Les règles existantes en matière de sécurité des réseaux et des systèmes d'information (directive SRI) ont été le premier instrument législatif de l'UE en matière de cybersécurité et ont ouvert la voie, dans de nombreux États membres, à un changement profond des mentalités et des approches institutionnelle et réglementaire concernant la cybersécurité. Malgré leurs accomplissements notables et leur incidence positive, ces règles ont dû être mises à jour en raison du degré croissant de numérisation et d'interconnexion de notre société et de l'augmentation des actes de cybermalveillance à l'échelle mondiale.
Pour faire face à l'exposition croissante de l'Europe aux cybermenaces, la directive SRI 2 couvre, par rapport à la directive actuellement en vigueur, des entités de taille moyenne et de grande taille d'un plus grand nombre de secteurs cruciaux pour l'économie et la société, notamment les fournisseurs de services de communications électroniques accessibles au public, les services numériques, le traitement des eaux usées et la gestion des déchets, la fabrication de produits critiques, les services postaux et de courrier et l'administration publique, aux niveaux central et régional. Elle couvre aussi plus largement le secteur des soins de santé (son champ d'application s'étendant, par exemple, aux fabricants de dispositifs médicaux), compte tenu de l'aggravation des menaces en matière de sécurité pendant la pandémie de COVID-19. Les nouvelles règles, dont le champ d'application est plus large que celui des règles existantes, contribueront, en obligeant effectivement un plus grand nombre d'entités et de secteurs à prendre des mesures de gestion des risques en matière de cybersécurité, à renforcer la cybersécurité en Europe à moyen et à long terme.
La directive SRI 2 renforce également les exigences en matière de cybersécurité imposées aux entreprises, traite de la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs et introduit le concept de responsabilisation des dirigeants en cas de non-respect des obligations en matière de cybersécurité. Elle rationalise les obligations de signalement, introduit des mesures de surveillance plus rigoureuses pour les autorités nationales, ainsi que des exigences d'exécution plus strictes, et vise à harmoniser les régimes de sanction dans tous les États membres. La directive SRI 2 contribuera à accroître le partage d'informations et la coopération en matière de gestion des cybercrises tant au niveau national qu'au niveau de l'UE.
Certains membres du collège se sont exprimés sur le sujet :
La vice-présidente exécutive pour une Europe adaptée à l'ère du numérique, Mme Margrethe Vestager, a déclaré à ce sujet : «Nous avons travaillé sans relâche à la transformation numérique de notre société. Au cours des derniers mois, nous avons mis en place un certain nombre d'éléments fondamentaux, tels que la législation sur les marchés numériques et la législation sur les services numériques. Et aujourd'hui, les États membres et le Parlement européen sont parvenus à un accord sur la directive SRI 2. Il s'agit d'une nouvelle avancée importante de notre stratégie numérique européenne, qui garantira la protection des citoyens et des entreprises et renforcera leur confiance dans des services essentiels.»
Le vice-président chargé de la promotion de notre mode de vie européen, M. Margaritis Schinas, a ajouté : «La cybersécurité a toujours été un élément essentiel dans la protection de notre économie et de notre société contre les cybermenaces; elle devient indispensable à mesure que nous progressons dans la transition numérique. Compte tenu du contexte géopolitique actuel, il est encore plus urgent que l'UE veille à ce que son cadre juridique soit adapté à l'objectif fixé. En adoptant ces nouvelles règles renforcées, nous respectons notre engagement d'améliorer nos normes de cybersécurité dans l'UE. Aujourd'hui, l'UE montre qu'elle est clairement déterminée à mettre l'accent sur la préparation et la résilience pour déjouer les cybermenaces, qui ciblent nos économies, nos démocraties et la paix.»
Le commissaire au marché intérieur, M. Thierry Breton, a déclaré pour sa part: «Les cybermenaces sont devenues plus audacieuses et plus complexes. Il était impératif d'adapter notre cadre de sécurité aux nouvelles réalités et de garantir la protection de nos citoyens et de nos infrastructures. Compte tenu de la situation actuelle en matière de cybersécurité, la coopération et le partage rapide d'informations revêtent une importance capitale. L'accord intervenu sur la directive SRI 2 nous permet de moderniser les règles et de sécuriser davantage les services critiques pour la société et l'économie. Il s'agit donc d'une avancée majeure. Nous compléterons cette approche par la future législation sur la cyber-résilience, qui permettra de renforcer également la sécurité d'utilisation des produits numériques.»»
Prochaines étapes
L'accord politique auquel sont parvenus le Parlement européen et le Conseil doit à présent être approuvé formellement par les deux colégislateurs. La directive entrera en vigueur 20 jours après sa publication au Journal officiel, et les États membres devront ensuite en transposer les nouvelles dispositions dans leur droit national. Les États membres disposeront alors de 21 mois pour transposer la directive dans leur droit national.
Contexte
La cybersécurité est l'une des grandes priorités de la Commission et une pierre angulaire de l'Europe numérique et connectée.
Entrée en vigueur en 2016, la directive SRI, qui est le premier instrument législatif de l'UE en matière de cybersécurité, a permis d'atteindre un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Dans le cadre de son principal objectif politique intitulé «Une Europe adaptée à l'ère numérique», la Commission a proposé la révision de cette directive en décembre 2020. Le règlement de l'UE sur la cybersécurité, en vigueur depuis 2019, a doté l'Europe d'un cadre de certification de cybersécurité des produits, services et processus et a renforcé le mandat de l'Agence de l'UE pour la cybersécurité (ENISA).
Pour en savoir plus
Fiche d'information sur la nouvelle stratégie de cybersécurité de l'UE
Détails
- Date de publication
- 13 mai 2022
- Auteur
- Représentation en France