Considerant 28

Considerant 28

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(28)

Le règlement (UE) 2022/2554 du Parlement européen et du Conseil (10) devrait être considéré comme un acte juridique sectoriel de l’Union en lien avec la présente directive en ce qui concerne les entités financières. Les dispositions du règlement (UE) 2022/2554 portant sur les mesures de gestion des risques concernant les technologies de l’information et de la communication (TIC), la gestion des incidents liés aux TIC et notamment la notification des incidents majeurs liés aux TIC, ainsi que sur le test de la résilience opérationnelle numérique, les accords de partage d’informations et les risques liés aux tiers en matière de TIC devraient s’appliquer au lieu de celles prévues par la présente directive. Les États membres ne devraient par conséquent pas appliquer aux entités financières relevant du règlement (UE) 2022/2554 les dispositions de la présente directive concernant la gestion des risques de cybersécurité et les obligations d’information ainsi que la supervision et l’exécution. Dans le même temps, il est important de conserver une relation forte et de maintenir l’échange d’informations avec le secteur financier dans le cadre de la présente directive. À cet effet, le règlement (UE) 2022/2554 permet aux autorités européennes de surveillance (AES) et aux autorités compétentes en vertu dudit règlement de participer aux activités du groupe de coopération, ainsi que d’échanger des informations et de coopérer avec les points de contact uniques ainsi qu’avec les CSIRT et les autorités compétentes en vertu de la présente directive. Les autorités compétentes en vertu du règlement (UE) 2022/2554 devraient également communiquer les détails des incidents majeurs liés aux TIC et, s’il y a lieu, des cybermenaces importantes aux CSIRT, aux autorités compétentes ou aux points de contact uniques en vertu de la présente directive. Cela est réalisable en prévoyant un accès immédiat aux notifications d’incidents et en les transmettant soit directement, soit par l’intermédiaire d’un point d’entrée unique. De plus, les États membres devraient continuer d’inclure le secteur financier dans leur stratégie en matière de cybersécurité et les CSIRT peuvent inclure le secteur financier dans leurs activités.