Source: OJ L, 2024/2690, 18.10.2024Current language: FR
- High common level of cybersecurity for entities
Implementing acts
- Cybersecurity measures and significant incidents for relevant entities
Article 3 Incidents importants
Summary What does Article 3 of the Cybersecurity measures and significant incidents for relevant entities say?
This is a foundational article that defines when an incident crosses the threshold of being "significant" — a classification that triggers the reporting obligations under Article 23(3) of Directive (EU) 2022/2555.
Rather than applying a single test, it sets out a broad set of cross-cutting criteria applicable to all relevant entities, covering financial impact, harm to persons, trade secret exfiltration, and malicious unauthorised access.
Crucially, it also gates through to Articles 4 and 5–14, meaning it acts as the central hub connecting to both the aggregation rule for repeated incidents and the sector-specific significance thresholds that follow.
Important points:
- Assess whether an incident is significant by checking it against any one of the listed criteria — only one needs to be met for the threshold to be triggered.
- Scheduled service interruptions and planned maintenance consequences are explicitly excluded from being classified as significant incidents.
- When calculating impacted users for the sector-specific thresholds in Articles 7 and 9–14, include both direct contracted customers and the natural and legal persons associated with business customers using the service.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Un incident est considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555 eu égard aux entités concernées lorsqu’un ou plusieurs des critères suivants sont remplis:
l’incident a causé ou est susceptible de causer à l’entité concernée une perte financière directe supérieure à 500 000 EUR ou à 5 % du chiffre d’affaires annuel total de l’entité concernée au cours de l’exercice complet précédent, le montant le plus faible étant retenu;
l’incident a causé ou est susceptible de provoquer l’exfiltration de secrets d’affaires de l’entité concernée, au sens de l’article 2, point 1), de la directive (UE) 2016/943;
l’incident a causé ou est susceptible de causer la mort d’une personne physique;
l’incident a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique;
il y a eu un accès non autorisé effectif au réseau et aux systèmes d’information d’une entité concernée, qui est suspecté d’être malveillant et est susceptible de causer une perturbation opérationnelle grave;
l’incident répond aux critères énoncés à l’article 4;
l’incident répond à un ou plusieurs des critères énoncés aux articles 5 à 14.
Les interruptions de service programmées et les conséquences prévues des opérations de maintenance programmées effectuées par les entités concernées ou pour leur compte ne sont pas considérées comme des incidents importants.
Lorsqu’elles calculent le nombre d’utilisateurs touchés par un incident aux fins de l’article 7 et des articles 9 à 14, les entités concernées tiennent compte de l’ensemble des éléments suivants:
le nombre de clients ayant conclu, avec l’entité concernée, un contrat qui leur donne accès au réseau et aux systèmes d’information de l’entité concernée ou aux services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire;
le nombre de personnes physiques et morales associées à des clients professionnels qui utilisent le réseau et les systèmes d’information de l’entité concernée ou les services proposés par ce réseau et ces systèmes d’information ou accessibles par leur intermédiaire.
Relevant recitals
Considérant 30 Criteria for significant incidents
Le présent règlement doit préciser plus en détail les cas dans lesquels un incident devrait être considéré comme important au sens de l’article 23, paragraphe 3, de la directive (UE) 2022/2555. Les critères devraient être tels que les entités concernées soient en mesure d’évaluer si un incident est important afin de le notifier conformément à la directive (UE) 2022/2555. En outre, les critères énoncés dans le présent règlement devraient être considérés comme exhaustifs, sans préjudice de l’article 5 de la directive (UE) 2022/2555. Le présent règlement précise les cas dans lesquels un incident devrait être considéré comme important en définissant des cas horizontaux ainsi que des cas spécifiques à l’entité.
Considérant 31 Notification of significant incidents
L’article 23, paragraphe 4, de la directive (UE) 2022/2555 prévoit que les entités concernées notifient les incidents importants dans les délais fixés audit article. Ces délais de notification courent à partir du moment où l’entité a connaissance de tels incidents importants. Par conséquent, l’entité concernée est tenue de notifier les incidents qui, selon son évaluation initiale, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Par conséquent, lorsqu’une entité concernée a détecté un événement suspect, ou après qu’un incident potentiel a été porté à son attention par un tiers, tel qu’un particulier, un client, une entité, une autorité, un organisme de médias ou une autre source, l’entité concernée devrait évaluer en temps opportun l’événement suspect afin de déterminer s’il constitue un incident et, dans l’affirmative, en déterminer la nature et la gravité. Il convient donc de considérer que l’entité concernée a «eu connaissance» de l’incident important lorsque, après avoir procédé à cette évaluation initiale, elle est raisonnablement certaine qu’un incident important s’est produit.
Considérant 32 Identifying significant incidents
Afin d’établir si un incident est important, le cas échéant, les entités concernées devraient compter le nombre d’utilisateurs touchés par l’incident, en tenant compte des clients professionnels et des clients finaux avec lesquels elles entretiennent une relation contractuelle ainsi que des personnes physiques et morales qui sont associées à des clients professionnels. Lorsqu’une entité concernée n’est pas en mesure de calculer le nombre d’utilisateurs touchés, il y a lieu de prendre en considération, aux fins du calcul du nombre total d’utilisateurs touchés par l’incident, l’estimation du nombre maximal possible d’utilisateurs touchés effectuée par cette entité. L’importance d’un incident impliquant un service de confiance devrait être déterminée non seulement par le nombre d’utilisateurs, mais aussi par le nombre de parties utilisatrices, celles-ci pouvant être affectées au même titre par un incident important impliquant un service de confiance en ce qui concerne une perturbation opérationnelle ou un préjudice matériel ou moral. Par conséquent, les prestataires de services de confiance devraient, le cas échéant, également tenir compte du nombre de parties utilisatrices lorsqu’ils établissent si un incident est important. À cette fin, il convient d’entendre par parties utilisatrices des personnes physiques ou morales qui utilisent un service de confiance.
Considérant 33 Scheduled downtime
Les opérations de maintenance entraînant une disponibilité limitée ou une indisponibilité des services ne devraient pas être considérées comme des incidents importants si la disponibilité limitée ou l’indisponibilité du service survient à la suite d’une opération de maintenance programmée. En outre, l’indisponibilité d’un service en raison d’interruptions telles que des interruptions programmées ou une indisponibilité sur la base d’un accord contractuel prédéterminé ne devrait pas être considérée comme un incident important.
Considérant 34 Duration of incidents
La durée d’un incident ayant des conséquences sur la disponibilité d’un service devrait être mesurée à partir de l’interruption de la fourniture correcte de ce service jusqu’au moment du rétablissement. Lorsqu’une entité concernée n’est pas en mesure de déterminer le moment à partir duquel l’interruption a commencé, la durée de l’incident devrait être mesurée à partir du moment où l’incident a été détecté, ou de celui où l’incident a été enregistré dans les journaux du réseau, du système ou d’autres sources de données, selon l’éventualité qui intervient en premier.
Considérant 35 Complete unavailability
L’indisponibilité totale d’un service devrait être mesurée à partir du moment où le service est totalement indisponible pour les utilisateurs et le moment où les activités ou opérations régulières ont retrouvé le niveau de service fourni avant l’incident. Lorsqu’une entité concernée n’est pas en mesure de déterminer quand l’indisponibilité totale d’un service a commencé, cette indisponibilité devrait être mesurée à partir du moment où elle a été détectée par cette entité.
Considérant 36 Direct financial losses
Afin de déterminer les pertes financières directes résultant d’un incident, les entités concernées devraient tenir compte de toutes les pertes financières qu’elles ont subies à la suite de l’incident, telles que les coûts du remplacement ou du déplacement de logiciels, de matériel ou d’infrastructures, les frais de personnel, y compris les coûts liés au remplacement ou au déménagement du personnel, au recrutement de personnel supplémentaire, à la rémunération des heures supplémentaires et à la récupération des compétences perdues ou altérées, les frais dus au non-respect d’obligations contractuelles, les coûts de dédommagement et d’indemnisation des clients, les pertes dues aux recettes non perçues, les coûts liés à la communication interne et externe, les frais de conseil, y compris les coûts liés au conseil juridique, aux services d’investigation numérique et aux services de remédiation, et les autres coûts liés à l’incident. Toutefois, les amendes administratives, ainsi que les coûts qui sont nécessaires à la gestion quotidienne de l’activité, ne devraient pas être considérées comme des pertes financières résultant d’un incident, y compris les coûts de maintenance générale des infrastructures, des équipements, du matériel et des logiciels, la mise à jour des compétences du personnel, les coûts internes ou externes pour améliorer l’activité après l’incident, y compris les mises à niveau, les améliorations et les initiatives d’évaluation des risques, ainsi que les primes d’assurance. Les entités concernées devraient calculer le montant des pertes financières sur la base des données disponibles et avoir recours à une estimation lorsqu’il est impossible de déterminer le montant réel de ces pertes.
Considérant 37 Effects on health of natural persons
Les entités concernées devraient également être tenues de signaler les incidents qui ont causé ou sont susceptibles de causer la mort de personnes physiques ou des dommages considérables à la santé de ces dernières, étant donné que ces incidents constituent des cas particulièrement graves de dommages matériels ou moraux considérables. Par exemple, un incident touchant une entité concernée pourrait entraîner l’indisponibilité de services de soins de santé ou d’urgence, ou une perte de confidentialité ou d’intégrité de données ayant une incidence sur la santé des personnes physiques. Pour déterminer si un incident a causé ou est susceptible de causer des dommages considérables à la santé d’une personne physique, les entités concernées devraient examiner si l’incident a causé ou est susceptible de causer des blessures graves et des problèmes de santé. Les entités concernées ne devraient pas être tenues de recueillir, à cette fin, des informations supplémentaires auxquelles elles n’ont pas accès.
Considérant 38 Limited availability
Il y a lieu de considérer que la disponibilité est limitée en particulier lorsqu’un service fourni par une entité concernée est considérablement plus lent que la moyenne, ou lorsque toutes les fonctionnalités d’un service ne sont pas disponibles. Dans la mesure du possible, il convient d’utiliser, pour évaluer les retards dans le délai de réponse, des critères objectifs fondés sur les délais moyens de réponse des services fournis par les entités concernées. Une fonctionnalité d’un service peut être, par exemple, une fonctionnalité de discussion en ligne ou une fonctionnalité de recherche d’images.
Considérant 39 Malicious access
Un accès non autorisé effectif et suspecté d’être malveillant aux réseaux et systèmes d’information d’une entité concernée devrait être considéré comme un incident important lorsque cet accès est susceptible de causer une perturbation opérationnelle grave. Par exemple, lorsqu’un acteur de cybermenace se pré-positionne dans le réseau et les systèmes d’information d’une entité concernée en vue de perturber les services à l’avenir, l’incident devrait être considéré comme important.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
prestataire de services de confiance
(En. trust service provider)
Definition
service de confiance
(En. trust service)
Definition
risque
(En. risk)
Definition
incident
Definition
entité
(En. entity)
Definition
cybermenace
(En. cyber threat)