Source: OJ L 333, 27.12.2022, p. 80–152Current language: FR
- High common level of cybersecurity for entities
Basic legislative acts
- NIS 2 directive
Article 9 Cadres nationaux de gestion des crises cyber
Summary What does Article 9 of the NIS 2 directive say?
This article deals with how Member States must organise themselves to handle large-scale cybersecurity incidents and crises at a national level.
It requires each Member State to designate or establish dedicated cyber crisis management authorities, ensure they are adequately resourced, and align their operation with existing national crisis management frameworks.
The article also mandates that each Member State produce a formal national response plan covering preparedness, roles, procedures, and coordination at Union level — effectively building the national infrastructure needed to feed into the broader EU-level crisis coordination mechanisms, such as EU-CyCLONe, which is established under Article 16.
Important points:
- Member States are required to designate at least one cyber crisis management authority and, where multiple are designated, must clearly identify which one serves as the lead coordinator.
- Adopt a national large-scale cybersecurity incident and crisis response plan that covers preparedness objectives, authority responsibilities, crisis procedures, training activities, and arrangements for Union-level coordination.
- Member States must notify the Commission of their designated authority within three months of its establishment, and submit relevant details of their response plans to both the Commission and EU-CyCLONe within three months of those plans being adopted.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Chaque État membre désigne ou établit une ou plusieurs autorités compétentes qui sont chargées de la gestion des incidents de cybersécurité majeurs et des crises (ci-après dénommées «autorités de gestion des crises cyber»). Les États membres veillent à ce que ces autorités disposent de ressources suffisantes pour s’acquitter, de manière effective et efficace, des tâches qui leur sont dévolues. Les États membres veillent à la cohérence avec les cadres nationaux existants pour la gestion générale des crises.
Lorsqu’un État membre désigne ou établit plus d’une autorité de gestion des crises cyber conformément au paragraphe 1, il indique clairement laquelle de ces autorités fera office de coordinateur pour la gestion des incidents de cybersécurité majeurs et des crises.
Chaque État membre recense les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise aux fins de la présente directive.
Chaque État membre adopte un plan national de réaction aux crises et incidents de cybersécurité majeurs dans lequel sont définis les objectifs et les modalités de gestion des incidents de cybersécurité majeurs et des crises. Ce plan établit notamment les éléments suivants:
les objectifs des mesures et activités nationales de préparation;
les tâches et responsabilités des autorités de gestion des crises cyber;
les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations;
les mesures de préparation nationales, y compris des exercices et des activités de formation;
les parties prenantes et les infrastructures des secteurs public et privé concernées;
les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de l’État membre à la gestion coordonnée des incidents de cybersécurité majeurs et des crises au niveau de l’Union.
Dans un délai de trois mois à compter de la désignation ou de la mise en place de l’autorité de gestion des crises cyber visée au paragraphe 1, chaque État membre notifie à la Commission l’identité de son autorité et toute modification ultérieure dans ce cadre. Les États membres soumettent à la Commission et au réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) les informations pertinentes relatives aux prescriptions du paragraphe 4 concernant leurs plans nationaux d’intervention en cas d’incident de cybersécurité majeurs et de crise dans un délai de trois mois suivant l’adoption de ces plans. Les États membres peuvent exclure certaines informations si et dans la mesure où cette exclusion est nécessaire pour préserver la sécurité nationale.
Relevant recitals
Considérant 68 Crisis management
Les États membres devraient contribuer à la création du cadre de l’Union européenne pour la réaction aux crises de cybersécurité présenté dans la recommandation (UE) 2017/1584 de la Commission(15) via les réseaux de coopération existants, en particulier le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe), le réseau des CSIRT et le groupe de coopération. EU-CyCLONe et le réseau des CSIRT devraient coopérer sur la base de modalités de procédure qui précisent les conditions de cette coopération et éviter toute duplication des tâches. Le règlement intérieur d’EU-CyCLONe devrait préciser plus avant les modalités selon lesquelles le réseau devrait fonctionner, y compris les missions, les moyens de coopération, les interactions avec les autres acteurs pertinents et les modèles de partage d’informations, ainsi que les moyens de communication. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré de l’Union pour une réaction au niveau politique dans les situations de crise en vertu de la décision d’exécution (UE) 2018/1993 du Conseil(16) (ci-après dénommé «dispositif IPCR»). La Commission devrait avoir recours au processus intersectoriel de premier niveau ARGUS pour la coordination en cas de crise. Si la crise comporte d’importantes implications liées à la politique extérieure ou à la politique de sécurité et de défense commune, le système de réponse aux crises du Service européen pour l’action extérieure devrait être activé.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
réseau et système d’information
(En. network and information system)
- un réseau de communications électroniques au sens de l’article 2, point 1), de la directive (UE) 2018/1972;
- tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques; ou
- les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
Definition
incident de cybersécurité majeur
(En. large-scale cybersecurity incident)
Definition
cybersécurité
(En. cybersecurity)
Definition
incident
Footnote 16
Footnote 15