Cybersécurité
La directive SRI : ses origines et sa future adoption
La cybersécurité est un enjeu majeur auquel les administrations et les entreprises font actuellement face au sein de l’Union européenne mais pas seulement. Dans ce contexte, le Parlement européen a adopté, en mars 2014, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI). Le point avec Garance Mathias, Avocat à la Cour.
Cette proposition fait suite à une initiative de la Commission européenne en 2013 et s’intègre dans une stratégie globale de cybersécurité dont l’objectif principal est de lutter contre les accidents et les risques relatifs aux réseaux et à l’information au sein de l’Union européenne. Elle s’inscrit d’ailleurs dans le mouvement initié par la Commission depuis dix ans, notamment à travers une communication de cette dernière au Conseil, au Parlement européen, au Comité économique et social européen et au Comité des régions, en date du 31 mai 2006. Dans ce document intitulé « Une stratégie pour une société de l’information sûre – Dialogue, partenariat et responsabilisation », la Commission rappelait déjà que « La disponibilité, la fiabilité et la sécurité des réseaux et des systèmes d’information sont de plus en plus primordiales pour nos économies et pour la structure et la cohésion de la société. ».
Le 7 décembre 2015, le Parlement européen et la présidence luxembourgeoise du Conseil des ministres de l’Union sont parvenus à un accord sur cette proposition de directive. Certains Etats membres ont remis en cause le périmètre d’application de la directive du fait de l’impact sur leur souveraineté en termes de sécurité et de l’impact économique que ce type de régulation ne manquera pas d’avoir. Dans ce contexte, le périmètre d’application de cette directive est plus limité que ce qui était initialement prévu. A la suite de cet accord, l’adoption de cette directive est attendue pour le printemps 2016 même si des amendements sont encore possibles d’ici là. A compter de sa publication au Journal Officiel, les Etats membres disposeront de 21 mois pour mettre en œuvre la directive dans leur droit national et de 6 mois supplémentaires pour recenser les opérateurs fournissant des services essentiels.
Que prévoit la directive SRI ?
La directive imposera aux opérateurs fournissant des services essentiels et aux prestataires de services numériques de prendre des mesures de sécurité appropriées. Dans la directive, la « sécurité des réseaux et des systèmes d’information » désigne la capacité de « résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu’ils rendent accessibles ».
Par ailleurs, ces prestataires et opérateurs auront pour obligation de signaler tout incident aux autorités compétentes ou aux équipes d’intervention en cas d’urgence informatique (CERT). A noter que la mise sur pied de ces équipes d’intervention par tous les Etats membres est une exigence de la proposition de directive (article 7 de la dernière version). Les exigences de sécurité applicables aux opérateurs de services essentiels et celles applicables aux fournisseurs de services numériques devraient être légèrement différentes.
Par « opérateur fournissant des services essentiels », les institutions européennes entendent toute entreprise qui joue un rôle important pour la société et l’économie, et qui évoluerait dans les secteurs suivants : l’énergie (électricité, pétrole et gaz), les transports (aérien, ferroviaire, par voie d’eau et routier), les services bancaires (établissements de crédit), les infrastructures de marchés financiers (plateformes de négociation, contreparties centrales), la santé (prestataires de soins de santé) ou encore l’eau (fourniture et distribution d’eau potable). Quant aux opérateurs de services numériques, il s’agit notamment des prestataires de cloud, des moteurs de recherche ou encore des boutiques en ligne comme Amazon.
Chaque État membre devra également adopter une stratégie nationale en matière de SRI qui définit les objectifs stratégiques et les mesures politiques et réglementaires concrètes visant à parvenir à un niveau élevé de sécurité des réseaux et de l’information et à le maintenir.
Une coopération prévue entre les autorités compétentes
La directive insiste sur la nécessaire coopération entre les autorités compétentes afin de lutter contre les risques et les incidents touchant les réseaux et systèmes d’information. Le rôle de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) est d’ailleurs rappelé et il lui sera demandé de mettre son expérience à contribution en tant que conseil des autorités. Autre création européenne mise à l’honneur, le Centre européen de lutte contre la cybercriminalité au sein d’Europol avec lequel les autorités devront échanger. La directive prévoit également une possibilité pour les autorités de faire appel à d’autres organismes européens, notamment en matière de protection des données.