Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 30 Notification volontaire d’informations pertinentes
Summary What does Article 30 of the NIS 2 directive say?
This article sits alongside the mandatory reporting framework established under Article 23, creating a parallel voluntary notification channel.
It opens up the ability for both in-scope and out-of-scope entities to report incidents, cyber threats, and near misses to CSIRTs or competent authorities on a voluntary basis.
Importantly, the article includes a protection for those who choose to report voluntarily, ensuring they do not take on any additional obligations simply by virtue of having reported.
Important points:
- Essential and important entities, as well as any other entities regardless of whether they fall within the scope of this Directive, can voluntarily notify CSIRTs or competent authorities of incidents, cyber threats, and near misses.
- Member States may prioritise the processing of mandatory notifications over voluntary ones.
- Voluntary reporting shall not result in any additional obligations being imposed on the notifying entity that would not have applied had it not submitted the notification.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les États membres veillent à ce que, outre l’obligation de notification prévue à l’article 23, des notifications puissent être transmises à titre volontaire aux CSIRT ou, s’il y a lieu, aux autorités compétentes par:
les entités essentielles et importantes en ce qui concerne les incidents, les cybermenaces et les incidents évités;
les entités autres que celles visées au point a), indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, en ce qui concerne les incidents importants, les cybermenaces ou les incidents évités.
Les États membres traitent les notifications visées au paragraphe 1 du présent article conformément à la procédure énoncée à l’article 23. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires.
Lorsque cela est nécessaire, les CSIRT et, le cas échéant, les autorités compétentes fournissent aux points de contact uniques les informations relatives aux notifications reçues en vertu du présent article, tout en garantissant la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à l’entité ayant effectué la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis la notification.
Relevant recitals
Considérant 105 Voluntary reporting of cyber threats
Une approche proactive à l’égard des cybermenaces est un élément essentiel de la gestion des risques en matière de cybersécurité, qui devrait permettre aux autorités compétentes d’empêcher efficacement que les cybermenaces n’aboutissent à des incidents susceptibles de causer un dommage matériel, corporel ou moral considérable. À cette fin, la notification des cybermenaces revêt une importance capitale. Les entités sont dès lors encouragées à notifier les cybermenaces à titre volontaire.
Considérant 119 Obstacles to information sharing
Face à la complexité et à la sophistication croissantes des cybermenaces, l’efficacité des mesures de détection et de prévention de ces menaces dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, divers facteurs semblent avoir entravé ce partage de renseignements, en particulier l’incertitude quant à la compatibilité avec les règles en matière de concurrence et de responsabilité.
Considérant 120 Encouragement of information sharing
Les entités devraient être encouragées et aidées par les États membres à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue d’améliorer leurs capacités à prévenir et détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact. Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données.
Considérant 139 Implementing acts on the Cooperation Group, measures and reporting
Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques en matière de cybersécurité, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents, de cybermenaces et d’incidents évités et des communications relatives aux cybermenaces importantes, ainsi que les cas dans lesquels un incident doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil(23).
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
risque
(En. risk)
Definition
cybersécurité
(En. cybersecurity)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
incident
Definition
entité
(En. entity)
Definition
cybermenace
(En. cyber threat)
Footnote 23