La directive NIS (Network and Information Security), qui impose à certaines entreprises européennes d’améliorer leur capacité à résister aux cyberattaques, a été adoptée par le parlement européen. Elle établit des normes de cybersécurité communes et renforce la coopération entre les pays de l’Union.
Cette directive aidera les entreprises à se protéger elles-mêmes, et aussi à prévenir les attaques contre les infrastructures interconnectées des pays européens, estiment les députés. Proposée en février 2013 aux Etats membre de l’Union européenne, approuvée en décembre 2015, adoptée en première lecture par le Conseil de l’Europe en mai 2016, puis adopté ce 6 juillet, la directive NIS (Network and Information Security) prévoit des mesures visant à assurer un haut niveau de confiance dans les systèmes de réseaux et d’informations de l’Union.
Un groupe de coopération et un centre de réponse aux incidents
Les nouvelles règles prévoient un « groupe de coopération » stratégique pour échanger l’information et aider les États membres à renforcer leurs capacités en matière de cybersécurité. Chaque pays de l’Union devra adopter une stratégie nationale relative à sécurité des réseaux et des systèmes d’information.
Les États membres devront aussi mettre en place un centre de réponse aux incidents de sécurité informatique (CSIRT) ou CERT pour gérer incidents et risques, discuter des questions de sécurité transfrontalière et identifier des réponses coordonnées. L’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) jouera un rôle clé dans la mise en œuvre de la directive, en particulier en matière de coopération.
Les fournisseurs de services essentiels concernés au premier chef
La nouvelle législation européenne prévoit des obligations en matière de sécurité et de suivi pour les “opérateurs de services essentiels”. Par exemple l’énergie, l’approvisionnement en eau potable, les transports, les services bancaires et de santé. Les États membres de l’UE devront identifier les entités dans ces domaines en utilisant des critères spécifiques, par exemple si le service est essentiel pour la société et l’économie, et si un incident aurait des effets perturbateurs considérables sur la prestation de ce service. La France a publié, elle, ces premiers arrêtés concernant les OIV (Opérateurs d’importance vitale)
Certains fournisseurs de services numériques – les marchés en ligne, les moteurs de recherche et les services d’informatique Cloud – devront aussi prendre des mesures pour assurer la sécurité de leur infrastructure et devront signaler les incidents majeurs aux autorités nationales. Les exigences de sécurité et de notification sont, cependant, plus légères pour ces fournisseurs. Notez que les micro et petites entreprises numériques seront exemptées de ces exigences.
” Des incidents de cybersécurité possède très souvent un aspect transfrontalier et concernent donc plus d’un État membre de l’Union européenne. Une protection fragmentaire de la cybersécurité nous rend tous vulnérables et pose un risque de sécurité important pour l’Europe dans son ensemble. Cette directive établira un niveau commun de sécurité de réseau et d’information et renforcera la coopération entre les États membres. Cela contribuera à prévenir à l’avenir les cyberattaques sur les infrastructures interconnectées européennes importantes “, a déclaré le rapporteur du Parlement Andreas Schwab. La directive européenne sur la sécurité des réseaux et des systèmes d’information « est également l’un des premiers cadres législatifs qui s’applique aux plates-formes. En phase avec la stratégie du marché unique numérique, elle établit des exigences harmonisées pour les plates-formes et veille à ce qu’elles puissent observer des règles similaires quel que soit l’endroit de l’Union européenne où elles opèrent. C’est un énorme succès et une première étape importante vers l’établissement d’un cadre réglementaire global pour les plates-formes dans l’Union », a-t-il ajouté.
La directive sur la sécurité des réseaux et des systèmes d’information entrera en vigueur le vingtième jour suivant sa publication au Journal officiel de l’Union européenne . Les États membres auront alors 21 mois pour transposer la directive dans leur législation nationale et six mois supplémentaires pour identifier les opérateurs de services essentiels.
Lire la Directive sur la sécurité des réseaux et des systèmes d’information (texte approuvé par le Parlement et le Conseil)
