CHAPITRE IV - MESURES DE GESTION DES RISQUES EN MATIÈRE DE CYBERSÉCURITÉ ET OBLIGATIONS D’INFORMATION

Article 20 - Gouvernance

Les organes de direction des entités essentielles et importantes doivent approuver et superviser les mesures de gestion des risques en matière de cybersécurité.

Article 21 - Mesures de gestion des risques en matière de cybersécurité

Les entités doivent appliquer des mesures techniques et organisationnelles pour gérer les risques en matière de cybersécurité.

Article 22 - Évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques

Le groupe de coopération peut procéder à des évaluations coordonnées des risques pour la sécurité des chaînes d'approvisionnement critiques.

Article 23 - Obligations d’information

Les entités doivent notifier les incidents importants aux autorités compétentes dans un délai de 24 heures. Les incidents incluent les perturbations graves de services ou des atteintes à la sécurité des systèmes.

Article 24 - Recours aux schémas européens de certification de cybersécurité

Les États membres peuvent prescrire l'utilisation de produits, services et processus TIC certifiés dans le cadre de schémas européens de certification de cybersécurité.

Article 25 - Normalisation

Les États membres doivent encourager l'utilisation de normes et de spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d'information.