L’Union européenne s’efforce d’améliorer la résilience aux cybermenaces toujours plus présentes et de garantir la sécurité de la société et de l’économie numérique.
Le Conseil européen a défini des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne, afin d’améliorer davantage les capacités de résilience et de réaction aux incidents tant dans le secteur public que dans le secteur privé, et dans l’UE dans son ensemble.
Une fois adoptée, la nouvelle directive, appelée NIS2, remplacera la directive actuelle sur la sécurité des réseaux et des systèmes d’information (Directive NIS).
La NIS2 devrait établir la base de référence pour les mesures de gestion des risques liés à la cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et les infrastructures numériques.
La directive révisée vise à éliminer les divergences dans les exigences en matière de cybersécurité et la mise en place des mesures de cybersécurité dans les différents États membres. À cette fin, elle établit des normes minimales pour un cadre réglementaire et des mécanismes pour une coopération efficace entre les autorités compétentes de chaque État membre. Elle met également à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et prévoit des recours et des sanctions pour en assurer l’application.
La directive établira officiellement le réseau européen pour la préparation et la gestion des crises cyber, EU-CyCLONe, qui doit soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle.
Alors qu’en vertu de l’ancienne directive NIS, il incombait aux États membres de déterminer quelles entités répondaient aux critères de qualification d’opérateurs de services essentiels, la nouvelle directive NIS2 introduit une règle de limite de taille. Cela signifie que toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application.
Si la position du Conseil maintient cette règle générale, elle comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs pour la détermination des entités couvertes.
Le texte du Conseil précise également que la directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, la police et le système judiciaire. Les parlements et les banques centrales sont également exclus du champ d’application.
Étant donné que les administrations publiques sont souvent la cible de cyberattaques, la NIS2 s’appliquera aux entités de l’administration publique des gouvernements centraux. En outre, les États membres peuvent décider d’appliquer cette directive à ces entités également au niveau régional et local.
Le Conseil a aligné le texte sur la législation sectorielle spécifique, en particulier le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et la directive sur la résilience des entités critiques (CER), afin de fournir une clarté juridique et assurer la cohérence entre la NIS2 et ces lois.
Un mécanisme volontaire d’apprentissage entre pairs augmentera la confiance mutuelle et l’apprentissage des bonnes pratiques et des expériences, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.
Les États membres bénéficieront de deux années après l’entrée en vigueur de la directive pour intégrer ces dispositions à la législation de leur État.
_____
Aquest apunt en català / Esta entrada en español / This post in English