Le Conseil de l’Union européenne modifie certains aspects de la législation afin d’assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne. L’objectif est d’améliorer davantage les capacités de résilience et de réaction aux incidents du secteur public et privé dans l’EU dans son ensemble.

La nouvelle directive, appelée « NIS2 », remplacera la directive actuelle sur la sécurité des réseaux et des systèmes d’information (directive NIS). Le Conseil lui-même considère que, même avec cette initiative, la cybersécurité restera sans aucun doute un défi majeur au cours des années à venir. La nouvelle législation devrait faire une grande différence pour nos économies et nos citoyens.
La NIS2 établira la base de référence pour les mesures de gestion des risques liés à la cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et les infrastructures numériques.
La directive révisée vise à harmoniser les exigences en matière de cybersécurité et la mise en place des mesures de cybersécurité dans les différents États membres. À cette fin, elle établit des normes minimales pour un cadre réglementaire et des mécanismes pour une coopération efficace entre les autorités compétentes de chaque État membre. Elle met à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité et prévoit des recours et des sanctions pour en assurer l’application.
La directive établira officiellement le réseau européen pour la préparation et la gestion des crises cybernétiques, EU-CYCLONE, qui soutiendra la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle.
Alors qu’en vertu de l’ancienne directive NIS, il incombait aux États membres de déterminer quelles entités répondaient aux critères de qualification d’opérateurs de services essentiels, la nouvelle directive NIS2 introduit une règle générale de limite de taille pour identifier les entités soumises à la réglementation. Cela signifie que toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application.
Si la directive révisée maintient cette règle générale, son texte comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs sur le caractère critique pour la détermination des autres entités couvertes.
Le texte précise également que la directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique et le maintien de l’ordre. Le pouvoir judiciaire, les parlements et les banques centrales sont également exclus du champ d’application de la directive.
La NIS2 s’appliquera aussi aux administrations publiques aux niveaux central et régional. En outre, les États membres peuvent décider d’appliquer cette directive à ces entités également au niveau local.
Par ailleurs, la nouvelle directive est alignée sur la législation sectorielle spécifique, en particulier le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et la directive sur la résilience des entités critiques (CER), afin de fournir une clarté juridique et assurer la cohérence entre la NIS2 et ces lois.
Un mécanisme volontaire d’apprentissage entre pairs augmentera la confiance mutuelle et l’apprentissage des bonnes pratiques et des expériences au sein de l’UE, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.
La nouvelle législation rationalise également les obligations de déclaration afin d’éviter une surdéclaration et une charge excessive pour les entités couvertes.
_____
Aquest apunt en català / Esta entrada en español / This post in English