La Commission européenne a publié une proposition de directive révisée sur la sécurité des réseaux et des systèmes d’information (la directive SRI 2) fin 2020, pour mettre à jour et remplacer la directive sur la sécurité des réseaux et des systèmes d’information (directive (UE) 2016/1148 ), qui est entré en vigueur en 2016 et était la première législation horizontale sur la cybersécurité au niveau de l’UE.
La directive actuelle était le premier élément de la législation sur la cybersécurité à l’échelle de l’Union européenne et visait à atteindre un niveau élevé de cybersécurité dans les États membres de l’UE. Alors que la directive de 2016 constituait une étape législative importante, sa mise en œuvre s’est avérée difficile, entraînant une fragmentation du marché unique et des niveaux de sécurité insuffisants.
Objectifs, et principaux changements du SRI 2
SRI 2 établira la base des mesures de gestion des risques de cybersécurité et des exigences de déclaration dans tous les secteurs couverts par la directive, y compris l’énergie, les transports, la santé et les infrastructures numériques.
La directive révisée vise à éliminer les disparités dans les exigences de cybersécurité et la mise en œuvre de la cybersécurité entre les États membres. À cette fin, il établit des règles-cadres réglementaires minimales et des mécanismes pour une coopération efficace entre les autorités compétentes de chaque État membre. Il révise la liste des industries et activités soumises aux obligations de cybersécurité et inclut des recours et des sanctions pour assurer la conformité.
Alors que les États membres étaient chargés de déterminer quelles entités remplissaient les critères pour se qualifier en tant qu’opérateurs de services essentiels en vertu de la précédente directive SRI, la nouvelle directive SRI 2 introduit une règle de taille maximale. Cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs ou fournissant des services couverts par la directive seront soumises à ses dispositions.
Si l’accord auquel sont parvenus le Parlement européen et le Comité maintient cette règle générale, le projet de loi comprend des dispositions supplémentaires pour assurer la proportionnalité, un niveau plus élevé de gestion des risques et des critères de criticité clairs pour déterminer les entités couvertes.
Le message précise également que la directive ne s’appliquera pas aux entités engagées dans des activités telles que la défense ou la sécurité nationale, la sécurité publique, l’application de la loi ou le pouvoir judiciaire. Les parlements et les banques centrales ne sont pas non plus couverts.
Même si les administrations publiques sont fréquemment la cible de cyberattaques, SRI 2 s’appliquera aux entités de l’administration publique centrale et régionale. En outre, les États membres peuvent décider qu’elle s’applique également à ces entités au niveau local.
Afin d’apporter de la clarté juridique et de confirmer la cohérence entre (NIS2) SRI 2 et ces actes, le Parlement européen et le comité ont aligné le message sur la législation sectorielle, en particulier le règlement sur la résilience opérationnelle numérique pour le secteur financier (DORA) et la directive sur la résilience des entités (CER).
Une méthode volontaire d’apprentissage par les pairs augmentera la relation de confiance et l’apprentissage des bonnes pratiques et des expériences, et aura ainsi contribué à atteindre un niveau commun élevé de cybersécurité. Les deux co-législateurs ont également simplifié les exigences en matière de déclaration afin d’éviter une sur-déclaration et de faire peser une charge excessive sur les entités couvertes. Les États membres disposeront de 21 mois à compter de l’entrée en vigueur de la directive pour intégrer les dispositions dans leur législation nationale.
Dans l’ensemble, il apparaît que SRI 2 est plus une évolution qu’une révolution, englobant la même structure de base tout en renforçant les exigences et en élargissant considérablement les secteurs couverts.
Prochaines étapes
Les négociations inter-institutionnelles sur la directive SRI 2 peuvent maintenant commencer, maintenant que le Parlement et le Conseil ont arrêté leurs positions initiales. Le texte final de la directive SRI 2 doit être approuvé à la fois par le Parlement et le Conseil, en tant que co-législateurs.