limite de transposition]. Les États membres réexaminent la liste régulièrement, puis au moins tous les deux ans, et, le cas échéant, la mettent à jour.	Les États membres, en étroite coopération avec les parties prenantes du secteur concerné, établissent une liste des entités identifiées conformément aux points b) à f) et la soumettent à la Commission au plus tard [6 mois après la date limite de transposition]. Les États membres réexaminent la liste régulièrement, puis au moins tous les deux ans, et, le cas échéant, la mettent à jour.

Amendement 18

Proposition de directive

Article 2 – paragraphe 6


Texte proposé par la Commission	Amendement
6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes soit d’adopter des mesures de gestion des risques en matière de cybersécurité, soit de notifier des incidents ou des cybermenaces importantes, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables.	6. Lorsque des dispositions de réglementations sectorielles du droit de l’Union imposent à des entités essentielles ou importantes soit d’adopter des mesures de gestion des risques en matière de cybersécurité, soit de notifier des incidents ou des cybermenaces importantes, et lorsque ces exigences sont au moins équivalentes dans leurs effets aux obligations prévues par la présente directive, y compris en ce qui concerne les prérogatives, le mandat et les fonctions des autorités de surveillance respectives, les dispositions pertinentes de la présente directive, y compris la disposition relative à la surveillance et à l’exécution prévue au chapitre VI, ne sont pas applicables.

Amendement 19

Proposition de directive

Article 5 – paragraphe 2 – point h


Texte proposé par la Commission	Amendement
h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation et de soutien visant à améliorer leur résilience aux menaces de cybersécurité.	h) une politique répondant aux besoins spécifiques des PME, en particulier de celles qui sont exclues du champ d’application de la présente directive, en matière d’orientation, fournissant les informations et le soutien nécessaires et complets pour améliorer leur résilience aux menaces de cybersécurité.

Amendement 20

Proposition de directive

Article 12 – paragraphe 4 – point a


Texte proposé par la Commission	Amendement
a) la fourniture d’orientations aux autorités compétentes en rapport avec la transposition et la mise en œuvre de la présente directive;	a) la fourniture d’orientations aux autorités compétentes en rapport avec la transposition et la mise en œuvre de la présente directive, afin de manière à réduire au minimum les disparités entre les normes en matière de gestion des risques de cybersécurité et d’obligation de signalement entre les États membres;

Amendement 21

Proposition de directive

Article 12 – paragraphe 4 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) le recensement des solutions nationales afin de promouvoir la compatibilité des solutions de cybersécurité appliquées à chaque secteur spécifique dans l’ensemble de l’Union;

Amendement 22

Proposition de directive

Article 15 – paragraphe 1 – point c bis (nouveau)


Texte proposé par la Commission	Amendement
	c bis) le degré de disparité entre les États membres concernant les obligations en matière de gestion et de signalement des risques de cybersécurité et la mesure dans laquelle cette disparité affecte le niveau commun de cybersécurité dans l’Union.

Amendement 23

Proposition de directive

Article 16 – paragraphe 1 – point iii bis (nouveau)


Texte proposé par la Commission	Amendement
	III bis) des recommandations sur la manière d’améliorer la cohérence et la sécurité juridique dans l’interprétation et l’application de la présente directive et de la législation sectorielle applicable, en mettant l’accent sur le recensement et la suppression des doubles emplois et des redondances dans la législation, les exigences réglementaires ou les procédures applicables;

Amendement 24

Proposition de directive

Article 18 – paragraphe 2 – point b bis (nouveau)


Texte proposé par la Commission	Amendement
	b bis) des politiques, des programmes et des procédures pour garantir que les employés disposent de connaissances suffisantes pour appréhender les risques en matière de cybersécurité ainsi que d’une expérience pratique répondant à des normes élevées en matière de cybersécurité.

Amendement 25

Proposition de directive

Article 18 – paragraphe 2 – point e


Texte proposé par la Commission	Amendement
(e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;	e) la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris les éléments mobiles tels que les véhicules et les capteurs à distance, ainsi que le traitement et la divulgation des vulnérabilités;

Amendement 26

Proposition de directive

Article 18 – paragraphe 5


Texte proposé par la Commission	Amendement
5. La Commission peut adopter des actes d’exécution afin d’établir les spécifications techniques et méthodologiques des éléments visés au paragraphe 2. Lorsqu’elle prépare ces actes, la Commission procède conformément à la procédure d’examen visée à l’article 37, paragraphe 2, et suit, dans toute la mesure du possible, les normes internationales et européennes, ainsi que les spécifications techniques pertinentes.	5. La Commission peut adopter des actes délégués afin d’établir les spécifications techniques et méthodologiques des éléments visés au paragraphe 2. Les actes délégués sont adoptés conformément à l’article 36 et suivent, dans toute la mesure du possible, les normes internationales et européennes, ainsi que les spécifications techniques pertinentes.

Amendement 27

Proposition de directive

Article 18 – paragraphe 6 bis (nouveau)


Texte proposé par la Commission	Amendement
	6 bis. Afin de garantir une politique efficace et de faciliter sa mise en œuvre, la Commission consulte les entités essentielles et importantes, en particulier avant l’adoption des actes délégués visés aux paragraphes 5 et 6.

Amendement 28

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point a


Texte proposé par la Commission	Amendement
(a) sans retard injustifié et en tout cas dans les 24 heures après avoir eu connaissance de l’incident, une première notification qui, le cas échéant, indique si l’incident est vraisemblablement causé par une action illicite ou malveillante;	a) sans retard injustifié et en tout cas dans les 36 heures après avoir eu connaissance de l’incident, une première notification qui, le cas échéant, indique si l’incident est vraisemblablement causé par une action illicite ou malveillante;

Amendement 29

Proposition de directive

Article 20 – paragraphe 4 – alinéa 1 – point b – sous-point iii


Texte proposé par la Commission	Amendement
iii) les mesures d’atténuation appliquées et en cours.	iii) les mesures d’atténuation appliquées et en cours, ainsi que leurs résultats.

Amendement 30

Proposition de directive

Article 20 – paragraphe 11


Texte proposé par la Commission	Amendement
11. La Commission peut adopter des actes d’exécution précisant plus en détail le type d’informations, le format et la procédure d’une notification présentée en vertu des paragraphes 1 et 2. La Commission peut également adopter des actes d’exécution pour préciser plus en détail les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.	11. La Commission peut adopter des actes délégués conformément à l’article 36 précisant plus en détail le type d’informations, le format et la procédure d’une notification présentée en vertu des paragraphes 1 et 2 du présent article. La Commission peut également adopter des actes d’exécution pour préciser plus en détail les cas dans lesquels un incident est considéré comme significatif au sens du paragraphe 3. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 37, paragraphe 2.

Amendement 31

Proposition de directive

Article 21 – paragraphe 1


Texte proposé par la Commission	Amendement
1. Afin de démontrer la conformité à certaines exigences visées à l’article 18, les États membres peuvent exiger que des entités essentielles et importantes certifient certains produits TIC, services TIC et processus TIC dans le cadre de schémas européens de certification en matière de cybersécurité spécifiques adoptés conformément à l’article 49 du règlement (UE) 2019/881. Les produits, services et processus soumis à la certification peuvent être développés par une entité essentielle ou importante ou achetés à des tiers.	1. Afin de démontrer la conformité à certaines exigences visées à l’article 18, les États membres encouragent les entités essentielles et importantes à certifier certains produits TIC, services TIC et processus TIC, soit mis au point par l’entité essentielle ou importante, soit acquis auprès de tiers, dans le cadre de schémas européens de certification en matière de cybersécurité spécifiques adoptés conformément à l’article 49 du règlement (UE) 2019/881 ou de schémas de certification similaires reconnus au niveau international.

Amendement 32

Proposition de directive

Article 21 – paragraphe 1 bis (nouveau)


Texte proposé par la Commission	Amendement
	1 bis. Les exigences de la présente directive en matière de certification de cybersécurité sont sans préjudice de l’article 56, paragraphes 2 et 3, du règlement (UE) 2019/881.

Amendement 33

Proposition de directive

Article 21 – paragraphe 2


Texte proposé par la Commission	Amendement
2. La Commission est habilitée à adopter des actes délégués précisant quelles catégories d’entités essentielles sont tenues d’obtenir un certificat et dans le cadre de quels régimes européens de certification de cybersécurité spécifiques en application du paragraphe 1. Les actes délégués sont adoptés conformément à l’article 36.	supprimé

Amendement 34

Proposition de directive

Article 21 – paragraphe 3


Texte proposé par la Commission	Amendement
3. La Commission peut demander à l’ENISA de préparer un schéma candidat conformément à l’article 48, paragraphe 2, du règlement (UE) 2019/881 dans les cas où il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2.	3. Afin d’élever le niveau global de résilience en matière de cybersécurité, la Commission peut demander à l’ENISA de préparer un schéma candidat conformément aux articles 47 et 48 du règlement (UE) 2019/881 dans les cas où il n’existe pas de schéma européen de certification de cybersécurité approprié aux fins du paragraphe 2. Ces schémas candidats satisfont aux exigences énoncées à l’article 56, paragraphes 2 et 3, du règlement (UE) 2019/881.

PROCÉDURE DE LA COMMISSION SAISIE POUR AVIS

Titre	Mesures en vue d’un niveau commun élevé de cybersécurité à travers l’Union, abrogation de la directive (UE) 2016/1148
Références	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Commission compétente au fond Date de l’annonce en séance	ITRE 21.1.2021
Avis émis par Date de l’annonce en séance	TRAN 21.1.2021
Rapporteur(e) pour avis Date de la nomination	Jakop G. Dalunde 3.2.2021
Date de l’adoption	12.7.2021
Résultat du vote final	+: –: 0:	48 0 1
Membres présents au moment du vote final	Magdalena Adamowicz, Andris Ameriks, Izaskun Bilbao Barandica, Paolo Borchia, Marco Campomenosi, Massimo Casanova, Ciarán Cuffe, Jakop G. Dalunde, Johan Danielsson, Karima Delli, Anna Deparnay-Grunenberg, Gheorghe Falcă, Giuseppe Ferrandino, Mario Furore, Søren Gade, Isabel García Muñoz, Elsi Katainen, Kateřina Konečná, Julie Lechanteux, Peter Lundgren, Benoît Lutgen, Elżbieta Katarzyna Łukacijewska, Marian-Jean Marinescu, Tilly Metz, Cláudia Monteiro de Aguiar, Caroline Nagtegaal, Jan-Christoph Oetjen, Philippe Olivier, João Pimenta Lopes, Rovana Plumb, Dominique Riquet, Dorien Rookmaker, Massimiliano Salini, Sven Schulze, Vera Tax, Barbara Thaler, Henna Virkkunen, Petar Vitanov, Elissavet Vozemberg-Vrionidi, Roberts Zīle, Kosma Złotowski
Suppléants présents au moment du vote final	Clare Daly, Nicola Danti, Angel Dzhambazki, Tomasz Frankowski, Michael Gahler, Maria Grapini, Alessandra Moretti, Marianne Vind

VOTE FINAL PAR APPEL NOMINAL
EN COMMISSION SAISIE POUR AVIS

48	+
ECR	Angel Dzhambazki, Peter Lundgren, Roberts Zīle, Kosma Złotowski
ID	Paolo Borchia, Marco Campomenosi, Massimo Casanova, Julie Lechanteux, Philippe Olivier
NI	Mario Furore, Dorien Rookmaker
PPE	Magdalena Adamowicz, Gheorghe Falcă, Tomasz Frankowski, Michael Gahler, Elżbieta Katarzyna Łukacijewska, Benoît Lutgen, Marian-Jean Marinescu, Cláudia Monteiro de Aguiar, Massimiliano Salini, Sven Schulze, Barbara Thaler, Henna Virkkunen, Elissavet Vozemberg-Vrionidi
Renew	Izaskun Bilbao Barandica, Nicola Danti, Søren Gade, Elsi Katainen, Caroline Nagtegaal, Jan-Christoph Oetjen, Dominique Riquet
S&D	Andris Ameriks, Johan Danielsson, Giuseppe Ferrandino, Isabel García Muñoz, Maria Grapini, Alessandra Moretti, Rovana Plumb, Vera Tax, Marianne Vind, Petar Vitanov
The Left	Clare Daly, Kateřina Konečná
Verts/ALE	Ciarán Cuffe, Jakop G. Dalunde, Karima Delli, Anna Deparnay-Grunenberg, Tilly Metz

0	-

1	0
The Left	João Pimenta Lopes

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND

Titre	Mesures en vue d’un niveau commun élevé de cybersécurité à travers l’Union, abrogation de la directive (UE) 2016/1148
Références	COM(2020)0823 – C9-0422/2020 – 2020/0359(COD)
Date de la présentation au PE	16.12.2020
Commission compétente au fond Date de l’annonce en séance	ITRE 21.1.2021
Commissions saisies pour avis Date de l’annonce en séance	AFET 21.1.2021	ECON 21.1.2021	IMCO 21.1.2021	TRAN 21.1.2021
	CULT 21.1.2021	LIBE 21.1.2021
Avis non émis Date de la décision	ECON 26.1.2021	CULT 11.1.2021
Commissions associées Date de l’annonce en séance	LIBE 20.5.2021
Rapporteurs Date de la nomination	Bart Groothuis 14.1.2021
Examen en commission	13.4.2021	26.5.2021
Date de l’adoption	28.10.2021
Résultat du vote final	+: –: 0:	70 3 1
Membres présents au moment du vote final	Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Manuel Bompard, Paolo Borchia, Marc Botenga, Markus Buchheit, Cristian-Silviu Buşoi, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Claudia Gamon, Bart Groothuis, Christophe Grudler, András Gyürk, Henrike Hahn, Robert Hajšel, Ivo Hristov, Ivars Ijabs, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Zdzisław Krasnodębski, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Georg Mayer, Joëlle Mélin, Dan Nica, Angelika Niebler, Ville Niinistö, Aldo Patriciello, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Robert Roos, Sara Skyttedal, Maria Spyraki, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho
Suppléants présents au moment du vote final	Rasmus Andresen, Marek Paweł Balt, Klemen Grošelj, Adam Jarubas, Elena Lizzi, Adriana Maldonado López, Bronis Ropė, Jordi Solé, Nils Torvalds
Date du dépôt	4.11.2021

VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND

70	+
ECR	Izabela-Helena Kloc, Zdzisław Krasnodębski, Robert Roos, Beata Szydło, Grzegorz Tobiszowski
ID	Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Georg Mayer, Joëlle Mélin, Isabella Tovaglieri
NI	András Gyürk, Clara Ponsatí Obiols, Viktor Uspaskich
PPE	François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Adam Jarubas, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Aldo Patriciello, Markus Pieper, Sara Skyttedal, Maria Spyraki, Riho Terras, Henna Virkkunen, Pernille Weiss
Renew	Nicola Beer, Nicola Danti, Valter Flego, Claudia Gamon, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Ivars Ijabs, Mauri Pekkarinen, Morten Petersen, Nils Torvalds
S&D	Marek Paweł Balt, Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Adriana Maldonado López, Dan Nica, Tsvetelina Penkova, Carlos Zorrinho
Verts/ALE	Rasmus Andresen, Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Manuela Ripa, Bronis Ropė, Jordi Solé

3	-
The Left	Manuel Bompard, Marc Botenga, Marisa Matias

1	0
ECR	Jessica Stegrud

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

[1] JO C 286 du 16.7.2021, p. 170.
[2] 2020/0359(COD).
[3] Avis 5/2021: https://edps.europa.eu/system/files/2021-05/21-03-11_edps_nis2-opinion_fr_0.pdf.
[4] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
[5] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO L 201 du 31.7.2002, p. 37.
[6] 2020/0365(COD).
[7] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
[8] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), JO L 201 du 31.7.2002, p. 37.

Dernière mise à jour: 19 novembre 2021

Avis juridique - Politique de confidentialité