La Commission européenne a publié le 7 février 2013 une proposition de Directive concernant la sécurité des réseaux et de l’information (SRI, en anglais Network and Information Security NIS), ainsi qu’une Stratégie en matière de cybersécurité pour l’Union Européenne intitulée «un cyberespace ouvert, sûr et sécurisé», développée avec la Haute représentante de l’Union pour les affaires étrangères et la politique de sécurité.

La stratégie de cybersécurité expose la vision globale de l’Union européenne en ce qui concerne les meilleurs moyens de prévenir les perturbations et attaques visant le cyberespace et de s’y opposer. Elle s’articule autour de cinq priorités:

  • parvenir à la cyber-résilience,
  • faire reculer considérablement la cybercriminalité,
  • développer une politique et des moyens de cyberdéfense en liaison avec la politique de sécurité et de défense commune (PSDC),
  • développer les ressources industrielles et technologiques en matière de cybersécurité,
  • instaurer une politique internationale de l’Union européenne cohérente en matière de cyberespace et promouvoir les valeurs essentielles de l’UE.

La proposition de Directive sur la SRI est un volet essentiel de la stratégie globale dont l’objectif est de garantir un environnement numérique offrant des gages de sécurité et de confiance dans toute l’UE. Elle prévoit notamment les mesures suivantes:

(a) chaque Etat membre doit adopter une stratégie de SRI (art. 5) et désigner une autorité nationale compétente en la matière, qui disposera de ressources financières et humaines suffisantes pour prévenir et gérer les risques et incidents de SRI et intervenir en cas de nécessité (art. 6), ainsi que créer un centre national d’alerte et de réaction aux attaques informatiques (Computer Emergency Response Team ou « CERT ») (art. 7),

(b) un mécanisme de coopération entre les États membres et la Commission doit être instauré pour diffuser des messages d’alerte rapide sur les risques et incidents au moyen d’une infrastructure sécurisée, pour collaborer et organiser des examens par les pairs (art. 8ss),

(c) les opérateurs des infrastructures critiques (services financiers, transports, énergie et santé) et les entreprises clés de l’Internet (notamment les magasins d’applications en ligne, les plates-formes de commerce électronique, les passerelles de paiement par Internet, les services informatiques en nuage, les moteurs de recherche ou les réseaux sociaux) offrant des services dans l’UE ainsi que les administrations publiques doivent adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs à l’autorité nationale (art 14).

Pour rappel, lorsqu’une directive est adoptée, les Etats membres disposent de 18 mois pour la transposer dans leur droit national. Cette Directive développera également des effets sur les entreprises établies hors des frontières de l’UE, puisque les entreprises offrant des services dans l’UE devront adopter des pratiques en matière de gestion des risques et signaler les incidents de sécurité significatifs indépendamment de la localisation de leur siège social.

Partage

Ces articles pourraient aussi vous intéresser: