Commission Delegated Regulation (EU) 2024/1366 of 11 March 2024 supplementing Regulation (EU) 2019/943 of the European Parliament and of the Council by establishing a network code on sector-specific rules for cybersecurity aspects of cross-border electricity flows
Règlement délégué (UE) 2024/1366 de la Commissiondu 11 mars 2024complétant le règlement (UE) 2019/943 du Parlement européen et du Conseil en établissant un code de réseau sur des règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d’électricité(Texte présentant de l’intérêt pour l’EEE)LA COMMISSION EUROPÉENNE,vu le traité sur le fonctionnement de l’Union européenne,vu le règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l’électricitéJO L 158 du 14.6.2019, p. 54., et notamment son article 59, paragraphe 2, point e),considérant ce qui suit:(1)La gestion des risques de cybersécurité est essentielle pour maintenir la sécurité de l’approvisionnement en électricité et garantir un niveau élevé de cybersécurité dans le secteur de l’électricité.(2)La numérisation et la cybersécurité sont décisives pour fournir des services essentiels et revêtent donc une importance stratégique pour les infrastructures énergétiques critiques.(3)La directive (UE) 2022/2555 du Parlement européen et du ConseilDirective (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80). définit des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Le règlement (UE) 2019/941 du Parlement européen et du ConseilRèglement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l’électricité et abrogeant la directive 2005/89/CE (JO L 158 du 14.6.2019, p. 1). complète la directive (UE) 2022/2555 en veillant à ce que les incidents de cybersécurité dans le secteur de l’électricité soient correctement identifiés comme un risque et à ce que les mesures prises pour y remédier soient dûment prises en compte dans les plans de préparation aux risques. Le règlement (UE) 2019/943 complète la directive (UE) 2022/2555 et le règlement (UE) 2019/941 en établissant des règles spécifiques pour le secteur de l’électricité au niveau de l’Union. En outre, le présent règlement délégué complète les dispositions de la directive (UE) 2022/2555 en ce qui concerne le secteur de l’électricité, chaque fois que des flux transfrontaliers d’électricité sont concernés.(4)Dans un contexte de systèmes d’électricité numérisés interconnectés, la prévention et la gestion des crises électriques liées aux cyberattaques ne peuvent être considérées comme constituant une tâche exclusivement nationale. Il convient de développer pleinement le potentiel de mesures plus efficaces et moins coûteuses grâce à la coopération aux niveaux régional et de l’Union. Dès lors, un cadre commun de règles et des procédures mieux coordonnées sont nécessaires pour que les États membres et les autres acteurs soient en mesure de coopérer efficacement par-delà les frontières dans un esprit de transparence, de confiance et de solidarité accrues entre les États membres et les autorités compétentes chargées de l’électricité et de la cybersécurité.(5)La gestion des risques de cybersécurité relevant du champ d’application du présent règlement nécessite un processus structuré comprenant, entre autres, l’identification des risques pour les flux transfrontaliers d’électricité découlant des cyberattaques, les processus opérationnels et périmètres connexes, les contrôles de cybersécurité et les mécanismes de vérification correspondants. Si le calendrier de l’ensemble du processus est réparti sur plusieurs années, chaque étape de ce processus devrait contribuer à un niveau commun élevé de cybersécurité dans le secteur et à l’atténuation des risques de cybersécurité. Tous les participants au processus devraient faire tout leur possible pour élaborer et convenir des méthodes dès que possible, sans retard et, en tout état de cause, au plus tard dans les délais fixés dans le présent règlement.(6)Les évaluations des risques de cybersécurité au niveau de l’Union, des États membres, des régions et des entités prévues par le présent règlement peuvent être limitées à celles résultant de cyberattaques telles que définies dans le règlement (UE) 2022/2554 du Parlement européen et du ConseilRèglement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1)., en excluant donc, par exemple, les attaques physiques, les catastrophes naturelles et les indisponibilités dues à la perte d’installations ou de ressources humaines. Les risques régionaux et à l’échelle de l’Union liés aux attaques physiques ou aux catastrophes naturelles dans le domaine de l’électricité sont déjà couverts par d’autres actes législatifs de l’Union, notamment l’article 5 du règlement (UE) 2019/941, ou le règlement (UE) 2017/1485 de la CommissionRèglement (UE) 2017/1485 de la Commission du 2 août 2017 établissant une ligne directrice sur la gestion du réseau de transport de l’électricité (JO L 220 du 25.8.2017, p. 1). établissant une ligne directrice sur la gestion du réseau de transport de l’électricité. De même, la directive (UE) 2022/2557 du Parlement européen et du ConseilDirective (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (JO L 333 du 27.12.2022, p. 164). sur la résilience des entités critiques vise à réduire les vulnérabilités et à renforcer la résilience physique des entités critiques et couvre tous les risques naturels et d’origine humaine pertinents susceptibles d’affecter la fourniture de services essentiels, y compris les accidents, les catastrophes naturelles, les urgences de santé publique telles que les pandémies, les menaces hybrides ou d’autres menaces antagonistes, y compris les infractions terroristes, l’infiltration criminelle et le sabotage.(7)La notion d’"entités à fort impact ou à impact critique" figurant dans le présent règlement est fondamentale pour définir le champ d’application des entités qui seront soumises aux obligations décrites dans le présent règlement. L’approche fondée sur les risques décrite dans les différentes dispositions vise à recenser les processus, les ressources d’appui et les entités qui les exploitent qui ont un impact sur les flux transfrontaliers d’électricité. En fonction du degré d’impact d’éventuelles cyberattaques sur leurs opérations de flux transfrontaliers d’électricité, ces entités peuvent être considérées comme "à fort impact" ou "à impact critique". L’article 3 de la directive (UE) 2022/2555 définit les notions d’entités essentielles et importantes ainsi que les critères permettant d’identifier les entités appartenant à ces catégories. Bon nombre d’entre elles seront considérées et identifiées simultanément comme "essentielles" au sens de l’article 3 de la directive (UE) 2022/2555 et comme à fort impact ou à impact critique conformément à l’article 24 du présent règlement, mais les critères établis dans le présent règlement se réfèrent uniquement à leur rôle et à leur impact dans les processus en matière d’électricité ayant une incidence sur les flux transfrontaliers, sans tenir compte des critères définis à l’article 3 de la directive (UE) 2022/2555.(8)Les entités relevant du champ d’application du présent règlement, considérées à fort impact ou à impact critique conformément à l’article 24 du présent règlement et soumises aux obligations qui y sont énoncées, sont principalement celles qui ont un impact direct sur les flux transfrontaliers d’électricité dans l’Union.(9)Le présent règlement utilise les mécanismes et instruments existants, déjà établis dans d’autres législations, afin de garantir l’efficacité et d’éviter les doubles emplois dans la réalisation des objectifs.(10)Lorsqu’ils appliquent le présent règlement, les États membres, les autorités compétentes et les gestionnaires de réseau devraient tenir compte des normes et spécifications techniques européennes convenues des organisations européennes de normalisation et agir conformément à la législation de l’Union relative à la mise sur le marché ou à la mise en service de produits couverts par cette législation de l’Union.(11)En vue d’atténuer les risques de cybersécurité, il est nécessaire d’établir un corpus réglementaire détaillé régissant les actions et la coopération entre les parties prenantes concernées, dont les activités concernent les aspects liés à la cybersécurité des flux transfrontaliers d’électricité, dans le but de garantir la sécurité du système. Ces règles organisationnelles et techniques devraient garantir que la plupart des incidents liés à l’électricité ayant des causes profondes liées à la cybersécurité soient traités de manière efficace au niveau opérationnel. Il est nécessaire de préciser ce que les États membres devraient faire pour prévenir de telles crises et les mesures qu’ils peuvent prendre dans l’hypothèse où les règles d’exploitation du système ne seraient plus suffisantes. Dès lors, il y a lieu d’établir un cadre commun de règles sur la manière de prévenir, de préparer et de gérer les crises électriques simultanées ayant une cause profonde liée à la cybersécurité. Cela renforce la transparence dans la phase de préparation et au cours d’une crise de l’électricité simultanée et garantit que des mesures sont prises de manière coordonnée et efficace avec les autorités compétentes en matière de cybersécurité dans les États membres. Les États membres et les entités concernées devraient être tenus de coopérer, au niveau régional et, s’il y a lieu, de manière bilatérale, dans un esprit de solidarité. Cette coopération et ces règles visent à améliorer la préparation aux risques de cybersécurité à moindre coût, également en conformité aux objectifs de la directive (UE) 2022/2555. Il semble en outre nécessaire de renforcer le marché intérieur de l’électricité en renforçant la confiance entre les États membres, en particulier en atténuant le risque de réduction indue des flux transfrontaliers d’électricité, réduisant ainsi le risque d’effets de contagion négatifs sur les États membres voisins.(12)La sécurité d’approvisionnement en électricité implique une coopération efficace entre les États membres, les institutions, organes et organismes de l’Union, et les parties prenantes concernées. Les gestionnaires de réseau de distribution et les gestionnaires de réseau de transport jouent un rôle clé pour garantir un système électrique sûr, fiable et efficace conformément aux articles 31 et 40 de la directive (UE) 2019/944 du Parlement européen et du ConseilDirective (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE (JO L 158 du 14.6.2019, p. 125).. Les diverses autorités de régulation et les autres autorités nationales compétentes jouent également un rôle important pour garantir et surveiller la cybersécurité dans l’approvisionnement en électricité, dans le cadre des missions dont elles sont investies par les directives (UE) 2019/944 et (UE) 2022/2555. Les États membres devraient désigner une entité existante ou nouvelle en tant qu’autorité nationale compétente pour la mise en œuvre du présent règlement, dans le but de garantir la participation transparente et inclusive de tous les acteurs concernés, la préparation efficace et la bonne mise en œuvre dudit règlement, la coopération entre les différentes parties prenantes concernées et les autorités compétentes dans les domaines de l’électricité et de la cybersécurité, ainsi que de faciliter la prévention et l’évaluation ex post des crises électriques ayant des causes profondes liées à la cybersécurité et les échanges d’informations y afférents.(13)Lorsqu’une entité à fort impact ou à impact critique fournit des services dans plus d’un État membre, a son siège ou un autre établissement ou un représentant dans un État membre, mais que son réseau et ses systèmes d’information sont situés dans un ou plusieurs autres États membres, ces États membres devraient encourager leurs autorités compétentes respectives à tout mettre en œuvre pour coopérer et se prêter mutuellement assistance si nécessaire.(14)Les États membres devraient veiller à ce que les autorités compétentes disposent des pouvoirs nécessaires, en ce qui concerne les entités à fort impact et à impact critique, pour promouvoir le respect du présent règlement. Ces pouvoirs devraient permettre aux autorités compétentes d’effectuer des inspections sur place et une surveillance hors site. Cela peut inclure des contrôles aléatoires, la réalisation d’audits réguliers, des audits de sécurité ciblés fondés sur des évaluations des risques ou des informations disponibles liées aux risques et des analyses de sécurité fondées sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, et incluant les demandes d’informations nécessaires pour évaluer les mesures de cybersécurité adoptées par l’entité. Ces informations devraient comprendre des politiques de cybersécurité documentées, des données d’accès, des documents ou toute information nécessaire à l’accomplissement de leurs missions de surveillance, ainsi que des preuves de la mise en œuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.(15)Afin d’éviter les lacunes ou les doubles emplois en ce qui concerne les obligations en matière de gestion des risques de cybersécurité imposées aux entités à fort impact et à impact critique, les autorités nationales au sens de la directive (UE) 2022/2555 et les autorités compétentes au sens du présent règlement devraient coopérer pour la mise en œuvre des mesures de gestion des risques de cybersécurité et la surveillance du respect de ces mesures au niveau national. La conformité d’une entité avec les exigences en matière de gestion des risques de cybersécurité énoncées dans le présent règlement pourrait être considérée par les autorités compétentes au sens de la directive (UE) 2022/2555 comme garantissant le respect des exigences correspondantes énoncées dans ladite directive, ou vice versa.(16)Une approche commune de la prévention et de la gestion simultanées des crises électriques nécessite une compréhension commune entre les États membres de ce qui constitue une crise électrique simultanée et d’à quel moment une cyberattaque en est un facteur important. En particulier, la coordination entre les États membres et les entités concernées devrait être facilitée afin de remédier à une situation dans laquelle le risque potentiel de pénurie significative d’électricité ou d’impossibilité de fournir de l’électricité aux clients est présent ou imminent, et ce en raison d’une cyberattaque.(17)Le considérant 1 du règlement (UE) 2019/881 du Parlement européen et du ConseilRèglement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15). reconnaît le rôle essentiel des réseaux et des systèmes d’information ainsi que des réseaux et services de communications électroniques pour maintenir le fonctionnement de l’économie dans des secteurs clés tels que l’énergie, tandis que le considérant 44 explique que l’Agence de l’Union européenne pour la cybersécurité (ENISA) devrait se concerter avec l’Agence de l’Union européenne pour la coopération des régulateurs de l’énergie (ci-après l’"ACER").(18)Le règlement (UE) 2019/943 attribue des responsabilités spécifiques en matière de cybersécurité aux gestionnaires de réseau de transport (GRT) et aux gestionnaires de réseau de distribution (GRD). Leurs associations européennes, à savoir le réseau européen des GRT pour l’électricité ("REGRT pour l’électricité") et l’entité européenne pour les GRD (ci-après l’"entité des GRD de l’Union"), conformément, respectivement, aux articles 30 et 55 dudit règlement, promeuvent la cybersécurité en coopération avec les autorités compétentes et les entités réglementées.(19)Une approche commune de la prévention et de la gestion des crises électriques simultanées ayant des causes profondes liées à la cybersécurité exige également que toutes les parties prenantes concernées utilisent des méthodes et des définitions harmonisées pour recenser les risques liés à la cybersécurité de l’approvisionnement en électricité. Elles doivent également d’être en mesure de comparer efficacement leurs performances dans ce domaine et celles de leurs voisins. Par conséquent, il est nécessaire d’établir les processus, les rôles et les responsabilités pour élaborer et mettre à jour des méthodes de gestion des risques, des échelles de classification des incidents et des mesures de cybersécurité adaptées aux risques de cybersécurité ayant un impact sur les flux transfrontaliers d’électricité.(20)Les États membres, par l’intermédiaire de l’autorité compétente désignée aux fins du présent règlement, sont chargés d’identifier les entités qui remplissent les critères pour être considérées comme des entités à fort impact ou à impact critique. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques de cybersécurité et les obligations d’information pour toutes les entités concernées, il convient d’établir un ensemble de critères déterminant quelles entités relèvent du champ d’application du présent règlement. Cet ensemble de critères devrait être défini et régulièrement mis à jour dans le cadre du processus d’élaboration et d’adoption des modalités, conditions et méthodes définies dans le présent règlement.(21)Les dispositions du présent règlement devraient être sans préjudice du droit de l’Union prévoyant des règles spécifiques relatives à la certification des produits des technologies de l’information et de la communication (TIC), des services TIC et des processus TIC, et plus particulièrement sans préjudice du règlement (UE) 2019/881 en ce qui concerne le cadre pour l’établissement de schémas européens de certification en matière de cybersécurité. Dans le contexte du présent règlement, les produits TIC devraient également inclure les dispositifs techniques et les logiciels qui permettent une interaction directe avec le réseau électrotechnique, en particulier les systèmes de contrôle industriel pouvant être utilisés pour le transport, la distribution et la production d’énergie, ainsi que pour la collecte et la transmission d’informations connexes. Les dispositions devraient garantir que les objectifs de sécurité pertinents énoncés à l’article 51 du règlement (UE) 2019/881 sont atteints par les produits TIC, services TIC et processus TIC à acquérir.(22)Les récentes cyberattaques montrent que les entités sont de plus en plus la cible d’attaques au niveau de la chaîne d’approvisionnement. Ces attaques sur la chaîne d’approvisionnement ont non seulement un impact sur des entités individuelles relevant du champ d’application, mais peuvent également avoir un effet en cascade sur des attaques de plus grande ampleur contre des entités auxquelles elles sont connectées dans le réseau électrique. Des dispositions et des recommandations visant à contribuer à atténuer les risques de cybersécurité associés aux processus liés à la chaîne d’approvisionnement, notamment les marchés publics, ayant un impact sur les flux transfrontaliers d’électricité ont donc été ajoutées.(23)Étant donné que l’exploitation des vulnérabilités des réseaux et des systèmes d’information peut causer des perturbations de l’approvisionnement en énergie et des dommages importants pour l’économie et les consommateurs, il convient de les recenser rapidement et d’y remédier afin de réduire les risques. Afin de faciliter la mise en œuvre effective du présent règlement, les entités concernées et les autorités compétentes devraient coopérer pour exercer et tester des activités jugées appropriées à cette fin, y compris l’échange d’informations sur les cybermenaces, les cyberattaques, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et procédures, la préparation à la gestion des crises de cybersécurité et d’autres exercices. Étant donné que la technologie évolue constamment et que la numérisation du secteur de l’électricité progresse rapidement, la mise en œuvre des dispositions adoptées ne devrait pas nuire à l’innovation et ne pas constituer un obstacle à l’accès au marché de l’électricité ni à l’utilisation ultérieure de solutions innovantes qui contribuent à l’efficacité et à la durabilité du système électrique.(24)Les informations recueillies en vue du suivi de la mise en œuvre du présent règlement devraient être raisonnablement limitées selon le principe du besoin d’en connaître. Les parties prenantes devraient se voir accorder des délais réalisables et effectifs pour la présentation de ces informations. Il convient d’éviter une double notification.(25)La protection en matière de cybersécurité ne s’arrête pas aux frontières de l’Union. Un système sécurisé nécessite la participation des pays tiers voisins. L’Union et ses États membres devraient s’efforcer d’aider les pays tiers voisins dont les infrastructures électriques sont connectées au réseau européen à appliquer des règles de cybersécurité similaires à celles énoncées dans le présent règlement.(26)Afin d’améliorer rapidement la coordination en matière de sécurité et de tester les futures modalités, conditions et méthodes contraignantes, le REGRT pour l’électricité, l’entité des GRD de l’Union et les autorités compétentes devraient commencer à élaborer des orientations non contraignantes immédiatement après l’entrée en vigueur du présent règlement. Ces orientations serviront de référence pour l’élaboration des modalités, conditions et méthodes futures. Parallèlement, les autorités compétentes devraient recenser les entités susceptibles d’être classées à fort impact ou à impact critique afin qu’elles commencent, sur une base volontaire, à s’acquitter de leurs obligations.(27)Le présent règlement a été élaboré en étroite coopération avec l’ACER, l’ENISA, le REGRT pour l’électricité, l’entité des GRD de l’Union et d’autres parties prenantes, afin d’adopter des règles efficaces, équilibrées et proportionnées de manière transparente et participative.(28)Le présent règlement complète et renforce les mesures de gestion de crise établies dans le cadre de l’Union pour la réaction aux crises de cybersécurité, conformément à la recommandation (UE) 2017/1584 de la CommissionRecommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36).. Une cyberattaque pourrait causer une crise électrique, telle que définie à l’article 2, point 9), du règlement (UE) 2019/941, contribuer à cette crise ou coïncider avec elle, avec un impact sur les flux transfrontaliers d’électricité. Cette crise électrique pourrait entraîner une crise électrique simultanée au sens de l’article 2, point 10), du règlement (UE) 2019/941. Un tel incident pourrait également avoir un impact sur d’autres secteurs dépendant de la sécurité de l’approvisionnement en électricité. Si un tel incident devait déboucher sur un incident de cybersécurité majeur au sens de l’article 16 de la directive (UE) 2022/2555, les dispositions dudit article établissant le réseau européen d’organisations de liaison en cas de crise de cybersécurité ("EU-CyCLONe") devraient s’appliquer. Pour la gestion des crises au niveau de l’Union, les parties concernées devraient s’appuyer sur le dispositif intégré de l’Union pour une réaction au niveau politique dans les situations de crise instauré par la décision d’exécution (UE) 2018/1993 du ConseilDécision d’exécution (UE) 2018/1993 du Conseil du 11 décembre 2018 concernant le dispositif intégré de l’Union européenne pour une réaction au niveau politique dans les situations de crise (JO L 320 du 17.12.2018, p. 28). (ci-après dénommé "dispositif IPCR").(29)Le présent règlement ne porte pas atteinte à la compétence des États membres pour l’adoption des mesures nécessaires en vue de garantir la protection des intérêts essentiels de sa sécurité, d’assurer l’action publique et la sécurité publique et de permettre la détection d’infractions pénales et les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Conformément à l’article 346 du TFUE, aucun État membre n’est tenu de fournir des renseignements dont il considère la divulgation contraire aux intérêts essentiels de sa sécurité.(30)Bien que le présent règlement s’applique, en principe, aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale.(31)Le droit de l’Union en matière de protection des données et en matière de protection de la vie privée devrait s’appliquer à tout traitement de données à caractère personnel au titre du présent règlement. En particulier, le présent règlement est sans préjudice du règlement (UE) 2016/679 du Parlement européen et du ConseilRèglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1)., de la directive 2002/58/CE du Parlement européen et du ConseilDirective 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37). et du règlement (UE) 2018/1725 du Parlement européen et du ConseilRèglement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39).. Le présent règlement ne devrait donc pas porter atteinte, entre autres, aux tâches ni aux compétences des autorités compétentes pour contrôler le respect du droit de l’Union applicable en matière de protection des données et de protection de la vie privée.(32)Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les autorités compétentes qui sont chargées d’exécuter les tâches que leur assigne le présent règlement et qui sont désignées par les États membres devraient pouvoir participer aux réseaux de coopération internationale. Par conséquent, aux fins de l’accomplissement de leurs tâches, les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l’Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l’article 49 du règlement (UE) 2016/679, soient remplies.(33)Le traitement de données à caractère personnel, dans la mesure nécessaire et proportionnée aux fins de garantir la sécurité des actifs, par des entités à fort impact ou à impact critique, pourrait être considéré comme licite au motif qu’il respecte une obligation légale à laquelle le responsable du traitement est soumis, conformément aux exigences de l’article 6, paragraphe 1, point c), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679. Le traitement des données à caractère personnel peut également être nécessaire à des intérêts légitimes poursuivis par des entités à fort impact ou à impact critique, ainsi que par des fournisseurs de technologies et de services de sécurité agissant pour le compte de ces entités, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679, y compris lorsque ce traitement est nécessaire à des accords de partage d’informations en matière de cybersécurité ou à la notification volontaire d’informations pertinentes conformément au présent règlement. Les mesures liées à la prévention, à la détection, à l’identification, à l’endiguement, à l’analyse des cyberattaques et à la réaction à celles-ci, les mesures de sensibilisation à des cybermenaces spécifiques, l’échange d’informations dans le cadre de la correction des vulnérabilités et de la divulgation coordonnée des vulnérabilités, l’échange volontaire d’informations sur ces cyberattaques ainsi que sur les cybermenaces et les vulnérabilités, les indicateurs de compromis, les tactiques, techniques et procédures, les alertes de cybersécurité et les outils de configuration peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques et, lorsqu’ils révèlent des données à caractère personnel, les horodatages. Le traitement des données à caractère personnel par les autorités compétentes, les points de contact uniques et les CSIRT peut constituer une obligation légale ou être considéré comme nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement en vertu de l’article 6, paragraphe 1, point c) ou e), et de l’article 6, paragraphe 3, du règlement (UE) 2016/679, ou à la poursuite d’un intérêt légitime des entités à fort impact ou à impact critique comme visé à l’article 6, paragraphe 1, point f), dudit règlement. En outre, le droit national peut établir des règles permettant aux autorités compétentes, aux points de contact uniques et aux CSIRT, dans la mesure nécessaire et proportionnée aux fins d’assurer la sécurité des réseaux et des systèmes d’information des entités à fort impact ou à impact critique, de traiter des catégories particulières de données à caractère personnel conformément à l’article 9 du règlement (UE) 2016/679, notamment en prévoyant des mesures appropriées et spécifiques pour protéger les droits fondamentaux et les intérêts des personnes physiques, y compris des limitations techniques à la réutilisation de ces données et le recours aux mesures de sécurité et de protection de la vie privée les plus récentes, telles que la pseudonymisation, ou le chiffrement lorsque l’anonymisation peut avoir un effet important sur la finalité poursuivie.(34)Dans de nombreux cas, des données à caractère personnel sont compromises à la suite de cyberattaques. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE.(35)Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu un avis le 17 novembre 2023,A ADOPTÉ LE PRÉSENT RÈGLEMENT: