Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 29 Accords de partage d’informations en matière de cybersécurité
Summary What does Article 29 of the NIS 2 directive say?
This article establishes the framework for voluntary cybersecurity information sharing among entities covered by the Directive, and notably also opens the door to entities outside its scope.
It sits alongside the mandatory reporting obligations found in Article 23, but operates on a purely voluntary basis.
The article sets out the types of information that can be shared — such as cyber threat intelligence, vulnerabilities, indicators of compromise, and adversarial tactics — and conditions this sharing on it serving a clear cybersecurity purpose, such as preventing or recovering from incidents or enhancing collective defences.
Member States are tasked with facilitating the practical arrangements that make this sharing possible, including through dedicated ICT platforms and automation tools, while ENISA is called upon to support the process by providing guidance and best practices.
Important points:
- Participate in voluntary cybersecurity information-sharing arrangements and notify competent authorities when joining or withdrawing from them.
- Member States are required to facilitate the establishment of information-sharing arrangements, and may impose conditions on information made available by competent authorities or CSIRTs within those arrangements.
- ENISA is required to support the establishment of these arrangements by exchanging best practices and providing guidance.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les États membres veillent à ce que les entités relevant du champ d’application de la présente directive et, le cas échéant, les autres entités concernées ne relevant pas du champ d’application de la présente directive puissent échanger entre elles, à titre volontaire, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations:
vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact;
renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.
Les États membres veillent à ce que l’échange d’informations ait lieu au sein de communautés d’entités essentielles et importantes ainsi que, le cas échéant, de leurs fournisseurs ou prestataires de services. Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.
Les États membres facilitent la mise en place des accords de partage d’informations en matière de cybersécurité visés au paragraphe 2 du présent article. Ces accords peuvent préciser les éléments opérationnels, y compris l’utilisation de plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions des accords de partage d’informations. Lorsqu’ils précisent la participation des autorités publiques à ces accords, les États membres peuvent imposer des conditions en ce qui concerne les informations mises à disposition par les autorités compétentes ou les CSIRT. Les États membres offrent un soutien à l’application de ces accords conformément à leurs politiques visées à l’article 7, paragraphe 2, point h).
Les États membres veillent à ce que les entités essentielles et importantes notifient aux autorités compétentes leur participation aux accords de partage d’informations en matière de cybersécurité visés au paragraphe 2, lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords, une fois que le retrait prend effet.
L’ENISA fournit une assistance pour la mise en place des accords de partage d’informations en matière de cybersécurité visés au paragraphe 2 par l’échange de bonnes pratiques et l’apport d’orientations.
Relevant recitals
Considérant 119 Obstacles to information sharing
Face à la complexité et à la sophistication croissantes des cybermenaces, l’efficacité des mesures de détection et de prévention de ces menaces dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l’incertitude quant à la compatibilité avec les règles en matière de concurrence et de responsabilité.
Considérant 120 Encouragement of information sharing
Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à prévenir et détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
cybersécurité
(En. cybersecurity)
Definition
incident
Definition
cybermenace
(En. cyber threat)