La cybersécurité de l'UE et la directive NIS 2

Source : Nouvelle Europe

ANALYSE

- 5  janvier 2021

introduction

 

Dans le monde d'aujourd'hui, aucune organisation ou entreprise n'est complètement à l'abri des cyberattaques ou de leurs conséquences possibles. En conséquence, la construction de la cyber-résilience est passée d'une question plutôt technique à un sujet stratégique de plus en plus important pour les entreprises, d'une part, et à un défi diplomatique critique pour les États, d'autre part. En effet, selon l'ENISA, la crise de santé publique en cours a montré que la résilience de l'UE en matière de cybersécurité a été poussée à la limite de ses capacités.

Dans le cadre de son objectif politique clé consistant à préparer «l'Europe à l'ère numérique» et compte tenu de l'évolution constante du paysage technologique, la Commission a annoncé dans son programme de travail 2020  qu'elle réexaminerait la stratégie européenne de cybersécurité et le cadre législatif d'ici la fin de 2020. 1 Le 16 décembre 2020 , la Commission européenne a publié sa stratégie européenne de cybersécurité qui comprend des mises à jour d'un texte législatif clé : une proposition de directive un niveau commun élevé de cybersécurité dans l'ensemble de l'Union » – Directive NIS 2 .

Directive SRI

La nouvelle proposition s'appuie sur la directive (UE) 2016/1148 sur la sécurité des réseaux et des systèmes d'information (directive SRI) et l'abroge, qui était le premier acte législatif européen sur la cybersécurité et prévoit des mesures juridiques pour renforcer le niveau global de cybersécurité dans l'Union. La directive d'origine a développé une culture de gestion des risques au sein des entreprises, définissant des seuils réglementaires proportionnels à travers des critères de taille. Le NIS fait deux distinctions essentielles entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les premiers sont au cœur de la directive NIS.

La directive SRI fait partie d'un ensemble de mesures visant à améliorer encore la résilience et les capacités de réaction aux incidents des entités publiques et privées, des autorités compétentes et de l'Union dans son ensemble dans le domaine de la cybersécurité et de la protection des infrastructures critiques.

La revue actuelle

La nouvelle proposition de la Commission vise à combler les lacunes de la précédente directive SRI, en tenant compte de la numérisation accrue du marché intérieur ces dernières années et de l'évolution du paysage des menaces en matière de cybersécurité. Avec la directive sur la résilience des entités critiques (CER) , l'objectif est d'élever les normes de cybersécurité à tous les niveaux, couvrant à la fois le monde en ligne et hors ligne.

La proposition de la Commission élargit considérablement le champ d'application de la directive SRI actuelle en ajoutant de nouveaux secteurs en fonction de leur importance pour l'économie et la société, et en introduisant un plafond de taille clair - ce qui signifie que toutes les moyennes et grandes entreprises des secteurs sélectionnés seront incluses dans son champ d'application .

La proposition supprime la distinction entre opérateurs de services essentiels et fournisseurs de services numériques et la remplace par une distinction entre entités essentielles et entités importantes. La liste complète des « entités essentielles » et des « entités importantes » est incluse dans les annexes I et II.  de la Directive.

Le champ d'application de la nouvelle directive couvre de nombreux nouveaux secteurs : l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l'approvisionnement et la distribution d'eau et diverses couches d'infrastructures numériques, l'administration publique et l'espace. En élargissant le champ d'application de la directive, la Commission vise à accroître la préparation aux niveaux national et de l'Union pour prévenir, détecter, réagir et atténuer les cybermenaces et être prête à agir en cas de crise.

En outre, il renforcera la cyber-résilience de tous les secteurs économiques clés et réduira la fragmentation du marché intérieur en augmentant le niveau d'harmonisation des exigences appliquées aux entités de ces secteurs.

Trois règlements interdépendants

Une autre question fondamentale à laquelle il faut répondre est la coordination des politiques avec le règlement sur la résilience opérationnelle numérique pour les secteurs financiers (DORA) et la résilience des entités critiques (CER) . La période de retour d'expérience des trois règlements se terminera le 4 mars 2021  (mis à jour le 7 janvier).

En cas d'éventuels conflits de lois entre les trois réglementations, la NIS 2 qui fixe un large cadre d'harmonisation, prévaudra sur les autres (art.  2.6).

  • Le règlement DORA clarifie l'application du SRI dans le secteur financier et harmonise les réglementations entre les États membres. Cette nécessité découle de la dépendance croissante du secteur financier aux technologies de l'information et de la communication (TIC), soulevant de nouveaux défis en termes de résilience opérationnelle.

  • La directive CER établit des synergies étroites avec la proposition de directive NIS 2 pour couvrir le monde hors ligne. Les autorités compétentes désignées en vertu à la fois de la directive NIS 2 et de la directive CER prennent des mesures complémentaires et échangent des informations si nécessaire concernant la résilience cyber et non cyber.

Résultats attendus

La directive NIS révisée et la directive critique  La directive sur les infrastructures , associée à la proposition de règlement sur la résilience des opérations numériques dans le secteur financier, constitue une "mise à niveau" considérable du cadre européen de cybersécurité.

Par conséquent, cela augmentera probablement la confiance globale dans l'économie numérique , ce qui aura un effet positif sur la croissance et les investissements. En outre, le niveau d'harmonisation plus élevé peut entraîner une réduction des coûts réglementaires pour les entreprises qui se conforment à des législations nationales divergentes.

En résumé, les propositions détaillent un cadre législatif qui implique une mise à niveau significative de la cybersécurité, en particulier dans les domaines liés à la surveillance et à l'application. Les secteurs auparavant considérés comme hors du champ d'application du NIS et de la cybersécurité en général se retrouvent désormais dans le champ d'application, en raison de leur rôle essentiel dans l'économie au sens large et de la prolifération des technologies numériques élargissant la surface d'attaque des acteurs malveillants.

Cependant, les obligations des entreprises, en particulier celles identifiées comme des entités essentielles et importantes, ont également considérablement augmenté et nécessiteront probablement des investissements en termes de personnel et de ressources pour se conformer à la législation et aux exigences fixées dans chaque État membre.

Les propositions vont maintenant être transmises au Conseil et au Parlement européen pour un débat plus approfondi. La Commission européenne conserve le rôle de guider les propositions tout au long du processus législatif. En outre, la Commission a signalé qu'un autre règlement visant à consacrer une " cybersécurité dès la conception " dans les produits sera annoncé dans le courant de 2021.

Les entreprises qui souhaitent exprimer leur point de vue sur l'une ou l'autre de ces initiatives à venir devraient faire entendre leur point de vue par les décideurs politiques. Avec une équipe spécialisée dans la stratégie de cybersécurité de l'UE, Lighthouse Europe est idéalement situé pour aider les entreprises et les groupes industriels intéressés par ces discussions politiques et peut aider à une meilleure compréhension du processus législatif, à l'analyse des débats politiques et à l'évaluation des les participants du marché.

De Francesca Maria Vidori