Notification d’un incident - Règlement eIDAS
Les obligations de notification d’incident :
L’article 10 du règlement eIDAS prévoit qu’en cas d’atteinte ou d’altération partielle d’un schéma d’identification électronique notifié ou de l’authentification, telle qu’elle affecte la fiabilité de l’authentification transfrontalière de ce schéma, l’État membre notifiant suspend ou révoque, immédiatement, cette authentification transfrontalière ou les éléments altérés en cause, et en informe les autres États membres et la Commission européenne.
Lorsqu’il a été remédié à l’atteinte ou à l’altération, l’État membre notifiant rétablit l’authentification transfrontalière et en informe les autres États membres et la Commission dans les meilleurs délais.
S’il n’est pas remédié à l’atteinte ou à l’altération dans un délai de trois mois à compter de la suspension ou de la révocation, l’État membre notifiant notifie le retrait du schéma d’identification électronique aux autres États membres et à la Commission.
Les organismes concernés :
Les organismes concernés par la notification d’incident sont donc les États membres et la Commission européenne dans le cadre de l’identification électronique.
Les obligations de notification d’incident
L’article 19 du règlement eIDAS dispose que les prestataires de services de confiance qualifiés et non qualifiés prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu’ils fournissent. Compte tenu des évolutions technologiques les plus récentes, ces mesures garantissent que le niveau de sécurité est proportionné au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences d’incidents liés à la sécurité et d’informer les parties concernées des effets préjudiciables de tels incidents.
Les prestataires de services de confiance qualifiés et non qualifiés notifient, dans les meilleurs délais et en tout état de cause dans un délai de vingt-quatre heures après en avoir eu connaissance, à l’organe de contrôle et, le cas échéant, à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données, toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.
Lorsque l’atteinte à la sécurité ou la perte d’intégrité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service de confiance a été fourni, le prestataire de services de confiance notifie aussi, dans les meilleurs délais, à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.
Le cas échéant, notamment lorsqu’une atteinte à la sécurité ou une perte d’intégrité concerne deux États membres ou plus, l’organe de contrôle notifié informe les organes de contrôle des autres États membres concernés ainsi que l'ENISA.
L’organe de contrôle notifié informe le public ou exige du prestataire de services de confiance qu’il le fasse, dès lors qu’il constate qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.
Une fois par an, l’organe de contrôle fournit à l'ENISA un résumé des notifications d’atteinte à la sécurité et de perte d’intégrité reçues de prestataires de services de confiance.
De plus, en vertu de l’article 17 du règlement eIDAS, au plus tard le 31 mars de chaque année, chaque organe de contrôle national soumet à la Commission un rapport sur ses principales activités de l’année civile précédente, accompagné d’un résumé des notifications d’atteinte à la sécurité reçues de prestataires de services de confiance.
Les organismes concernés :
Les organismes concernés par la notification d’incident dans le cadre des services de confiance sont donc les organes de contrôle nationaux, les parties subissant des effets préjudiciables, que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données et le cas échéant l’ENISA.
L’adresse de contact et les modalités d’envoi :