Source: OJ L, 2024/2690, 18.10.2024Current language: FR
- High common level of cybersecurity for entities
Implementing acts
- Cybersecurity measures and significant incidents for relevant entities
Article 2 Exigences techniques et méthodologiques
Summary What does Article 2 of the Cybersecurity measures and significant incidents for relevant entities say?
This article directs relevant entities to the Annex of the Regulation, where the actual technical and methodological requirements for cybersecurity risk-management measures are detailed.
Beyond simply pointing to the Annex, it establishes that compliance is not one-size-fits-all: entities must calibrate their level of security to their own specific risk profile, taking into account factors such as their size, risk exposure, and the likelihood and severity of incidents.
Importantly, where the Annex uses conditional language such as "where appropriate" or "to the extent feasible," entities that choose not to apply a given requirement must document their reasoning in a comprehensible manner.
Important points:
- Ensure the level of security applied to network and information systems is appropriate to your specific risk profile, accounting for size, exposure, and incident severity.
- The detailed technical and methodological requirements binding on relevant entities are found in the Annex to this Regulation, not within the article itself.
- Where you determine that a conditionally-worded requirement from the Annex does not apply to your organisation, document your reasoning clearly.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Pour les entités concernées, les exigences techniques et méthodologiques liées aux mesures de gestion des risques de cybersécurité visées à l’article 21, paragraphe 2, points a) à j), de la directive (UE) 2022/2555 sont énoncées à l’annexe du présent règlement.
Lorsqu’elles mettent en œuvre et appliquent les exigences techniques et méthodologiques liées aux mesures de gestion des risques de cybersécurité énoncées à l’annexe du présent règlement, les entités concernées assurent un niveau de sécurité des réseaux et des systèmes d’information adapté aux risques présents. À cette fin, lorsqu’elles se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité énoncées à l’annexe du présent règlement, elles tiennent dûment compte de leur degré d’exposition aux risques, de leur taille et de la probabilité de survenance d’incidents, ainsi que de leur gravité, y compris de leur impact sociétal et économique.
Lorsque l’annexe du présent règlement prévoit qu’une exigence technique ou méthodologique liée à une mesure de gestion des risques de cybersécurité est appliquée «s’il est besoin», «s’il y a lieu» ou «dans la mesure du possible», et lorsqu’une entité concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques, elle documente de manière compréhensible son argumentation en ce sens.
Relevant recitals
Considérant 3 Based on standards and technical specifications
Conformément à l’article 21, paragraphe 5, troisième alinéa, de la directive (UE) 2022/2555, les exigences techniques et méthodologiques liées aux mesures de gestion des risques de cybersécurité énoncées à l’annexe du présent règlement sont fondées sur des normes européennes et internationales, telles que ISO/IEC 27001, ISO/IEC 27002 et ETSI EN 319401, et sur des spécifications techniques, telles que CEN/TS 18026: 2024, pertinentes pour la sécurité des réseaux et des systèmes d’information.
Considérant 4 Principle of proportionality
En ce qui concerne la mise en œuvre et l’application des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité énoncées à l’annexe du présent règlement, conformément au principe de proportionnalité, il convient de tenir dûment compte des différences d’exposition au risque des entités concernées, telles que la criticité de l’entité, les risques auxquels elle est exposée, la taille et la structure de l’entité, ainsi que la probabilité de survenance d’incidents et leur gravité, y compris leur impact sociétal et économique, lorsque ces entités se conforment aux exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité énoncées à l’annexe du présent règlement.
Considérant 5 Compensating measures
Conformément au principe de proportionnalité, lorsque les entités concernées ne peuvent pas, en raison de leur taille, mettre en œuvre certaines des exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité, ces entités devraient être en mesure de prendre d’autres mesures compensatoires appropriées pour atteindre l’objectif de ces exigences. Par exemple, lors de la définition des rôles, des responsabilités et des pouvoirs en matière de sécurité des réseaux et des systèmes d’information au sein de l’entité concernée, les micro-entités pourraient éprouver des difficultés à séparer les fonctions incompatibles et les domaines de responsabilité contradictoires. Ces entités devraient être en mesure d’envisager des mesures compensatoires telles qu’une surveillance ciblée exercée par la direction de l’entité ou une intensification du suivi et de la journalisation.
Considérant 6 Applicability of requirements
Certaines exigences techniques et méthodologiques énoncées à l’annexe du présent règlement devraient être appliquées par les entités concernées s’il est besoin, s’il y a lieu ou dans la mesure du possible. Lorsqu’une entité concernée estime qu’il n’est pas besoin, qu’il n’y a pas lieu, ou qu’il est impossible pour elle d’appliquer certaines de ces exigences techniques et méthodologiques prévues à l’annexe du présent règlement, elle documente de manière compréhensible son argumentation en ce sens. Lorsqu’elles exercent une supervision, les autorités nationales compétentes peuvent tenir compte du temps nécessaire aux entités concernées pour mettre en œuvre les exigences techniques et méthodologiques liées aux mesures de gestion des risques en matière de cybersécurité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
norme
(En. standard)
Definition
spécification technique
(En. technical specification)
Definition
risque
(En. risk)
Definition
cybersécurité
(En. cybersecurity)
Definition
incident
Definition
entité
(En. entity)