Dans le but de garantir que les produits dotés de composants numériques, tels que les caméras domestiques connectées, les réfrigérateurs intelligents, les téléviseurs et les jouets, sont sécurisés avant d’entrer sur le marché, les représentants des États membres (Coreper) sont parvenus à une position commune sur la proposition de législation relative à la cybersécurité horizontale.

L’accord fait progresser l’engagement de l’UE en faveur d’un marché unique numérique sûr. Les différents objets en réseau doivent offrir un niveau de cybersécurité de base lorsqu’ils sont vendus à l’intérieur des frontières de l’Union. Il est également nécessaire de veiller à ce que les entreprises et les consommateurs soient efficacement protégés contre les cybermenaces.

Le projet de règlement introduit des exigences obligatoires en matière de cybersécurité pour la conception, le développement, la production et la mise sur le marché de produits matériels et logiciels afin d’éviter le chevauchement des exigences découlant de la législation des différents États membres de l’UE.

Le règlement proposé s’appliquera à tous les produits connectés directement ou indirectement à un autre appareil ou au réseau. Il existe quelques exceptions pour les produits dont les exigences en matière de cybersécurité sont déjà définies dans les normes européennes existantes, par exemple les dispositifs médicaux, l’aviation ou les véhicules.

La proposition vise à combler les lacunes, à clarifier les liens et à rendre plus cohérente la législation existante en matière de cybersécurité en veillant à ce que les produits comportant des composants numériques, par exemple les produits inclus dans ce que l’on appelle l’internet des objets, soient sécurisés tout au long de la chaîne d’approvisionnement et pendant l’ensemble de leur cycle de vie.

Enfin, le règlement proposé permet également aux consommateurs de tenir compte de la cybersécurité lors de la sélection et de l’utilisation de produits contenant des éléments numériques, en donnant aux utilisateurs la possibilité de choisir en connaissance de cause des produits matériels et logiciels dotés de caractéristiques de cybersécurité appropriées.

La position commune du Conseil européen maintient l’orientation générale de la proposition de la Commission, à savoir :

• Normes visant à rééquilibrer la responsabilité de la conformité, en la faisant davantage porter aux fabricants, qui doivent veiller au respect des exigences de sécurité pour les produits comportant des éléments numériques mis à disposition sur le marché de l’UE, y compris des obligations telles que l’évaluation du risque de cybersécurité, la déclaration de conformité et la coopération avec les autorités compétentes.
• Exigences essentielles en matière de processus de gestion de la vulnérabilité pour les fabricants afin de garantir la cybersécurité des produits numériques, et obligations pour les opérateurs économiques, tels que les importateurs ou les distributeurs, en ce qui concerne ces processus.
• Mesures visant à améliorer la transparence sur la sécurité des produits matériels et logiciels pour les consommateurs et les utilisateurs professionnels, ainsi qu’un cadre de surveillance du marché pour faire respecter ces normes.

Toutefois, le texte du Conseil européen modifie plusieurs parties de la proposition de la Commission, notamment les aspects suivants :

• Le champ d’application de la législation proposée, y compris en ce qui concerne les catégories spécifiques de produits qui doivent satisfaire aux exigences du règlement.
• L’obligation de signaler les vulnérabilités activement exploités ou les incidents aux autorités nationales compétentes (Équipes d’intervention en cas d’urgence informatique – CSIRT) au lieu de l’Agence de l’Union européenne pour la cybersécurité (ENISA), cette dernière ayant mis en place une plateforme unique de signalement.
• Les éléments permettant de déterminer la durée de vie prévue du produit par le fabricant.
• Les mesures de soutien aux petites et microentreprises.
• Une déclaration de conformité simplifiée.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Les villes américaines ont mis en place des « centres de contrôle à distance », appelés RTCC (Real-Time Crime Center) en anglais, qui, selon la police, protègent les droits des innocents, mais les critiques de ce système mettent en garde contre les excès de ce type de surveillance.

En juin dernier, un rapport a été publié sur le site wired.com par le chercheur Zac Larkham, qui expliquait que dans les années 1990, Londres a construit ledit « anneau d’acier » avec un réseau de barrières en béton, de points de contrôle et de milliers de caméras vidéo qui entouraient la ville, en raison des bombardements de l’Armée républicaine irlandaise. L’idée était de contrôler toutes les personnes entrant et sortant de cette zone balisée, appelée « fortification urbanistique ».

Après les attentats du 11 septembre 2001, les urbanistes qui cherchaient à défendre New York contre le terrorisme se sont inspirés de l’expérience londonienne et des fortifications urbanistiques. Ces « centres de fusion », où les forces policières américaines partagent des renseignements au niveau fédéral afin de les analyser et de dresser un tableau plus large de la criminalité, existaient déjà depuis plusieurs années. Mais les responsables ont commencé à se demander ce qui se passerait s’ils pouvaient effectuer des géolocalisations à partir de ces centres de fusion, et si les forces de l’ordre locales pouvaient analyser et recueillir des renseignements sur la situation d’une ville.

En 2005, les autorités ont réagi en créant le premier « centre de contrôle vidéo contre la criminalité en temps réel », un vaste réseau de caméras de vidéosurveillance (CCTV) et de lecteurs automatiques de plaques d’immatriculation (ALPR) reliés à un centre situé au siège de la police de New York, qui a coûté plus de onze millions de dollars. Depuis lors, de Miami à Seattle, les RTCC se sont répandus à travers les États-Unis. Le projet Atlas of Surveillance de l’organisation à but non lucratif de défense des droits numériques Electronic Frontier Foundation (EFF), qui supervise les technologies de surveillance de la police, a dénombré 123 RTCC dans le pays et ce nombre ne cesse de croître.

Chaque RTCC est légèrement différent, mais leur fonction est la même : collecter des données de surveillance dans une ville et les utiliser pour créer une image en direct de la criminalité dans la ville. Les services de police disposent d’un large éventail de technologies allant de la vidéosurveillance, des détecteurs de coups de feu et de la surveillance des réseaux sociaux aux drones et aux caméras corporelles. Dans de nombreux cas, les images collectées par les systèmes de police sont traitées par une technologie de reconnaissance faciale et ces données collectées sont souvent utilisées dans le cadre de la police prédictive.

Toutefois, la plupart des preuves de l’efficacité des RTCC sont anecdotiques et les études sur l’efficacité réelle de ce système font défaut. À Detroit, une étude du National Institute of Justice a révélé que le projet Green Light, pour lequel le service de police de Detroit a installé des caméras dans plus de 550 endroits, notamment des écoles, des églises, des entreprises privées et des centres de santé, a contribué à réduire la violence contre les biens dans certains cas ou zones, mais n’a pas aidé à prévenir les crimes violents et d’autres types de crimes. Toutefois, les services de police affirment que les RTCC sont utiles pour leur travail.

Peu de gens connaissent l’existence des RTCC, et encore moins l’étendue de la surveillance qu’ils impliquent, de sorte que ces centres de contrôle vidéo en constante augmentation reçoivent peu d’attention du public et fonctionnent souvent sans beaucoup de supervision. La manière dont ces technologies de surveillance pourraient affecter le Premier et le Quatrième amendements suscite depuis longtemps des inquiétudes dans divers secteurs.

_____

Aquest apunt en català / Esta entrada en español / This post in English

La présidence du Conseil européen et les négociateurs du Parlement sont parvenus à un accord provisoire sur un règlement visant à assurer un niveau de cybersécurité élevé commun dans les institutions, organismes, bureaux et agences de l’UE.

Les mesures ont été proposées par la Commission en mars 2022 dans le contexte d’une augmentation significative du nombre de cyberattaques complexes ayant touché l’administration publique de l’UE ces dernières années.

Le nouveau règlement créera un cadre commun pour toutes les entités de l’UE dans le domaine de la cybersécurité et améliorera leur résilience et leurs capacités de réponse aux incidents. Les nouvelles normes devraient aider les entités de l’UE à prévenir et à contrer les cyberattaques, devenues de plus en plus fréquentes ces dernières années.

Afin de garantir des normes communes élevées entre les institutions de l’UE, les nouvelles règles les obligent à établir un cadre de gouvernance, de gestion des risques et de contrôle dans le domaine de la cybersécurité.

Toutes les entités de l’Union devront également mettre en œuvre des mesures de cybersécurité pour faire face aux risques identifiés, procéder à des évaluations régulières de la maturité de la cybersécurité et mettre en place un plan de cybersécurité.

Avec le nouveau règlement, le mandat de l’Équipe d’intervention en cas d’urgence informatique pour les institutions, organes et organismes de l’UE (CERT-UE) sera également renforcé et renommé « Service de cybersécurité pour les institutions, organes et organismes de l’Union », tout en conservant l’acronyme actuel.

Le CERT-UE conseillera tous les organismes de l’UE et les aidera à prévenir et à détecter les incidents, ainsi qu’à y répondre. Il servira également de centre d’échange d’informations et de coordination en matière de cybersécurité et de réponse aux incidents. Toutes les entités de l’UE devront partager sans délai avec le CERT-UE les informations non classifiées relatives à un incident.

En outre, le nouveau règlement devrait établir un Conseil interinstitutionnel de la cybersécurité chargé de promouvoir et de contrôler sa mise en œuvre par les différentes agences de l’Union.

Ce nouveau conseil supervisera également la mise en place des priorités et des objectifs généraux du CERT-UE et lui fournira une orientation stratégique. Le conseil sera composé de représentants de toutes les institutions et organes consultatifs de l’UE, la Banque européenne d’investissement, le Centre européen de compétences en cybersécurité, l’Agence de l’Union européenne pour la cybersécurité (ENISA), du Contrôleur européen de la protection des données, de l’Agence de l’Union européenne pour le programme spatial ainsi que des représentants du réseau des agences de l’UE. Le secrétariat du conseil est assuré par la Commission européenne.

L’accord provisoire va maintenant être finalisé au niveau technique, puis présenté aux ambassadeurs des États membres de l’UE pour approbation. Une fois approuvé par le Conseil et le Parlement, il sera formellement adopté par les deux institutions.

Dans ses conclusions du 20 juin 2019, le Conseil européen a invité les institutions de l’UE, ainsi que les États membres, à travailler sur des mesures visant à améliorer la résilience et la culture de sécurité de l’UE face aux cybermenaces et aux menaces hybrides provenant de l’extérieur de l’UE, et à mieux protéger les réseaux d’information et de communication de l’UE, ainsi que ses processus décisionnels, contre les activités malveillantes de toutes sortes.

Ce règlement est l’une des mesures prévues dans la stratégie de cybersécurité de l’UE pour la décennie numérique, présentée par la Commission et le haut représentant pour les Affaires étrangères et la Politique de sécurité en décembre 2020, afin de renforcer la résilience collective de l’UE face aux cybermenaces.

Dans ses conclusions du 22 mars 2021 sur cette stratégie, le Conseil a souligné que la cybersécurité est cruciale pour le fonctionnement de l’administration et des institutions publiques, tant au niveau national qu’au niveau de l’UE, ainsi que pour notre société et notre économie dans leur ensemble.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Comme le rapporte Christopher Carey dans le journal londonien Cities Today, alors que le nombre de passagers dans les transports publics se rapproche de celui d’avant la pandémie, un nombre croissant de villes dans le monde réexaminent la manière dont elles peuvent rendre les déplacements plus sûrs et plus inclusifs.

Au cours des deux dernières décennies, les cas d’agressions et de comportements antisociaux à l’encontre du personnel et des passagers se sont multipliés dans le monde entier. Si les villes en développement, notamment en Asie du Sud, continuent de subir les attaques les plus graves, les pays à économie avancée enregistrent un nombre croissant d’incidents.

Les femmes, en particulier, déclarent se sentir de moins en moins en sécurité dans les transports publics et sont plus vulnérables que les hommes aux agressions et au harcèlement à caractère sexuel.

Pour remédier à ce problème, certaines villes ont apporté des modifications aux véhicules et à l’infrastructure des gares, notamment en installant un éclairage plus vif, des caméras et des boutons d’urgence, et en assurant une présence visible du personnel des stations. D’autres cités sont allées plus loin et ont impliqué les passagers dans les efforts de prévention.

En octobre 2021, Transport for London (TfL) a lancé une campagne de tolérance zéro vis-à-vis du harcèlement sexuel.

L’initiative, qui comprenait une campagne de sensibilisation sur internet et des messages sur les réseaux sociaux, visait à défier le harcèlement et à envoyer un message clair aux délinquants pour les avertir que ce comportement ne sera pas toléré.

Le mois dernier, l’opérateur de transport a intensifié ses efforts en lançant une nouvelle initiative qui encourage les passants à être proactifs et à intervenir s’ils sont témoins de harcèlement sexuel dans les transports publics.

Si les niveaux globaux de contrôle des transports publics n’ont pas augmenté à Londres, des opérations plus ciblées ont été menées dans certaines zones. TfL a également mis en place une nouvelle équipe d’agents chargés de faire respecter les règles en matière de transport, qui ont pour mission de réduire les comportements antisociaux.

Dans une étude publiée l’année dernière par l’organisme de surveillance des transports London TravelWatch, près de la moitié des femmes ont affirmé qu’elles avaient cessé de se rendre à Londres à certaines heures de la journée en raison de craintes pour leur sécurité personnelle.

Les chiffres révèlent également une augmentation de 81 %, d’une année à l’autre, du harcèlement sexuel à l’encontre des femmes et des jeunes filles, bien que cette hausse ait été attribuée à une augmentation du nombre d’incidents signalés à la suite de la campagne.

En 2015, l’ancien chef du Parti travailliste britannique Jeremy Corbyn, qui est député du nord de Londres depuis 1983, a indiqué qu’il envisagerait d’introduire des véhicules réservés aux femmes dans les transports publics pour contribuer à réduire le harcèlement.

L’idée a été fortement rejetée par de nombreuses personnes, mais le débat sur les voitures réservées aux femmes est régulièrement relancé.

Ces véhicules sont courants dans plusieurs pays, notamment en Inde, en Iran, au Japon et en Égypte, où plusieurs incidents très médiatisés impliquant des violences sexuelles à l’encontre des femmes ont eu lieu.

Un sondage Reuters de 2014 a demandé à 6 300 femmes du monde entier si elles se sentiraient plus en sécurité en voyageant dans un véhicule non mixte. L’enquête, qui a porté sur 15 des plus grandes capitales du monde et sur New York, la ville la plus peuplée des États-Unis, a révélé que 70 % des femmes ont déclaré qu’elles se sentiraient plus en sécurité.

Manille, aux Philippines, est la ville où les femmes sont les plus favorables aux transports non mixtes, avec le soutien de 94 % des femmes, suivie de Jakarta en Indonésie, de Mexico au Mexique et de Delhi en Inde.

_____

Aquest apunt en català / Esta entrada en español / This post in English

La présidence du Conseil européen et les représentants du Parlement européen sont parvenus à un accord provisoire sur un règlement visant à améliorer l’échange d’informations numériques dans les affaires de terrorisme. Le texte convenu a été soumis à l’approbation du Conseil et du Parlement européen avant de passer par la procédure d’adoption formelle.

Ce projet de règlement s’inscrit dans le cadre des travaux en cours pour moderniser et numériser la coopération judiciaire transfrontalière.

En ce sens, le terrorisme ne connaît aujourd’hui aucune frontière, il construit ses réseaux et peut préparer et perpétrer ses attentats sur les territoires de l’Union européenne. Par conséquent, afin de pouvoir y faire face, les autorités judiciaires européennes doivent également adopter une vision transfrontalière.

Le nouveau système convenu devrait permettre une meilleure vérification des informations et garantir la détection de tout lien, quel que soit le lieu de l’UE où une infraction terroriste a été commise.

Actuellement, les États membres partagent des informations avec Eurojust sur les affaires liées au terrorisme par le biais de divers canaux. Ces informations sont ensuite incluses dans le registre judiciaire européen sur la lutte contre le terrorisme, un système qui est aujourd’hui techniquement obsolète car il ne permet pas de recouper correctement les informations.

La proposition a pour but de corriger ces lacunes et de permettre à Eurojust de jouer un rôle plus important et plus proactif en termes de soutien à la coordination et à la coopération entre les autorités nationales chargées d’enquêter sur les infractions terroristes et de les poursuivre.

En vertu des normes proposées, les États membres devront fournir à Eurojust des informations sur toute enquête criminelle liée à des infractions terroristes dès que ces affaires sont transférées aux autorités judiciaires.

Selon la proposition convenue, cela impliquerait :

• établir un système moderne et numérique de gestion des dossiers qui stocke ces informations et permet des vérifications croisées ;
• donner à Eurojust les moyens de mieux détecter les liens entre les enquêtes et les poursuites transnationales dans le domaine du terrorisme et d’informer de manière proactive les États membres des liens découverts ;
• créer un canal de communication numérique sécurisé entre les États membres et Eurojust ;
• simplifier la coopération avec les pays tiers en donnant aux procureurs de liaison détachés auprès d’Eurojust un accès au système de gestion des dossiers.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Le Conseil de l’Union européenne modifie certains aspects de la législation afin d’assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne. L’objectif est d’améliorer davantage les capacités de résilience et de réaction aux incidents du secteur public et privé dans l’EU dans son ensemble.

La nouvelle directive, appelée « NIS2 », remplacera la directive actuelle sur la sécurité des réseaux et des systèmes d’information (directive NIS). Le Conseil lui-même considère que, même avec cette initiative, la cybersécurité restera sans aucun doute un défi majeur au cours des années à venir. La nouvelle législation devrait faire une grande différence pour nos économies et nos citoyens.

La NIS2 établira la base de référence pour les mesures de gestion des risques liés à la cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et les infrastructures numériques.

La directive révisée vise à harmoniser les exigences en matière de cybersécurité et la mise en place des mesures de cybersécurité dans les différents États membres. À cette fin, elle établit des normes minimales pour un cadre réglementaire et des mécanismes pour une coopération efficace entre les autorités compétentes de chaque État membre. Elle met à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité et prévoit des recours et des sanctions pour en assurer l’application.

La directive établira officiellement le réseau européen pour la préparation et la gestion des crises cybernétiques, EU-CYCLONE, qui soutiendra la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle.

Alors qu’en vertu de l’ancienne directive NIS, il incombait aux États membres de déterminer quelles entités répondaient aux critères de qualification d’opérateurs de services essentiels, la nouvelle directive NIS2 introduit une règle générale de limite de taille pour identifier les entités soumises à la réglementation. Cela signifie que toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application.

Si la directive révisée maintient cette règle générale, son texte comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs sur le caractère critique pour la détermination des autres entités couvertes.

Le texte précise également que la directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique et le maintien de l’ordre. Le pouvoir judiciaire, les parlements et les banques centrales sont également exclus du champ d’application de la directive.

La NIS2 s’appliquera aussi aux administrations publiques aux niveaux central et régional. En outre, les États membres peuvent décider d’appliquer cette directive à ces entités également au niveau local.

Par ailleurs, la nouvelle directive est alignée sur la législation sectorielle spécifique, en particulier le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et la directive sur la résilience des entités critiques (CER), afin de fournir une clarté juridique et assurer la cohérence entre la NIS2 et ces lois.

Un mécanisme volontaire d’apprentissage entre pairs augmentera la confiance mutuelle et l’apprentissage des bonnes pratiques et des expériences au sein de l’UE, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.

La nouvelle législation rationalise également les obligations de déclaration afin d’éviter une surdéclaration et une charge excessive pour les entités couvertes.

_____

Aquest apunt en català / Esta entrada en español / This post in English

En octobre, le journal The New York Times a publié un article du chercheur Eyal Press dans lequel il remettait en cause le traitement et la réponse apportés aux personnes souffrant de troubles mentaux impliquées dans des crimes de haine aux États-Unis. Eyal Press est l’auteur du livre Dirty Work: Essential Jobs and the Hidden Toll of Inequality in America.

Dans cet article, l’auteur explique que depuis le début de la pandémie de COVID-19, une vague de violence contre les Américains d’origine asiatique a déferlé sur tout le pays. Les victimes de ces agressions flagrantes se sont fait cracher dessus, battre, pousser du quai du métro, poignarder ou tirer dessus avec des armes à feu. Il s’est avéré que la plupart des personnes arrêtées pour ces attaques choquantes souffraient de graves problèmes de santé mentale.

Le nombre d’attaques haineuses à l’encontre des Américains d’origine asiatique a diminué à New York au cours de la première moitié de 2022, mais ces attaques restent clairement liées à des cas de troubles mentaux. Sur les 100 personnes arrêtées pour attaques haineuses à New York au cours des quatre premiers mois de 2022, la moitié avaient été classées auparavant comme souffrant de troubles émotionnels, selon les services de police de la ville.

Eyal Press estime que ces schémas révèlent que la maladie mentale peut jouer un rôle dans la violence à caractère raciste et qu’il convient de traiter cette question. Il souligne également que ce débat doit être fait en évitant de renforcer les préjugés concernant les personnes atteintes de troubles mentaux, car elles sont beaucoup plus susceptibles d’être victimes de violence que d’en être les auteurs. Un autre risque de ce débat serait une instrumentalisation de la maladie mentale visant à détourner l’attention des discours et des idées qui inspirent les actes d’extrémisme violent.

Edward Dunbar, professeur de psychologie à l’Université de Californie et chercheur sur les crimes de haine, estime qu’il n’est pas surprenant que, pendant la pandémie, certaines personnes atteintes de troubles mentaux aient commis des actes d’agression en raison du discours anti-asiatique constant dans le débat public.

Dans son article, Eyal Press rapporte également que la plupart des personnes atteintes de troubles mentaux arrêtées pour avoir attaqué des personnes d’origine asiatique à New York pendant la pandémie étaient également sans-abri.

L’organisation communautaire The Anti Police-Terror Project a proclamé dans un tract de sensibilisation que la maladie mentale n’est pas un crime, préconisant de maintenir ces personnes hors du système de justice pénale.

Brian Levin, directeur du Centre d’étude de la haine et de l’extrémisme de l’Université d’État de Californie à San Bernardino, a proposé de créer une catégorie distincte pour les délinquants souffrant de troubles mentaux, afin de signaler que leur situation est différente. L’objectif serait de traiter ces personnes plutôt que de les incarcérer. Les lourdes sanctions pénales ne seraient pas nécessairement efficaces dans le cas de ces délinquants.

Une meilleure approche serait d’investir des ressources dans les systèmes de soins de santé mentale défectueux qui laissent de nombreuses personnes hautement instables sans soins à long terme. S’attaquer à d’autres problèmes sociaux serait également utile. En effet, un nombre croissant de recherches suggère que les personnes atteintes de maladies mentales graves sont plus susceptibles de commettre des violences lorsqu’elles sont exposées à d’autres facteurs de risque, tels que des expériences traumatisantes dans l’enfance, des privations financières ou le fait de vivre dans des quartiers à forte criminalité. Ces problèmes ne seront pas résolus par les traitements seuls, mais ils ne disparaîtront pas non plus par le simple fait d’emprisonner les auteurs d’attaques haineuses atteints de trouble mentaux.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Le Conseil européen a approuvé des conclusions sur l’évolution de la position de l’Union européenne quant aux cybermenaces. Cette position vise à démontrer la détermination de l’UE à répondre immédiatement et à long terme aux acteurs qui menaceraient de la priver d’un accès sûr et ouvert au cyberespace ainsi que d’affecter ses intérêts stratégiques, y compris la sécurité de ses partenaires.

Les ministres demandent, entre autres, à la Commission européenne de proposer des exigences communes de l’UE en matière de cybersécurité pour les appareils connectés ainsi que les processus et services associés. Ils invitent également les autorités compétentes, telles que l’Agence de l’Union européenne pour la cybersécurité (ENISA), à élaborer des recommandations pour renforcer la résilience des réseaux et infrastructures de communication au sein de l’UE. En outre, le Conseil souligne l’importance d’organiser régulièrement des exercices de cybersécurité pour tester et développer la réponse interne et externe de l’UE à des cyberincidents de grande envergure.

Le cyberespace étant devenu une arène de compétition géopolitique, l’UE doit être en mesure de répondre rapidement et avec force aux cyberattaques, telles que les cyberactivités malveillantes visant l’Union et ses États membres, et d’utiliser pleinement tous les instruments à sa disposition. Les acteurs hostiles doivent savoir que les cyberattaques contre les États membres et les institutions de l’UE seront vite détectées, rapidement identifiées, et contrées à l’aide de tous les outils et toutes les politiques nécessaires.

Dans ses conclusions, le Conseil souligne les cinq fonctions de l’UE dans le domaine cybernétique :

1. Renforcer la résilience et les capacités de protection. Les comportements malveillants dans le cyberespace, émanant d’acteurs étatiques et non étatiques, se sont intensifiés ces dernières années, avec notamment une augmentation forte et régulière des activités visant les infrastructures critiques et les chaînes d’approvisionnement.

2. Améliorer la solidarité et la gestion globale des crises. Face aux changements géopolitiques actuels, la force de l’Union réside dans l’unité, la solidarité et la détermination, ainsi que dans la mise en œuvre de la boussole stratégique. Cette dernière devrait renforcer l’autonomie stratégique de l’UE et sa capacité à travailler avec ses partenaires pour les préserver, en respectant leurs valeurs et leurs intérêts, y compris dans le domaine cybernétique.

3. Promouvoir la vision du cyberespace de l’UE. Consolider la paix et la stabilité dans le cyberespace et pour un cyberespace ouvert, libre, mondial, stable et sûr, ainsi que coordonner les actions à court, moyen et long terme pour prévenir et identifier les cybermenaces et les cyberattaques, et y apporter une réponse.

4. Améliorer la coopération avec les pays partenaires et les organisations internationales. Il est nécessaire de relever le niveau général de cybersécurité de l’UE et d’adopter rapidement le projet de directive sur les mesures visant à atteindre un niveau commun élevé de cybersécurité dans l’Union (SRI), le projet de règlement sur la résilience opérationnelle numérique du secteur financier (DORA) ainsi que le projet de directive sur la résilience des entités critiques (CER).

5. Prévenir les cyberattaques, s’en défendre et y répondre. Les autorités compétentes, telles que l’Organe des régulateurs européens des communications électroniques (ORECE), l’ENISA et le Groupe de coopération pour la sécurité des réseaux et de l’information (SRI), en collaboration avec la Commission, formuleront des recommandations fondées sur une évaluation des risques pour les États membres et la Commission européenne afin de renforcer la résilience des communications, des réseaux et des infrastructures au sein de l’Union européenne.

_____

Aquest apunt en català / Esta entrada en español / This post in English

Compte tenu des risques croissants de cyberattaques, l’Union européenne renforce la sécurité informatique dans différents secteurs, en particulier celle des institutions financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement.

Les présidences du Conseil et du Parlement européens sont parvenues à un accord provisoire sur le règlement sur la résilience opérationnelle numérique (DORA), qui garantit que le secteur financier européen est en mesure de maintenir des activités résilientes en cas de perturbation opérationnelle grave.

DORA établit des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et organisations qui opèrent dans le secteur financier, ainsi que des tiers fournissant des services liés aux TIC (technologies de l’information et de la communication), tels que des plateformes cloud ou des services d’analyse de données.

DORA crée un cadre réglementaire sur la résilience opérationnelle numérique dans lequel toutes les entreprises doivent s’assurer de pouvoir résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux TIC. Ces exigences sont homogènes pour tous les États membres de l’UE. Le principal objectif est de prévenir et de réduire les cybermenaces.

En vertu de l’accord provisoire, les nouvelles règles constitueront un cadre très solide qui renforcera la sécurité informatique dans le secteur financier. Les efforts demandés aux institutions financières seront proportionnels aux menaces potentielles.

Les fournisseurs importants de services TIC des institutions financières de l’UE basés dans des pays tiers seront tenus d’établir une filiale au sein l’UE pour que la surveillance puisse être correctement mise en œuvre.

En ce qui concerne le cadre de surveillance, les colégislateurs se sont mis d’accord sur l’adoption d’un réseau de surveillance conjoint supplémentaire, qui renforcera la coordination entre les autorités européennes de surveillance sur ce point intersectoriel.

En ce qui concerne les chevauchements entre DORA et la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), en vertu de l’accord provisoire, les institutions financières sauront très clairement les différentes règles qu’elles doivent respecter en matière de résilience opérationnelle numérique, surtout les institutions financières détenant plusieurs agréments et opérant sur différents marchés en sein de l’UE. La directive SRI s’applique toujours. DORA se base sur la directive SRI et traite les éventuels chevauchements par une exemption de lex specialis.

L’accord provisoire conclu est en attente d’approbation par le Conseil et le Parlement européens avant de faire l’objet d’une procédure d’adoption formelle.

Une fois que la proposition DORA aura été officiellement adoptée, chaque État membre de l’UE devra l’adopter. Les Autorités européennes de surveillance (AES), comme l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) élaboreront des normes techniques pour toutes les institutions de services financiers, de la banque à l’assurance, en passant par la gestion d’actifs. Les autorités nationales compétentes respectives assumeront des tâches de surveillance de la conformité et feront respecter le règlement si nécessaire.

Cet ensemble de règles comble une lacune dans la législation européenne existante et garantit que le cadre juridique actuel ne crée pas d’obstacles à l’utilisation de nouveaux instruments financiers numériques, tout en veillant à ce que ces nouvelles technologies et ces nouveaux produits entrent dans le champ d’application de la réglementation financière et des dispositifs de gestion des risques opérationnels des entreprises actives dans l’UE. Ces règles visent ainsi à soutenir l’innovation et l’adoption de nouvelles technologies financières, tout en assurant un niveau approprié de protection des consommateurs et des investisseurs.

_____

Aquest apunt en català / Esta entrada en español / This post in English

L’Union européenne s’efforce d’améliorer la résilience aux cybermenaces toujours plus présentes et de garantir la sécurité de la société et de l’économie numérique.

Le Conseil européen a défini des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’Union européenne, afin d’améliorer davantage les capacités de résilience et de réaction aux incidents tant dans le secteur public que dans le secteur privé, et dans l’UE dans son ensemble.

Une fois adoptée, la nouvelle directive, appelée NIS2, remplacera la directive actuelle sur la sécurité des réseaux et des systèmes d’information (Directive NIS).

La NIS2 devrait établir la base de référence pour les mesures de gestion des risques liés à la cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et les infrastructures numériques.

La directive révisée vise à éliminer les divergences dans les exigences en matière de cybersécurité et la mise en place des mesures de cybersécurité dans les différents États membres. À cette fin, elle établit des normes minimales pour un cadre réglementaire et des mécanismes pour une coopération efficace entre les autorités compétentes de chaque État membre. Elle met également à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et prévoit des recours et des sanctions pour en assurer l’application.

La directive établira officiellement le réseau européen pour la préparation et la gestion des crises cyber, EU-CyCLONe, qui doit soutenir la gestion coordonnée des incidents de cybersécurité à grande échelle.

Alors qu’en vertu de l’ancienne directive NIS, il incombait aux États membres de déterminer quelles entités répondaient aux critères de qualification d’opérateurs de services essentiels, la nouvelle directive NIS2 introduit une règle de limite de taille. Cela signifie que toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d’application.

Si la position du Conseil maintient cette règle générale, elle comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs pour la détermination des entités couvertes.

Le texte du Conseil précise également que la directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, la police et le système judiciaire. Les parlements et les banques centrales sont également exclus du champ d’application.

Étant donné que les administrations publiques sont souvent la cible de cyberattaques, la NIS2 s’appliquera aux entités de l’administration publique des gouvernements centraux. En outre, les États membres peuvent décider d’appliquer cette directive à ces entités également au niveau régional et local.

Le Conseil a aligné le texte sur la législation sectorielle spécifique, en particulier le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et la directive sur la résilience des entités critiques (CER), afin de fournir une clarté juridique et assurer la cohérence entre la NIS2 et ces lois.

Un mécanisme volontaire d’apprentissage entre pairs augmentera la confiance mutuelle et l’apprentissage des bonnes pratiques et des expériences, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.

Les États membres bénéficieront de deux années après l’entrée en vigueur de la directive pour intégrer ces dispositions à la législation de leur État.

_____

Aquest apunt en català / Esta entrada en español / This post in English