(Procédure législative ordinaire: première lecture)

Le Parlement européen,

–  vu la proposition de la Commission au Parlement européen et au Conseil (COM(2013)0048),

–  vu l'article 294, paragraphe 2, et l'article 114 du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0035/2013),

–  vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,

–  vu l'avis motivés soumis par le Parlement suédois, dans le cadre du protocole n° 2 sur l'application des principes de subsidiarité et de proportionnalité, déclarant que le projet d'acte législatif n'est pas conforme au principe de subsidiarité,

–  vu l'avis du Comité économique et social européen du 22 mai 2013(1),

–  vu sa résolution du 12 septembre 2013 sur la stratégie de cybersécurité de l'Union européenne: un cyberespace ouvert, sûr et sécurisé(2),

–  vu l'article 55 de son règlement,

–  vu le rapport de la commission du marché intérieur et de la protection des consommateurs et les avis de la commission de l'industrie, de la recherche et de l'énergie, de la commission des libertés civiles, de la justice et des affaires intérieures et de la commission des affaires étrangères (A7-0103/2014),

1.  arrête la position en première lecture figurant ci-après;

2.  demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;

3.  charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.

(1) JO C 271 du 19.9.2013, p. 133. (2) Textes adoptés de cette date, P7_TA(2013)0376.

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l'avis du Comité économique et social européen(1),

statuant conformément à la procédure législative ordinaire(2),

considérant ce qui suit:

(1)  Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à la liberté et à la sécurité générale des citoyens de l'Union, ainsi qu'à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. [Am. 1]

(2)  L'ampleur et, la fréquence et l'impact des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces systèmes peuvent également devenir des cibles faciles pour des actions intentionnelles malveillantes qui visent à la détérioration ou à l'interruption de leur fonctionnement. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et des investisseurs, porter un grand préjudice à l'économie de l'Union dans son ensemble et, en fin de compte, mettre en péril le bien-être des citoyens de l'Union ainsi que la capacité des États membres à se protéger et à assurer la sécurité des infrastructures critiques. [Am. 2]

(3)  Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur.

(3 bis)  Étant donné que les pannes système ne sont pas causées délibérément mais continuent plutôt de relever de facteurs naturels ou de l'erreur humaine, les infrastructures devraient être résilientes face aux perturbations tant délibérées que non délibérées, et les exploitants d'infrastructures critiques devraient concevoir des systèmes bâtis sur le principe de résilience. [Am. 3]

(4)  Il convient d'établir, au niveau de l'UE, un mécanisme de coopération qui permette l'échange d'informations et garantisse la coordination de la prévention, de la détection et de l'intervention en ce qui concerne la sécurité des réseaux et de l'information («SRI»). Pour que ce mécanisme soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de SRI sur leur territoire. Les administrations publiques et les Au moins certains opérateurs sur le marché d'infrastructures d'information critiques devraient par ailleurs être soumis à des exigences minimales en matière de sécurité, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés. Il convient d'encourager les sociétés cotées en bourse à divulguer les incidents sur une base volontaire dans leurs rapports financiers. Le cadre juridique devrait reposer sur la nécessité de protéger la vie privée et l'intégrité des citoyens. Le réseau d'alerte concernant les infrastructures critiques (CIWIN) devrait être étendu aux acteurs du marché visés dans la présente directive. [Am. 4]

(4 bis)  S'il convient que les administrations publiques, en raison de la dimension publique de leur mission, fassent preuve de la vigilance appropriée dans la gestion et la protection de leurs propres réseaux et systèmes informatiques, la présente directive doit néanmoins être axée sur l'infrastructure critique essentielle au maintien des fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers et des soins de santé. Les développeurs de logiciels et les fabricants de matériel doivent dès lors être exclus du champ d'application de la présente directive. [Am. 5]

(4 ter)  La coopération et la coordination entre les autorités compétentes de l'Union et la haute représentante/vice-présidente, chargée de la politique étrangère et de sécurité commune et de la politique de sécurité et de défense commune, ainsi qu'avec le coordinateur de l'UE pour la lutte contre le terrorisme, devraient être garanties lorsque des incidents ayant un impact significatif apparaissent comme étant de nature extérieure et terroriste. [Am. 6]

(5)  Pour que tous les incidents et risques pertinents soient couverts, il convient que la présente directive s'applique à tous les réseaux et systèmes informatiques. Les obligations imposées aux administrations publiques et aux acteurs du marché ne devraient cependant pas être applicables aux entreprises qui fournissent des réseaux de communication publics ou des services de communications électroniques accessibles au public au sens de la directive 2002/21/CE du Parlement européen et du Conseil(3), qui sont soumises aux dispositions particulières relatives à la sécurité et à l'intégrité énoncées à l'article 13 bis de ladite directive, ni aux fournisseurs de services de confiance.

(6)  Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de SRI dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'UE. Les niveaux de protection des particuliers et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de SRI dans l'Union. En outre, l'absence d'exigences minimales communes applicables aux administrations publiques et aux acteurs du marché rend impossible la création d'un mécanisme général de coopération efficace au niveau de l'Union. Les universités et les centres de recherche jouent un rôle déterminant dans la stimulation de la recherche, du développement et de l'innovation dans ces domaines et doivent bénéficier d'un financement adéquat. [Am. 7]

(7)  Il faut donc, pour faire face efficacement aux problèmes actuels dans le domaine de la sécurité des réseaux et de l'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, permettra de se doter de compétences suffisantes en matière de cybersécurité, et comprendra l'échange d'informations et la coordination des actions, ainsi que des exigences minimales communes en matière de sécurité pour tous les acteurs du marché concernés et les administrations publiques. Il convient d'appliquer des normes communes minimales conformément aux recommandations pertinentes des groupes de coordination en matière de cybersécurité. [Am. 8]

(8)  Les dispositions de la présente directive ne devraient pas porter atteinte à la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection de ses intérêts essentiels en matière de sécurité, assurer l'ordre public et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales. Conformément à l’article 346 du traité sur le fonctionnement de l'Union européenne, aucun État membre n’est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. Aucun État membre n'est tenu de divulguer des informations classifiées de l'Union dans les termes de la décision 2011/292/UE du Conseil(4), de même que des informations soumises à un accord de non-divulgation ou à un accord de non-divulgation informelle, tel que le "Traffic Light Protocol". [Am. 9]

(9)  Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles, à partir des exigences minimales définies par la présente directive, afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident, tout en respectant et en protégeant la vie privée et les données à caractère personnel. Chaque État membre devrait donc être tenu de respecter des normes communes relatives au format et au caractère échangeable des données censées être partagées et évaluées. Les États membres doivent être en mesure de demander à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) de les aider à élaborer leur stratégie nationale en matière de SRI, à partir d'un modèle minimal commun de stratégie en matière de SRI. [Am. 10]

(10)  Pour que les dispositions adoptées en vertu de la présente directive puissent être effectivement mises en œuvre, il convient d'établir ou de désigner, dans chaque État membre, un organisme responsable de la coordination des aspects relatifs à la SRI et servant d'interlocuteur pour la coopération transfrontière au niveau de l'Union. Ces organismes devraient être dotés de ressources techniques, financières et humaines, suffisantes pour pouvoir s'acquitter de manière efficace et efficiente des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive.

(10 bis)  Compte tenu des divergences entre les structures de gouvernance nationale et en vue de sauvegarder les accords préexistants au niveau sectoriel ou les autorités de surveillance et de régulation de l'Union et d'éviter les doubles emplois, les États membres devraient être en mesure de désigner plusieurs autorités nationales compétentes chargées d'accomplir les tâches liées à la sécurité des réseaux et des systèmes d'information des acteurs du marché dans le cadre de la présente directive. Toutefois, afin de garantir une coopération et une communication transfrontalières harmonieuses, il est nécessaire que chaque État membre, sans préjudice des accords sectoriels réglementaires, désigne un seul guichet unique national chargé de la coopération transfrontalière au niveau de l'Union. Lorsque sa structure constitutionnelle ou d'autres dispositions l'exigent, un État membre devrait être en mesure de désigner une seule autorité pour accomplir les tâches de l'autorité compétente et du guichet unique. Les autorités compétentes et les guichets uniques doivent être des organes civils soumis à une surveillance démocratique complète et ne mener aucune activité dans le domaine du renseignement, des mesures répressives ou de défense, ni entretenir des liens organisationnels quels qu'ils soient avec des entités actives dans ces domaines. [Am. 11]

(11)  Tous les États membres et tous les acteurs du marché devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour pouvoir, à tout moment, prévenir et détecter les incidents et risques liés aux réseaux et systèmes informatiques et prendre les mesures d'intervention et d'atténuation nécessaires. Les systèmes de sécurité des administrations publiques doivent être sûrs et faire l'objet d'un contrôle démocratique. Le matériel et les moyens généralement requis doivent être conformes aux normes techniques communément admises ainsi qu'aux procédures standard d'exploitation. Il convient, par conséquent, de mettre en place dans tous les États membres des équipes d'intervention en cas d'urgence informatique (CERT) opérationnelles et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. Ces CERT devraient être habilitées à collaborer en s'appuyant sur des normes techniques communes et des procédures standard d'exploitation. Au vu des caractéristiques différentes des CERT existantes, qui répondent à différents besoins et s'adressent à des acteurs différents, les États membres doivent faire en sorte que chacun des secteurs visés dans la liste des acteurs du marché établie dans la présente directive bénéficie des services d'au moins une CERT. En ce qui concerne la coopération transfrontalière entre les CERT, les États membres devraient veiller à ce que les CERT disposent de moyens suffisants pour participer aux réseaux de coopération internationaux et européens déjà en place actuellement. [Am. 12]

(12)  En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques en matière de sécurité, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, les États membres et la Commission devraient constituer un réseau leur permettant de rester en liaison permanente et fournissant un cadre à leur coopération. Ce mécanisme de coopération sécurisé et efficace, y compris la participation des acteurs du marché le cas échéant, devrait garantir, au niveau de l'UE, des actions structurées et coordonnées en matière d'échange d'informations, de détection et d'intervention. [Am. 13]

(13)  L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) devrait assister les États membres et la Commission en mettant à leur disposition son expérience et ses conseils et en facilitant l'échange des meilleures pratiques. En particulier, la Commission devrait et les États membres devraient consulter l'ENISA en ce qui concerne l'application de la présente directive. Pour faire en sorte que les États membres et la Commission soient informés efficacement et en temps voulu, un mécanisme d'alerte rapide sur les incidents et les risques devrait être mis en place dans le cadre du réseau de coopération. Afin de développer les moyens disponibles et la connaissance dans les États membres, le réseau de coopération devrait aussi être un outil d'échange des meilleures pratiques, qui aide ses membres à renforcer leurs capacités et dirige l'organisation d'examens par les pairs et d'exercices de SRI. [Am. 14]

(13 bis)  Le cas échéant, les États membres doivent pouvoir utiliser ou adapter les structures ou stratégies organisationnelles existantes aux fins de l'application des dispositions de la présente directive. [Am. 15]

(14)  Une infrastructure sécurisée de partage des informations devrait être mise en place de manière à permettre l'échange d'informations sensibles et confidentielles au sein du réseau de coopération. Les structures existant au sein de l'Union devraient être pleinement utilisées à cette fin. Sans préjudice de leur obligation de notifier au réseau de coopération les incidents et les risques ayant une importance pour l'Union, seuls les États membres prouvant qu'ils disposent des ressources et processus techniques, financiers et humains et des infrastructures leur permettant de participer de manière efficace, efficiente et sûre au réseau devraient avoir accès aux informations confidentielles d'autres États membres, en utilisant des méthodes transparentes. [Am. 16]

(15)  Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et s'échanger des mutuellement les informations et des meilleures les bonnes pratiques en contrepartie d'une assistance opérationnelle, y compris la réciproque en matière d'échange d'informations pertinentes, d'assistance opérationnelle et d'informations ayant fait l'objet d'une analyse stratégique en cas d'incident. Il est essentiel, pour encourager le partage des informations et des bonnes pratiques, de veiller à ce que les acteurs du marché qui participent à ces échanges ne soient pas désavantagés du fait même de leur coopération. Il est nécessaire de mettre en place des garanties adéquates pour veiller à ce qu'une telle coopération n'augmente pas le risque de conformité de ces opérateurs ni le nombre de leurs obligations au regard, notamment, du droit de la concurrence, de la propriété intellectuelle, de la protection des données ou de la cybercriminalité, ou encore qu'elle ne les expose pas à davantage de risques liés au fonctionnement ou à la sécurité. [Am. 17]

(16)  Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UEUnion, les autorités compétentes guichets uniques devraient créer un site internet commun pour l'ensemble de l'Union destiné à la publication d'informations non confidentielles sur les incidents et, les risques et les moyens d'atténuer ces risques, puis à la recommandation de mesures de maintenance. L'information sur le site internet doit être accessible quel que soit le dispositif utilisé. Toute publication de données personnelles sur ce site devrait se limiter au strict nécessaire et être aussi anonyme que possible. [Am. 18]

(17)  Lorsque des informations sont considérées comme confidentielles conformément à la réglementation nationale ou de l'Union en matière de secret des affaires, cette confidentialité est garantie lors de l'exécution des activités et de la réalisation des objectifs énoncés par la présente directive.

(18)  La Commission et les États membres devraient, en se fondant notamment sur l'expérience acquise au niveau national en matière de gestion des crises, et en coopération avec l'ENISA, mettre en place un plan européen de coopération en matière de SRI définissant des mécanismes de coopération, des bonnes pratiques et des modes opératoires en vue de faire face aux prévenir, de détecter, de signaler les menaces et incidents dans ce domaine et d'y faire face. Il convient de tenir dûment compte de ce plan pour le fonctionnement du mécanisme d'alerte rapide au sein du réseau de coopération. [Am. 19]

(19)  L'activation du mécanisme d'alerte rapide dans le réseau ne devrait être obligatoire que si l'ampleur et la gravité de l'incident ou du risque en question est significative ou susceptible de le devenir au point de nécessiter une information ou une coordination de l'intervention au niveau de l'Union. Par conséquent, les alertes rapides devraient concerner uniquement les incidents ou risques réels ou potentiels qui évoluent rapidement, excèdent la capacité nationale d'intervention ou touchent plusieurs États membres. Toutes les informations pertinentes pour l'appréciation du risque ou de l'incident devraient être communiquées au réseau de coopération afin de permettre une évaluation correcte. [Am. 20]

(20)  Lorsqu'un message d'alerte rapide et une évaluation leur sont transmis, les autorités compétentes guichets uniques devraient décider d'une intervention coordonnée dans le cadre du plan de coopération en matière de SRI de l'Union. Il convient d'informer les autorités compétentes guichets uniques, l'ENISA ainsi que la Commission des mesures adoptées au niveau national au titre de l'intervention coordonnée. [Am. 21]

(21)  Étant donné que les problèmes de SRI ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de SRI. Tout cadre pour une telle coopération internationale devrait être soumis à la directive 95/46/CE du Parlement européen et du Conseil(5) et au règlement (CE) n° 45/2001 du Parlement européen et du Conseil(6). [Am. 22]

(22)  C'est, dans une large mesure, aux administrations publiques et aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques, de la collaboration étroite, et de la confiance impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus et aux incidents, délibérés ou fortuits. Il est aussi essentiel que les de définir des règles soient les mêmes identiques et fiables partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. [Am. 23]

(23)  En vertu de la directive 2002/21/CE, les entreprises qui fournissent des réseaux de communication publics ou des services de communications électroniques accessibles au public sont tenues de prendre les mesures appropriées pour garantir leur sécurité et leur intégrité. Cette directive introduit aussi des obligations de notification en cas d'atteinte à la sécurité et de perte d'intégrité. En vertu de la directive 2002/58/CE du Parlement européen et du Conseil(7), le fournisseur d'un service de communications électroniques accessible au public doit prendre les mesures d'ordre technique et organisationnel appropriées afin de garantir la sécurité de ses services.

(24)  Ces obligations devraient être étendues, au-delà du secteur des communications électroniques, aux opérateurs d'infrastructures qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les infrastructures de marchés financiers et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. Si les obligations prévues par la présente directive ne doivent pas être étendues aux principaux prestataires de services de la société de l'information au sens de la directive 98/34/CE du Parlement européen et du Conseil(8), sur lesquels reposent des services de la société de l'information en amont ou des activités en ligne, tels que les plateformes de commerce électronique, les passerelles de paiement par internet, les réseaux sociaux, les moteurs de recherche, les services informatiques en nuage en général ou les magasins d'applications en ligne, Toute perturbation de ces services génériques de la société de l'information empêche la fourniture d'autres services de la société de l'information dont ils représentent des composantes sous-jacentes essentielles.Les développeurs de logiciels et les fabricants de matériel ne sont pas des prestataires de services de la société de l'information et sont par conséquent exclus. Ces obligations devraient aussi être étendues aux administrations publiques et aux opérateurs d'infrastructures critiques qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les bourses de valeurs et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. ces acteurs peuvent, de leur plein gré, informer l'autorité compétente ou le guichet unique des incidents en matière de sécurité du réseau qu'ils jugent appropriés. Si possible, l'autorité compétente ou le guichet unique doit fournir aux acteurs du marché ayant signalé l'incident des informations ayant fait l'objet d'une analyse stratégique qui les aideront à faire face à la menace de sécurité [Am. 24]

(24 bis)  Alors que les fournisseurs de matériel et de logiciel ne sont pas des acteurs du marché comparables à ceux visés dans la présente directive, leurs produits facilitent la sécurité du réseau et des systèmes informatiques. Ils jouent dès lors un rôle important en permettant aux acteurs du marché de sécuriser leurs infrastructures de réseau et d'information. Étant donné que le matériel et les logiciels font déjà l'objet de règles existantes sur la responsabilité du fait des produits, les États membres doivent veiller à ce que ces règles soient appliquées. [Am. 25]

(25)  Les mesures techniques et organisationnelles imposées aux administrations publiques et aux acteurs du marché ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit TIC commercial particulier. [Am. 26]

(26)  Les administrations publiques et les acteurs du marché devraient garantir la sécurité des réseaux et systèmes placés sous leur contrôle. Il s'agit principalement de systèmes et réseaux privés qui sont gérés par leurs propres services informatiques ou dont la gestion de la sécurité a été sous-traitée. Les obligations en matière de sécurité et de notification devraient s'appliquer aux administrations publiques et acteurs du marché concernés, que la maintenance de leurs réseaux et systèmes informatiques soient assurée en interne par leurs propres services ou qu'elle soit sous-traitée. [Am. 27]

(27)  Pour éviter que la charge financière et administrative imposée aux utilisateurs et opérateurs de petite taille ne soit excessive, les exigences devraient être proportionnées aux risques que présente le réseau ou le système informatique concerné, compte tenu de l'état le plus avancé de la technique en ce qui concerne ces mesures. Ces exigences ne devraient pas être applicables aux micro-entreprises.

(28)  Les autorités compétentes et les guichets uniques devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. Les autorités compétentes et les guichets uniques doivent informer les fabricants et les prestataires des produits et services liés aux TIC des incidents ayant impact significatif qui leur ont été notifiés. La divulgation d'informations sur les incidents signalés aux autorités compétentes et aux guichets uniques devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les administrations publiques et les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes et les guichets uniques devraient être particulièrement attentives attentifs à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la publication le déploiement des mises à jour de sécurité appropriées. En règle générale, les guichets uniques ne devraient pas divulguer les données à caractère personnel de personnes impliquées dans des incidents. Les guichets uniques devraient uniquement divulguer des données à caractère personnel lorsque la divulgation de telles données est nécessaire et proportionnée aux fins de l'objectif poursuivi. [Am. 28]

(29)  Ces autorités devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des administrations publiques et des acteurs du marché des informations suffisantes pour évaluer le niveau de sécurité des réseaux et systèmes informatiques et mesurer le nombre, l'ampleur et la portée des incidents, ainsi que des données fiables et complètes relatives aux incidents qui ont eu une incidence sur le fonctionnement des réseaux et systèmes informatiques. [Am. 29]

(30)  Dans bien des cas, la cause sous-jacente d'un incident est une activité criminelle. Certains incidents sont susceptibles de constituer des infractions pénales même si les éléments qui en attestent ne sont pas suffisamment probants dès le départ. Dans ce contexte, toute réponse efficace et complète à la menace que représentent les incidents de sécurité devrait s'appuyer sur une coopération appropriée entre les autorités compétentes, les guichets uniques et les services répressifs ainsi que sur une coopération avec le centre européen de lutte contre la cybercriminalité (EC3) et l'ENISA. La promotion d'un environnement sûr, sécurisé et plus résilient exige que soient signalés aux services répressifs les incidents susceptibles de constituer des infractions pénales graves. Le caractère de grave infraction pénale de ces incidents devrait être évalué à la lumière de la législation de l'Union sur la cybercriminalité. [Am. 30]

(31)  Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Les États membres et les acteurs du marché devraient protéger les données à caractère personnel stockées, traitées, ou transmises contre toute destruction accidentelle ou illégale, contre toute perte ou modification accidentelles et contre tout stockage, accès, divulgation ou diffusion non autorisés ou illégaux et assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel. Dans de telles circonstances, les autorités compétentes, les guichets uniques et les autorités chargées de la protection des données devraient coopérer et échanger des informations sur tous les aspects pertinents de la lutte, y compris le cas échéant avec les opérateurs du marché, afin de lutter contre les atteintes aux données à caractère personnel à la suite d'incidents, conformément aux règles en vigueur sur la protection des données. Les États membres doivent mettre en œuvre L'obligation de notifier les incidents de sécurité devrait être mise en œuvre d'une manière qui réduise au minimum la charge administrative lorsque l'incident de sécurité porte aussi atteinte à des données à caractère personnel et doit être notifié conformément au règlement du Parlement européen et du Conseil relatif à la législation de l'Union sur la protection des personnes physiques à l’égard du traitement des données(9) à caractère personnel et à la libre circulation de ces données. L'ENISA pourrait, en liaison avec les autorités compétentes et les autorités chargées de la protection des données, devrait apporter son concours en élaborant des formulaires et des mécanismes pour l'échange d'informations, ce qui éviterait la duplication des formulaires de notification. et un formulaire de notification unique faciliterait qui faciliteraient le signalement des incidents qui portent atteinte à des données à caractère personnel, ce qui réduirait la charge administrative pesant sur les entreprises et les administrations publiques. [Am. 31]

(32)  La normalisation des exigences en matière de sécurité est un processus guidé par le marché de nature volontaire qui devrait permettre aux acteurs du marché d'utiliser des méthodes alternatives pour arriver à des résultats au moins similaires. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes interopérables précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité au niveau de l'Union. À cette fin, il convient d'envisager l'application de normes internationales ouvertes en matière de sécurité des réseaux et de l'information ou l'élaboration de tels instruments. Il pourrait également être nécessaire d'élaborer des projets de normes harmonisées, en se conformant aux dispositions du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil(10). En particulier, l'Institut européen de normalisation en télécommunications, le Comité européen de normalisation et le Comité européen de normalisation électrotechnique devraient être chargés de proposer des normes de sécurité ouvertes utiles et efficaces au niveau européen, qui se gardent autant que possible de toute préférence technologique et qui soient facilement gérables pour les petits et moyens acteurs du marché. Il convient de contrôler avec soin les normes internationales en matière de cybersécurité de manière à s'assurer que leur efficacité n'a pas été réduite et qu'elles offrent des niveaux de sécurité appropriés, garantissant ainsi que l'obligation de respecter les normes en matière de cybersécurité relève le niveau global de cybersécurité de l'Union et non l'inverse. [Am. 32]

(33)  Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, en consultation avec toutes les parties prenantes intéressées, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution de la société, de la situation politique, des technologies ou de la situation des marchés. [Am. 33]

(34)  En vue de permettre le bon fonctionnement du réseau de coopération, le pouvoir d’adopter des actes visé à l’article 290 du TFUE traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission en ce qui concerne la définition l'ensemble des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d' communs d'interconnexion et de sécurité pour l'infrastructure sécurisée de partage des informations, et la définition plus précise des événements déclenchant l'activation du mécanisme d'alerte rapide, et la définition des circonstances dans lesquelles les acteurs du marché et les administrations publiques sont tenus de notifier les incidents. [Am. 34]

(35)  Il importe particulièrement que la Commission procède aux consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts. Il convient que, lorsqu’elle prépare et élabore des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil.

(36)  Afin de garantir des conditions uniformes d’application de la présente directive, il y a lieu de conférer des compétences d’exécution à la Commission en ce qui concerne la coopération entre les autorités nationales compétentes guichets uniques et la Commission au sein du réseau de coopération, l'accès à l'infrastructure sécurisée de partage des informations, sans préjudice des mécanismes de coopération existant au niveau national, le plan de coopération de l'Union en matière de SRI, et les formats et procédures applicables à l'information du public en cas d'incident et les normes et/ou spécifications techniques relatives à la SRI la notification d'incidents ayant un impact significatif. Il convient que ces compétences soient exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil(11) [Am. 35]

(37)  Pour l'application de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'UE, notamment dans les domaines de l'administration en ligne, de l'énergie, des transports, de la santé et de la santé défense. [Am. 36]

(38)  Les informations considérées comme confidentielles par une autorité compétente ou un guichet unique, conformément à la réglementation de l'Union et à la réglementation nationale en matière de secret des affaires, ne devraient être échangées avec la Commission, ses agences concernées, les guichets uniques et/ou et d'autres autorités compétentes nationales que si cet échange est strictement nécessaire à l'application des dispositions de la présente directive. Les informations échangées devraient se limiter au minimum nécessaire et être proportionnées à l'objectif de cet échange, dans le respect des critères de confidentialité et de sécurité prédéfinis dans les termes de la décision 2011/292/UE, de même que des informations soumises à un accord de non-divulgation ou à un accord de non-divulgation informelle, tel que le "Traffic Light Protocol". [Am. 37]

(39)  Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes ou aux guichets uniques nationaux peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux de l'Union européenne. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil(12) s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001. [Am. 38]

(40)  Étant donné que l'objectif de la présente directive, à savoir garantir un niveau élevé de SRI dans l’Union, ne peut pas être réalisé de manière suffisante par les seuls États membres mais peut, en raison des effets de l’action, être mieux atteints au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, la présente directive n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(41)  La présente directive respecte les droits fondamentaux et les principes reconnus par la Charte des droits fondamentaux de l’Union européenne et notamment le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, le droit à la liberté d'entreprise, le droit de propriété ainsi que le droit à un recours effectif et à un procès équitable. La présente directive doit être mise en œuvre conformément à ces droits et principes.

(41 bis)  Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs, les États membres se sont engagés à accompagner, dans les cas où cela se justifie, la notification de leurs mesures de transposition d'un ou de plusieurs documents expliquant le lien entre les éléments d'une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur considère que la transmission de ces documents se justifie. [Am. 39]

(41 ter)  Le contrôleur européen de la protection des données a été consulté, conformément à l'article 28, paragraphe2, du règlement (CE) n° 45/2001 et a émis un avis le 14 juin 2013(13),

ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet et champ d’application

1.  La présente directive établit des mesures visant à assurer un niveau commun élevé de sécurité des réseaux et de l'information (SRI) dans l'Union.

2.  À cette fin:

a)  elle fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d'événement de ce type;

b)  elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et, efficaces et effectifs en cas de risques et d'incidents touchant les réseaux et systèmes informatiques avec la participation des parties prenantes concernées; [Am. 40]

c)  elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques. [Am. 41]

3.  Les exigences en matière de sécurité prévues à l'article 14 de la présente directive ne s'appliquent ni aux entreprises qui fournissent des réseaux de communication publics ou des services de communications électroniques accessibles au public au sens de la directive 2002/21/CE, qui sont soumises aux dispositions particulières relatives à la sécurité et à l'intégrité énoncées aux articles 13 bis et 13 ter de ladite directive, ni aux fournisseurs de services de confiance.

4.  La présente directive ne porte pas atteinte aux dispositions de la législation de l'Union sur la cybercriminalité ni à celles de la directive 2008/114/CE du Conseil(14).

5.  Elle ne porte pas non plus atteinte aux dispositions de la directive 95/46/CE, de la directive 2002/58/CE et du règlement (CE) n° 45/2001. Toute utilisation des données personnelles est limitée au strict nécessaire aux fins de la présente directive, et ces données sont aussi anonymes que possible, voire totalement anonymes. [Am. 42]

6.  Le partage des informations au sein du réseau de coopération visé au chapitre III et les notifications d'incidents de SRI en vertu de l'article 14 peuvent nécessiter le traitement de données à caractère personnel. Ce traitement, qui est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive, est autorisé par l'État membre conformément à l'article 7 de la directive 95/46/CE et à la directive 2002/58/CE, tels que transposés en droit national.

Article 1 bis

Protection et traitement des données à caractère personnel

1.  Tout traitement de données à caractère personnel dans les États membres en vertu de la présente directive est réalisé dans le respect de la directive 95/46/CE et de la directive 2002/58/CE.

2.  Tout traitement de données à caractère personnel par la Commission et l'ENISA conformément au présent règlement sera réalisé dans le respect du règlement (CE) n° 45/2001.

3.  Tout traitement de données à caractère personnel par le centre européen de la cybercriminalité au sein d'Europol sera réalisé conformément à la décision 2009/371/JAI du Conseil (15).

4.  Le traitement de données à caractère personnel sera équitable, légal et strictement limité au volume minimal de données nécessaire aux objectifs du traitement. Les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la finalité pour laquelle elles sont traitées.

5.  Les notifications d'incidents visées à l'article 14 de la présente directive sont effectuées sans préjudice des dispositions et obligations concernant les notifications de violation de données à caractère personnel définies à l'article 4 de la directive 2002/58/CE et dans le règlement (UE) n° 611/2013 de la Commission (16). [Am. 43]

Article 2

Harmonisation minimale

Les États membres ont la faculté d'adopter ou de maintenir des dispositions garantissant un niveau de sécurité plus élevé, sans préjudice de leurs obligations découlant de la législation de l'Union.

Article 3

Définitions

Aux fins de la présente directive, on entend par:

1)  «réseau et système informatique»,

a)  un réseau de communications électroniques au sens de la directive 2002/21/CE et

b)  tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques numériques, ainsi que [Am. 44]

c)  les données informatiques numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) derniers en vue de leur fonctionnement, utilisation, protection et maintenance. [Am. 45]

2)  «sécurité», la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; le terme "sécurité" recouvre les dispositifs techniques, les solutions et les procédures d'exploitation appropriés pour le respect des exigences en matière de sécurité établies par la présente directive; [Am. 46]

3)  «risque», toute circonstance raisonnablement identifiable ou tout événement ayant une incidence négative potentielle sur la sécurité; [Am. 47]

4)  «incident», toute circonstance ou tout événement ayant une incidence négative réelle sur la sécurité; [Am. 48]

(5)  «service de la société de l'information», un service au sens de l'article 1er, point 2, de la directive 98/34/CE; [Am. 49]

6)  «plan de coopération en matière de SRI», un plan établissant un cadre pour les rôles, responsabilités et procédures opérationnelles visant à maintenir ou à rétablir le fonctionnement des réseaux et systèmes informatiques en cas de risque ou d'incident;

7)  «gestion d'incident», toutes les procédures utiles à la détection, à la prévention, à l'analyse, au confinement et à l'intervention en cas d'incident; [Am. 50]

8)  «acteur du marché»,

(a)  un prestataire de services de la société de l'information qui permet la fourniture d'autres services de la société de l'information dont une liste non exhaustive figure à l'annexe II; [Am. 51]

b)  un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé, et dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions, énumérées dans une liste non exhaustive qui figure à l'annexe II., dans la mesure où les systèmes de réseau et d'information visés sont liés à ses services essentiels; [Am. 52]

8 bis)  "incident qui a un impact significatif", un incident qui porte atteinte à la sécurité et à la continuité d'un réseau ou d'un système d'information et qui entraîne une perturbation notable de fonctions économiques ou sociétales essentielles; [Am. 53]

9)  «norme», une norme visée dans le règlement (UE) n° 1025/2012;

10)  «spécification», une spécification visée dans le règlement (UE) n° 1025/2012;

11)  «prestataire de service de confiance», une personne physique ou morale qui fournit tout service électronique consistant en la création, la vérification, la validation, le traitement et la conservation de signatures électroniques, de cachets électroniques, d'horodatages électroniques, de documents électroniques, de services de fourniture électronique, d'authentification de site internet et de certificats électroniques, y compris de certificats de signature électronique et de cachet électronique;

11 bis)  "marché réglementé", un marché réglementé tel que défini à l'article 4, point 14), de la directive 2004/39/CE du Parlement européen et du Conseil(17); [Am. 54]

11 ter)  "système multilatéral de négociation (MTF)", un système multilatéral de négociation tel que défini à l'article 4, point 15), de la directive 2004/39/CE; [Am. 55]

11 quater)  "système organisé de négociation", un système ou un dispositif multilatéral, autre qu'un marché réglementé, un système multilatéral de négociation ou une contrepartie centrale, exploité par une entreprise d'investissement ou un acteur du marché et au sein duquel de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des obligations, produits financiers structurés, quotas d'émission et instruments dérivés, peuvent interagir d'une manière qui aboutisse à la conclusion de contrats conformément au titre II de la directive 2004/39/CE. [Am. 56]

CHAPITRE II

CADRES NATIONAUX DE SÉCURITÉ DES RÉSEAUX ET DE L'INFORMATION

Article 4

Principe

Les États membres assurent, conformément à la présente directive, un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire.

Article 5

Stratégies nationales et plans nationaux de coopération en matière de SRI

1.  Chaque État membre adopte une stratégie nationale en matière de SRI qui définit les objectifs stratégiques et les mesures politiques et réglementaires concrètes visant à parvenir à un niveau élevé de sécurité des réseaux et de l'information et à le maintenir. Les principaux aspects sur lesquels porte la stratégie nationale en matière de SRI sont les suivants:

a)  la définition des objectifs et des priorités de la stratégie fondée sur une analyse actualisée des risques et des incidents;

b)  un cadre de gouvernance permettant d'atteindre les objectifs stratégiques et les priorités, fournissant notamment une définition claire des rôles et des responsabilités des organismes gouvernementaux et des autres acteurs pertinents;

c)  l'inventaire des mesures générales en matière de préparation, d'intervention et de récupération, et notamment des mécanismes de coopération entre les secteurs public et privé;

d)  la mention des programmes d'éducation, de sensibilisation et de formation;

e)  les plans de recherche et développement et la description de la manière dont ils tiennent compte des priorités recensées.

e bis)  Les États membres peuvent demander à l'ENISA de les aider à élaborer leur stratégie nationale en matière de SRI et leurs plans nationaux de coopération en matière de SRI, à partir d'un modèle minimal commun de coopération en matière de SRI. [Am. 57]

2.  La stratégie nationale en matière de SRI comporte un plan national de coopération en matière de SRI qui satisfait au moins aux exigences suivantes:

a)  un plan d' cadre de gestion des risques destiné à établir une méthodologie pour l'identification, la hiérarchisation, l'évaluation et le traitement des risques, l'évaluation de permettant de recenser les risques et d'évaluer l'impact des incidents potentiels, des options de prévention et de contrôle, ainsi que la définition de critères permettant de déterminer les contre-mesures envisageables; [Am. 58]

b)  la définition des rôles et des responsabilités des différents différentes autorités et d'autres acteurs concernés par la mise en œuvre du plan cadre; [Am. 59]

c)  la définition des processus de coopération et de communication qui garantissent la prévention, la détection, l'intervention, la réparation et la récupération, avec une modulation en fonction du niveau d'alerte;

d)  une feuille de route concernant des exercices et formations en matière de SRI pour renforcer et valider le plan et le mettre à l'épreuve. Les enseignements tirés seront ensuite intégrés dans les mises à jour du plan.

3.  La stratégie nationale et le plan national de coopération en matière de SRI seront communiqués à la Commission dans le les trois mois suivant leur adoption. [Am. 60]

Article 6

Autorités nationales compétentes et guichets uniques au niveau national en matière de sécurité des réseaux et systèmes informatiques [Am. 61]

1.  Chaque État membre désigne une autorité nationale compétente ou plusieurs autorités civiles nationales compétentes en matière de sécurité des réseaux et systèmes informatiques (ci-après dénommées «autorité compétente» ou "autorités compétentes"). [Am. 62]

2.  Les autorités compétentes contrôlent l'application de la présente directive au niveau national et contribuent à son application cohérente dans l'ensemble de l'Union.

2 bis.  Lorsqu'un État membre désigne plusieurs autorités compétentes, il désigne une autorité civile nationale, par exemple une autorité compétente, en tant que guichet unique national chargé de la sécurité des réseaux et des systèmes informatiques (ci-après dénommé "guichet unique"). Lorsqu'un État membre désigne une seule autorité compétente, cette dernière a également la qualité de guichet unique. [Am. 63]

2 ter.  Les autorités compétentes et le guichet unique d'un même État membre coopèrent étroitement aux fins du respect des obligations établies dans la présente directive. [Am. 64]

2 quater.  Le guichet unique assure la coopération transfrontières avec d'autres guichets uniques. [Am. 65]

3.  Les États membres veillent à ce que les autorités compétentes et les guichets uniques disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de leurs tâches de manière efficace et efficiente et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les autorités compétentes guichets uniques puissent coopérer de manière efficace, efficiente et sûre par l'intermédiaire du réseau visé à l'article 8. [Am. 66]

4.  Les États membres veillent à ce que les autorités compétentes et les guichets uniques, s'il y a lieu, conformément au paragraphe 2 bis du présent article, reçoivent les notifications d'incidents des administrations publiques et des acteurs du marché conformément à l'article 14, paragraphe 2, et à ce qu'elles qu'ils disposent des compétences de mise en œuvre et d’exécution visées à l'article 15. [Am. 67]

4 bis.  Lorsque le droit de l'Union prévoit l'instauration d'un organe sectoriel de contrôle ou de réglementation de l'Union, notamment en ce qui concerne la sécurité du réseau et les systèmes informatiques, cet organe reçoit les notifications d'incidents, conformément à l'article 14, paragraphe 2, des acteurs du marché concernés dans ce secteur et se voit accorder les compétences de mise en œuvre et d'exécution visées à l'article 15. Cet organe de l'Union coopère étroitement avec les autorités compétentes et le guichet unique de l'État membre d'accueil aux fins du respect de ces obligations. Le guichet unique de l'État membre d'accueil représente l'organe de l'Union aux fins du respect des obligations visées au chapitre III. [Am. 68]

5.  Les autorités compétentes et les guichets uniques consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. [Am. 69]

6.  Chaque État membre informe sans retard la Commission de la désignation de l'autorité compétente des autorités compétentes et du guichet unique, ainsi que des tâches qui leur sont confiées à cette dernière et de toute modification ultérieure les concernant. Chaque État membre rend publique la désignation de l'autorité compétente des autorités compétentes. [Am. 70]

Article 7

Équipes d'intervention en cas d'urgence informatique (CERT)

1.  Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après dénommée «CERT») pour chacun des secteurs énumérés à l'annexe II, chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. [Am. 71]

2.  Les États membres veillent à ce que les CERT disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter efficacement des tâches énumérées au point (2) de l'annexe I.

3.  Les États membres font en sorte que les CERT puissent compter sur une infrastructure d'information et de communication sécurisée et résiliente au niveau national, dont la compatibilité et l'interopérabilité avec le système sécurisé d'échange d'informations visé à l'article 9 soient garanties.

4.  Les États membres informent la Commission des ressources et du mandat des CERT, ainsi que de leurs processus de gestion des incidents.

5.  Les CERT sont placées sous la surveillance de l'autorité compétente ou du guichet unique, qui procède régulièrement à un examen visant à établir que leurs ressources et leur mandat sont adaptés et que leur processus de gestion des incidents est efficace. [Am. 72]

5 bis.  Les États membres veillent à ce que les CERT disposent de moyens humains et financiers adéquats pour participer activement aux réseaux de coopération internationaux, et en particulier au niveau de l'Union. [Am. 73]

5 ter.  Les CERT sont habilitées et encouragées à initier des exercices conjoints avec d'autres CERT, avec l'ensemble des CERT des États membres et avec les institutions compétentes des pays tiers, ainsi qu'avec les CERT des institutions multinationales et internationales, telles que l'Organisation du traité de l'Atlantique Nord et les Nations unies, et à y participer. [Am. 74]

5 quater.  Les États membres peuvent solliciter l'assistance de l'ENISA ou d'autres États membres dans la mise en place de leurs CERT nationales. [Am. 75]

CHAPITRE III

COOPÉRATION ENTRE LES AUTORITÉS COMPÉTENTES

Article 8

Réseau de coopération

1.  Les autorités compétentes guichets uniques et la Commission constituent un réseau (ci-après dénommé «réseau de coopération») pour coopérer dans la lutte contre les risques et incidents touchant les réseaux et systèmes informatiques. [Am. 76]

2.  Ce réseau permet à la Commission et aux autorités compétentes guichets uniques de rester en liaison permanente. Lorsque c'est nécessaire, l'Agence européenne chargée de la sécurité des réseaux et de l'information («ENISA») assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. Le cas échéant, les acteurs du marché et les fournisseurs de solutions en matière de cybersécurité peuvent également être invités à participer aux activités du réseau de coopération visé au paragraphe 3, points g) et i).

Le cas échéant, le réseau de coopération collabore avec les autorités chargées de la protection des données.

La Commission communique régulièrement au réseau de coopération des informations concernant la recherche dans le domaine de la sécurité et d'autres programmes pertinents d'Horizon 2020. [Am. 77]

3.  Au sein du réseau de coopération, les autorités compétentes guichets uniques:

a)  diffusent les messages d'alerte rapide sur les risques et incidents conformément à l'article 10;

b)  assurent une intervention coordonnée conformément à l'article 11;

c)  publient régulièrement, sur un site internet commun, des informations non confidentielles sur les alertes rapides et les interventions coordonnées en cours;

d)  procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs d'un ou de plusieurs plans de coopération et stratégies nationaux en matière de SRI visés à l'article 5, dans le champ d'application de la présente directive;

e)  procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs de l'efficacité des CERT, notamment lorsque des exercices de SRI sont exécutés au niveau de l'Union;

f)  coopèrent et échangent des informations sur tous leurs connaissances d'expert sur les aspects pertinents avec le Centre européen de lutte contre la cybercriminalité au sein d'Europol, et avec d'autres organismes européens concernés concernant le réseau et la sécurité informatique, notamment dans le domaine de la protection des données, de l'énergie, des transports, des services bancaires, des bourses de valeurs marchés financiers et de la santé avec le Centre européen de lutte contre la cybercriminalité au sein d'Europol, et avec d'autres organismes européens concernés;

f bis)  le cas échéant, informent le coordinateur de l'Union européenne pour la lutte contre le terrorisme au moyen de rapports, et peuvent demander une aide du réseau de coopération en matière d'analyse et de travaux et actions préparatoires;

g)  échangent des informations et de bonnes pratiques, entre elles et avec la Commission, et s'assistent mutuellement en ce qui concerne le renforcement des capacités de SRI;

(h)  organisent régulièrement des examens par les pairs portant sur les moyens et l'état de préparation;

i)  organisent des exercices de SRI au niveau de l'Union et participent, le cas échéant, à des exercices de SRI internationaux.

i bis)  associent et consultent les acteurs du marché, le cas échéant, et échangent avec eux des informations en ce qui concerne les risques et les incidents affectant leur réseau et leurs systèmes d'information;

i ter)  élaborent, en coopération avec l'ENISA, des lignes directrices pour la définition de critères sectoriels pour la notification des incidents ayant un impact significatif, en plus des paramètres fixés à l'article 14, paragraphe 2, en vue d'une interprétation commune, d'une application cohérente et d'une mise en œuvre cohérente au sein de l'Union. [Am. 78]

3 bis.  Le réseau de coopération publie une fois par an un rapport couvrant les 12 mois précédents, fondé sur les activités du réseau et sur le rapport succinct conformément à l'article 14, paragraphe 4, de la présente directive. [Am. 79]

4.  La Commission établit, au moyen d'actes d’exécution, les modalités nécessaires pour faciliter la coopération entre les autorités compétentes guichets uniques, l'ENISA et la Commission visée aux paragraphes 2 et 3. Ces actes d’exécution sont adoptés en conformité avec la procédure de consultation d'examen visée à l’article 19, paragraphe 2. [Am. 80]

Article 9

Système sécurisé d'échange d'informations

1.  L'échange d'informations sensibles et confidentielles au sein du réseau de coopération se déroule dans le cadre d'une infrastructure sécurisée de partage des informations.

1 bis.  Les participants à l'infrastructure sécurisée se conforment entre autres à des mesures de confidentialité et de sécurité appropriées conformément à la directive 95/46/CE et au règlement (CE) n° 45/2001 à toutes les étapes du traitement. [Am. 81]

2.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 18 en ce qui concerne la définition des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, pour ce qui a trait:

(a)  à la disponibilité d'une infrastructure d'information et de communication sécurisée et résiliente au niveau national, dont la compatibilité et l'interopérabilité avec le réseau de coopération soient garanties conformément à l'article 7, paragraphe 3, et

(b)  à l'existence de ressources et processus techniques, financiers et humains suffisants pour permettre aux autorités compétentes et aux CERT de participer de manière efficace, efficiente et sûre au système sécurisé d'échange d'informations au titre de l'article 6, paragraphe 3, de l'article 7, paragraphes 2 et 3. [Am. 82]

3.  La Commission adopte, au moyen d'actes d’exécution, des décisions relatives à l'accès des États membres à cette infrastructure sécurisée, conformément aux critères visés aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 19, paragraphe 3. délégués en conformité avec l'article 18, un ensemble de critères communs d'interconnexion et de sécurité que doivent remplir les guichets uniques pour pouvoir échanger des informations sensibles et confidentielles au sein du réseau de coopération. [Am. 83]

Article 10

Alerte rapide

1.  Les autorités compétentes guichets uniques ou la Commission établissent, au sein du réseau de coopération, un mécanisme d'alerte rapide pour les risques et incidents qui remplissent au moins une des conditions suivantes:

(a)  leur ampleur s'accroît ou peut s'accroître rapidement;

(b)  ils excèdent ou peuvent excéder le guichet unique estime que le risque ou l'incident excède potentiellement la capacité nationale d'intervention;

(c)  ils touchent ou peuvent toucherles guichets uniques ou la Commission estiment que le risque ou l'incident touche plusieurs États membres. [Am. 84]

2.  Dans le cadre du mécanisme d'alerte rapide, les autorités compétentes guichets uniques et la Commission communiquent sans retard injustifié toutes les informations pertinentes en leur possession qui peuvent être utiles pour évaluer le risque ou l'incident. [Am. 85]

3.  La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information pertinente concernant un risque ou un incident particulier. [Am. 86]

4.  Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide est susceptible de constituer une infraction pénale, les autorités nationales compétentes ou la Commission en informent et lorsque l'acteur du marché concerné a fait état d'incidents susceptibles de constituer une infraction pénale grave dans les termes de l'article 15, paragraphe 4, les États membres veillent à ce que le Centre européen de lutte contre la cybercriminalité d'Europol en soit informé, le cas échéant. [Am. 87]

4 bis.  Les membres du réseau de coopération ne publient aucune information qu'ils ont reçue sur les risques ou les incidents visés au paragraphe 1, sans avoir obtenu l'accord préalable du guichet unique qui a émis la notification.

En outre, avant de partager les informations au sein du réseau de coopération, le guichet unique informe de son intention l'acteur du marché auquel ces informations se rapportent et, s'il l'estime approprié, les rend anonymes. [Am. 88]

4 ter.  Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide pourrait revêtir une forte dimension technique transnationale, les guichets uniques ou la Commission en informent l'ENISA. [Am. 89]

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 18 aux fins de préciser davantage les risques et incidents déclenchant l'activation du mécanisme d'alerte rapide conformément au paragraphe 1 du présent article.

Article 11

Intervention coordonnée

1.  Après l'activation du mécanisme d'alerte rapide visé à l'article 10, les autorités compétentes guichets uniques décident sans retard injustifié, après évaluation des informations pertinentes, d'une intervention coordonnée conformément au plan de coopération de l'Union en matière de SRI visé à l'article 12. [Am. 90]

2.  Les différentes mesures adoptées au niveau national au titre de l'intervention coordonnée sont communiquées au réseau de coopération.

Article 12

Plan de coopération de l'Union en matière de SRI

1.  La Commission est habilitée à adopter, au moyen d'actes d'exécution, un plan de coopération de l'Union en matière de SRI. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3.

2.  Le plan de coopération de l'Union en matière de SRI prévoit:

a)  aux fins de l'application de l'article 10:

–  une définition du format et des procédures applicables à la collecte et au partage, par les autorités compétentes guichets uniques, d'informations compatibles et comparables sur les risques et incidents, [Am. 91]

–  une définition des procédures et critères d'évaluation des risques et incidents par le réseau de coopération.

b)  les processus applicables à l'intervention coordonnée au titre de l'article 11, et notamment la détermination des rôles, des responsabilités et des procédures de coopération;

c)  une feuille de route concernant les exercices et formations en matière de SRI pour renforcer et valider le plan et le mettre à l'épreuve;

d)  un programme de transfert des connaissances entre les États membres en ce qui concerne le renforcement des capacités et l'apprentissage entre pairs,

e)  un programme de sensibilisation et de formation entre les États membres.

3.  Le plan de coopération de l'Union en matière de SRI est adopté au plus tard un an après l'entrée en vigueur de la présente directive et est révisé régulièrement. Les résultats de chaque révision sont communiqués au Parlement européen. [Am. 92]

3 bis.  La cohérence entre le plan de coopération de l'Union en matière de SRI et les stratégies nationales et plans nationaux de coopération en matière de SRI, visés à l'article 5, est assurée. [Am. 93]

Article 13

Coopération internationale

L’Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération et spécifient la procédure de contrôle qui devra être appliquée afin de garantir la protection de ces données à caractère personnel. Le Parlement européen est informé de la négociation des accords. Tout transfert de données à caractère personnel à des destinataires situés dans des pays tiers est mené conformément aux articles 25 et 26 de la directive 95/46/CE et à l'article 9 du règlement (CE) n° 45/2001. [Am. 94]

Article 13 bis

Niveau de criticité des acteurs du marché

Les États membres peuvent déterminer le niveau de criticité des acteurs du marché en tenant compte des spécificités des secteurs, de paramètres comprenant l'importance pour un acteur du marché particulier de maintenir un niveau suffisant de service sectoriel, le nombre des parties fournies par l'acteur du marché, et la période au bout de laquelle la rupture des services essentiels fournis par l'acteur du marché a des répercussions négatives sur le maintien des fonctions économiques et sociétales vitales. [Am. 95]

CHAPITRE IV

SÉCURITÉ DES RÉSEAUX ET SYSTÈMES INFORMATIQUES DES ADMINISTRATIONS PUBLIQUES ET DES ACTEURS DU MARCHÉ

Article 14

Exigences de sécurité et notification d'incidents

1.  Les États membres veillent à ce que les administrations publiques et les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents touchant les portant atteinte à la sécurité des réseaux et des systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. [Am. 96]

2.  Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l'autorité compétente ou au guichet unique, sans retard injustifié, les incidents qui ont un impact significatif sur la sécurité continuité des services essentiels qu'ils fournissent. Cette notification ne soumet pas la partie qui l'a émise à une plus grande responsabilité.

Afin de déterminer l'ampleur de l'impact d'un incident, il est, entre autres, tenu compte des paramètres suivants: [Am. 97]

a)  le nombre d'utilisateurs dont le service essentiel est concerné; [Am. 98]

b)  la durée de l'incident; [Am. 99]

c)  la portée géographique eu égard à la zone touchée par l'incident. [Am. 100]

Il convient de spécifier davantage ces paramètres, conformément à l'article 8, paragraphe 3, point i ter. [Am. 101]

2 bis.  Les acteurs du marché notifient les incidents visés aux paragraphes 1 et 2 à l'autorité compétente ou au guichet unique de l'État membre dans lequel le service essentiel est affecté. Lorsque des services essentiels dans plusieurs États membres sont concernés, le guichet unique qui a reçu la notification alerte, sur la base des informations fournies par l'acteur du marché, les autres guichets uniques concernés. L'acteur du marché a connaissance, dans les meilleurs délais, des autres guichets uniques qui ont été informés de l'incident, des éventuelles mesures qui ont été prises et de leurs résultats, et de toute autre information pertinente relative à l'incident. [Am. 102]

2 ter.  Lorsque la notification contient des données à caractère personnel, elle n'est transmise qu'aux destinataires au sein de l'autorité compétente notifiée ou du guichet unique notifié qui ont besoin de traiter lesdites données aux fins de l'exécution de leur mission conformément à la réglementation en matière de protection des données. Les données communiquées se limitent à celles nécessaires à l'accomplissement de ces missions. [Am. 103]

2 quater.  Les acteurs du marché qui ne sont pas visés à l'annexe II peuvent signaler de leur plein gré les incidents, conformément à l'article 14, paragraphe 2. [Am. 104]

3.  Les paragraphes 1 et 2 s'appliquent à tous les acteurs du marché fournissant des services dans l'Union européenne.

4.  Après avoir consulté l'autorité compétente notifiée et l'acteur du marché concerné, le guichet unique peut informer le public de chaque incident lorsqu'il détermine que la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours, ou demander aux administrations publiques et aux acteurs lorsque l'acteur du marché de le faire, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident. affecté par un incident refuse de remédier à une grave faiblesse structurelle sans délai injustifié.

Avant toute divulgation publique, l'autorité compétente informée s'assure que l'acteur du marché concerné a la possibilité d'être entendu et que la décision de divulgation publique est dûment pesée à l'aune de l'intérêt général.

Lorsque des informations relatives à des incidents particuliers sont rendues publiques, l'autorité compétente notifiée ou le guichet unique notifié veille à ce qu'elles soient rendues aussi anonymes de possible.

L'autorité compétente ou le guichet unique fournit à l'acteur du marché concerné, si cela est raisonnablement possible, des informations aidant au traitement efficace de l'incident notifié.

Une fois par an, l’autorité compétente le guichet unique soumet au réseau de coopération un rapport succinct sur les notifications reçues et, y compris le nombre de notifications et les paramètres d'incident énumérés au paragraphe 2 du présent article, et sur l’action engagée conformément au présent paragraphe. [Am. 105]

4 bis.  Les États membres encouragent les acteurs du marché à divulguer les incidents affectant leur activité de leur plein gré dans leurs rapports financiers. [Am. 106]

5.  La Commission est habilitée à adopter des actes délégués en conformité avec l’article 18 en ce qui concerne la définition des circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. [Am. 107]

6.  Sous réserve de tout acte délégué adopté en vertu du paragraphe 5, Les autorités compétentes ou les guichets uniques peuvent adopter des lignes directrices et, le cas échéant, formuler des instructions relatives aux circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. [Am. 108]

7.  La Commission est habilitée à définir, au moyen d'actes d'exécution, les formats et procédures applicables aux fins de l'application du paragraphe 2. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3.

8.  Les paragraphes 1 et 2 ne s'appliquent pas aux micro-entreprises telles qu’elles sont définies dans la recommandation de la Commission 2003/361/CE(18), à moins que la micro-entreprise n'agisse comme succursale d'un acteur du marché au sens de l'article 3, point 8, point b). [Am. 109]

8 bis.  Les États membres peuvent décider d'appliquer mutatis mutandis le présent article et l'article 15 aux administrations publiques. [Am. 110]

Article 15

Mise en œuvre et exécution

1.  Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient tous les pouvoirs nécessaires leur permettant d'enquêter sur les cas dans lesquels les administrations publiques ou les acteurs du marché ne respectent pas les de veiller au respect des obligations qui leur incombent prévues à l'article 14 et sur les par les acteurs du marché et de leurs effets de ce non-respect sur la sécurité des réseaux et systèmes informatiques. [Am. 111]

2.  Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir d'exiger des administrations publiques ou des acteurs du marché qu'ils: [Am. 112]

a)  fournissent les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes informatiques, y compris les documents relatifs à leurs politiques de sécurité;

b)  se soumettent à unfournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit exécuté par un organisme qualifié indépendant ou une autorité nationale et mettent les résultats de cet audit ces éléments probants à la disposition de l'autorité compétente ou du guichet unique. [Am. 113]

Au moment de formuler une telle demande, les autorités compétentes ou les guichets uniques mentionnent la finalité de la demande et précisent d'une manière suffisamment détaillée quelles sont les informations exigées. [Am. 114]

3.  Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché. [Am. 115]

3 bis.  Par dérogation au paragraphe 2, point b), du présent article, les États membres peuvent décider que les autorités compétentes ou les guichets uniques, le cas échéant, doivent appliquer une procédure différente à certains acteurs du marché, en fonction de leur niveau de criticité fixé conformément à l'article 13 bis. Si les États membres en décident ainsi:

a)  les autorités compétentes ou les guichets uniques, le cas échéant, ont le pouvoir de soumettre une demande suffisamment précise aux acteurs du marché en leur demandant de fournir des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit de sécurité effectué par un auditeur interne qualifié, et de mettre ces éléments probants à la disposition de l'autorité compétente ou du guichet unique;

b)  si nécessaire, l'autorité compétente ou le guichet unique peut, après la présentation par l'acteur du marché de la demande visée au point a), exiger que davantage d'éléments probants soient fournis ou qu'un audit supplémentaire soit réalisé par un organisme indépendant qualifié ou une autorité nationale compétente.

3 ter.  Les États membres peuvent décider de réduire le nombre et l'intensité des audits pour un acteur du marché concerné, lorsque l'audit de sécurité qui a été effectué montre que l'acteur du marché en question se conforme aux dispositions du chapitre IV de manière cohérente. [Am. 116]

4.  Les autorités compétentes notifient et les guichets uniques informent les acteurs du marché concernés de la possibilité de signaler aux services répressifs les incidents pouvant constituer une infraction pénale grave. [Am. 117]

5.  Sans préjudice de la réglementation applicable en matière de protection des données, les autorités compétentes et les guichets uniques coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel.Les guichets uniques et les autorités chargées de la protection des données mettent au point, en coopération avec l'ENISA, des mécanismes d'échange d'informations et un formulaire unique qui seront utilisés pour les notifications au titre de l'article 14, paragraphe 2, de la présente directive et d'autres actes législatifs de l'Union relatifs à la protection des données. [Am. 118]

6.  Les États membres veillent à ce que toute obligation imposée aux administrations publiques et aux acteurs du marché au titre du présent chapitre puisse faire l’objet d’un contrôle juridictionnel. [Am. 119]

6 bis.  Les États membres peuvent décider d'appliquer mutatis mutandis l'article 14 et le présent article aux administrations publiques. [Am. 120]

Article 16

Normalisation

1.  Pour veiller à la convergence de la mise en œuvre des dispositions de l'article 14, paragraphe 1, les États membres, sans toutefois imposer l'utilisation d'une technologie particulière, encouragent l'utilisation des normes et/ou des spécifications interopérables européennes ou internationales pertinentes pour la sécurité des réseaux et de l'information. [Am. 121]

2.  La Commission établit, au moyen d'actes d'exécution, charge un organisme européen compétent de normalisation d'établir, en consultation avec les parties prenantes pertinentes, une liste des normes et/ou spécifications visées au paragraphe 1. Cette liste est publiée au Journal officiel de l’Union européenne. [Am. 122]

CHAPITRE V

DISPOSITIONS FINALES

Article 17

Sanctions

1.  Les États membres fixent des règles relatives aux sanctions applicables en cas d’infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient ces dispositions à la Commission au plus tard à la date de transposition de la présente directive en droit national, et toute modification ultérieure les concernant dans les meilleurs délais.

1 bis.  Les États membres veillent à ce que les sanctions mentionnées au paragraphe 1 du présent article ne s'appliquent que lorsque l'acteur du marché a manqué aux obligations lui incombent au titre du chapitre IV de manière intentionnelle ou à la suite d'une négligence grave. [Am. 123]

2.  Lorsqu'un incident de sécurité concerne des données à caractère personnel, les États membres veillent à ce que les sanctions prévues soient conformes à celles que prévoit le règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données(19).

Article 18

Exercice de la délégation

1.  Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.  Le pouvoir d'adopter des actes délégués visés à l'article 9, paragraphe 3, et à l'article 10, paragraphe 5 est conféré à la Commission. La Commission élabore un rapport relatif à la délégation de pouvoir, au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prolongée pour des périodes d'une durée identique, sauf si le Parlement européen ou le Conseil s'oppose à cette prolongation trois mois au plus tard avant la fin de chaque période.

3.  La délégation de pouvoir visée à l’article 9, paragraphe 3, et à l’article 10, paragraphe 5, et à l’article 14, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou par le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle n'affecte pas la validité des actes délégués déjà en vigueur. [Am. 124]

4.  Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

5.  Un acte délégué adopté en vertu de l'article 9, paragraphe 3, et de l'article 10, paragraphe 5, et de l'article 14, paragraphe 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont, tous deux, informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil. [Am. 125]

Article 19

Comité

1.  La Commission est assistée par un comité («comité de la sécurité des réseaux et de l'information»). Ledit comité est un comité au sens du règlement (UE) n° 182/2011.

2.  Lorsqu’il est fait référence au présent paragraphe, l’article 4 du règlement (UE) n° 182/2011 est applicable.

3.  Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) n° 182/2011 est applicable.

Article 20

Examen

La Commission réexamine périodiquement le fonctionnement de la présente directive, en particulier la liste figurant à l'annexe II, et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard trois ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. [Am. 126]

Article 21

Transposition

1.  Les États membres adoptent et publient, au plus tard [un an et demi après l’adoption], les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils communiquent immédiatement à la Commission le texte de ces dispositions.

Ils appliquent ces mesures à partir de [un an et demi après l’adoption].

Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d'une telle référence lors de leur publication. Les modalités de cette référence sont arrêtées par les États membres.

2.  Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine couvert par la présente directive.

Article 22

Entrée en vigueur

La présente directive entre en vigueur le [vingtième] jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Article 23

Destinataires

Les États membres sont destinataires de la présente directive.

Fait à , le

Par le Parlement européen Par le Conseil

Le président Le président

ANNEXE I

Obligations et tâches de l'équipe des équipes d'intervention en cas d'urgence informatique (CERT) [Am. 127]

Les obligations et tâches de la CERT doivent être correctement et clairement définies sur la base d'une politique ou réglementation nationale. Elles comprennent les éléments suivants:

1)  Obligations de la CERT

a)  LaLes CERT doit doivent veiller à la grande disponibilité de ses leurs services de communication en évitant les points uniques de défaillance et en prévoyant plusieurs moyens pour être contactée contactées et contacter autrui à tout moment. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. [Am. 128]

b)  La CERT doit appliquer et gérer des mesures de sécurité pour assurer la confidentialité, l'intégrité, la disponibilité et l'authenticité des informations qu'elle reçoit et qu'elle traite.

c)  Les bureaux de la des CERT et les systèmes informatiques utilisés doivent se trouver sur des sites sécurisés équipés de réseaux et de systèmes informatiques sécurisés. [Am. 129]

d)  Un système de gestion de la qualité est créé pour assurer le suivi des résultats obtenus par la CERT et favoriser un processus d'amélioration permanent. Il est fondé sur des outils de mesure clairement définis au nombre desquels figurent les niveaux de service et les indicateurs clés de performance.

e)  Continuité des opérations:

–  La CERT est dotée d'un système approprié de gestion et de routage des demandes afin de faciliter les transferts.

–  La CERT est dotée des effectifs adéquats afin de pouvoir garantir une disponibilité permanente.

–  La CERT s'appuie sur une infrastructure dont la continuité est garantie. À cette fin, des systèmes redondants et un espace de travail de secours sont mis en place pour que la CERT puisse assurer un accès permanent aux moyens de communication.

2)  Tâches de la CERT

a)  Les tâches de la CERT comprennent au moins les éléments suivants:

–  détection et surveillance des incidents au niveau national, [Am. 130]

–  activation du mécanisme d'alerte rapide, diffusion de messages d'alerte, annonces et diffusion d'information sur les risques et incidents auprès des parties intéressées,

–  intervention en cas d'incident,

–  analyse dynamique des risques et incidents et conscience situationnelle,

–  sensibilisation du public dans son ensemble aux risques liés aux activités en ligne,

–  participation active aux réseaux européens et internationaux de coopération entre CERT, [Am. 131]

–  organisation de campagnes consacrées à la SRI.

b)  La CERT établit des relations de coopération avec le secteur privé.

c)  Pour faciliter la coopération, la CERT promeut l'adoption et l'utilisation de pratiques communes normalisées pour:

–  les procédures de gestion des risques et incidents,

–  les systèmes de classification des incidents, risques et informations,

–  les taxinomies pour les outils de mesure,

–  les formats d'échange des informations sur les risques, les incidents et les conventions de nommage des systèmes.

ANNEXE II

Liste des acteurs du marché

visés à l'article 3, paragraphe 8, point a)

1.  Plateformes de commerce électronique

2.  Passerelles de paiement par internet,

3.  Réseaux sociaux

4.  Moteurs de recherche

5.  Services informatiques en nuage

6.  Magasins d'applications en ligne

visés à l'article 3, paragraphe 8, point b) [Am. 132]

1.  Énergie (marchés de l'électricité et du gaz)

a)  Électricité

–  fournisseurs d'électricité et de gaz

–  gestionnaires de réseaux de distribution de gaz et/ou d'électricité et détaillants livrant aux clients finals

–  gestionnaires de réseaux de transport de gaz naturel, exploitants d'installations de stockage et d'installations GPL

–  gestionnaires de réseaux de transport d'électricité

b)  Pétrole

–  oléoducs et installations de stockage de pétrole

–  exploitants d'installations de production, de raffinage et de traitement, de stockage et de transport de pétrole

c)  Gaz

–  opérateurs sur les marchés du gaz et de l'électricité

–  fournisseurs

–  gestionnaires de réseaux de distribution et détaillants livrant aux clients finals

–  gestionnaires de réseaux de transport de gaz naturel, exploitants d'installations de stockage et d'installations de gaz naturel liquéfié

–  exploitants d'installations de production, de raffinage, et de traitement, de stockage et de transport de gaz naturel

–   opérateurs sur les marchés du gaz [Am. 133]

2.  Transports

–  transporteurs aériens (fret et passagers)

–  transporteurs maritimes (sociétés de transports maritimes et côtiers de passagers et sociétés de transports maritimes et côtiers de marchandises)

–  chemins de fer (gestionnaires d'infrastructures, entreprises intégrées et opérateurs de transports ferroviaires)

–  aéroports

–  ports

–  opérateurs de contrôle de gestion du trafic

–  services logistiques auxiliaires (a) entreposage et stockage, b) manutention du fret et c) autres services auxiliaires des transports.

a)   Transports routiers

i)  opérateurs de contrôle de gestion du trafic

ii)   services logistiques auxiliaires:

–   entreposage et stockage

–  manutention du fret, et

–   autres services auxiliaires des transports.

b)  Transport ferroviaire

i)  chemins de fer (gestionnaires d'infrastructures, entreprises intégrées et opérateurs de transports ferroviaires)

ii)  opérateurs de contrôle de gestion du trafic

iii)  services logistiques auxiliaires:

–  entreposage et stockage,

–  manutention du fret, et

–  autres services auxiliaires des transports.

c)  Transport aérien

i)  transporteurs aériens (fret et passagers)

ii)  aéroports

iii)  opérateurs de contrôle de gestion du trafic

iv)  services logistiques auxiliaires:

–  entreposage,

–  manutention du fret, et

–  autres services auxiliaires des transports.

d)  Transport maritime

i)  transporteurs maritimes (sociétés de transports maritimes, côtiers et par navigation intérieure de passagers et sociétés de transports maritimes, côtiers et par navigation intérieure de marchandises) [Am. 134]

3.  Services bancaires: établissements de crédit conformément à l'article 4, paragraphe 1, de la directive 2006/48/CE du Parlement européen et du Conseil(20).

4.  Infrastructures de marchés financiers: bourses de valeurs marchés réglementés, systèmes multilatéraux de négociation, systèmes organisés de négociation et contrepartie centrale/chambres de compensation. [Am. 135]

5.  Secteur de la santé: établissements de soins de santé (y compris les hôpitaux et les cliniques privées) et autres entités fournissant des soins de santé.

5 bis.  Production d'eau et fourniture d'eau. [Am. 136]

5 ter.  Chaîne d'approvisionnement alimentaire. [Am. 137]

5 quater.  Points d'échange internet. [Am. 138]

(1) JO C 271 du 19.9.2013, p. 133. (2) Position du Parlement européen du 13 mars 2014. (3) Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108 du 24.4.2002, p. 33). (4) Décision 2011/292/UE du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (JO L 141 du 27.5.2011, p. 17). (5) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281 du 23.11.1995, p. 31). (6) Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO L 8 du 12.1.2001, p. 1). (7) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive «vie privée et communications électroniques») (JO L 201 du 31.7.2002, p. 37). (8) Directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d’information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l’information (JO L 204 du 21.7.1998, p. 37). (9) SEC(2012) 72 final. (10) Règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12). (11) Règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution par la Commission (JO L 55 du 28.2.2011, p. 13). (12) Règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43). (13) JO C 32 du 4.2.2014, p. 19. (14) Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75). (15) Décision 2009/371/JAI du Conseil du 6 avril 2009 portant création de l’Office européen de police (Europol) (JO L 121 du 15.5.2009, p. 37). (16) Règlement (UE) n° 611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques (JO L 173 du 26.6.2013, p. 2). (17) Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d'instruments financiers (JO L 45 du 16.2.2005, p. 18). (18) Recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (JO L 124 du 20.5.2003, p. 36). (19) SEC (2012) 72 final. (20) Directive 2006/48/CE du Parlement européen et du Conseil du 14 juin 2006 concernant l'accès à l'activité des établissements de crédit et son exercice (JO L 177 du 30.6.2006, p. 1).