Skip to content
L’UE parvient à un accord sur une loi phare sur la cybersécurité

Le Parlement européen et les États membres de l’UE sont parvenus à un accord aux premières heures du vendredi 13 mai sur de nouvelles règles destinées à protéger les entités critiques publiques et privées d’Europe contre les cyberattaques.

La législation mise à jour, également connue sous le nom de NIS2, vise à accroître la coopération et la résilience en matière de cybersécurité entre les États membres en établissant de nouvelles mesures et obligations de déclaration pour les opérateurs de services essentiels tels que la banque et l’énergie.

« Nous protégeons nos économies et nos sociétés contre les cybermenaces. Renforcer la préparation, la résilience, protéger notre démocratie », a déclaré la vice-présidente de la Commission européenne, Margaritas Schinas, après la conclusion de l’accord.

En vertu des règles précédentes, les pays de l’UE pouvaient choisir quelles entités appartenaient à la catégorie des services « critiques » ou « essentiels ».

Mais la mise à jour de la directive sur la sécurité des réseaux et de l’information (NIS2) introduit des règles communes pour les moyens et grands organismes opérant dans des secteurs critiques, tels que l’énergie, les transports, la santé et les infrastructures numériques.

Il s’agit notamment des fournisseurs de services de télécommunications et d’approvisionnement en énergie, des gestionnaires d’infrastructures ferroviaires, des services financiers, des opérateurs de gestion des déchets et de l’eau, des services postaux et de messagerie, des fabricants de dispositifs médicaux et des administrations publiques.

Mais les parlements, le pouvoir judiciaire et les banques centrales, ainsi que les entités dans les domaines de la sécurité publique, de la défense et de l’application de la loi, sont exclus du champ d’application.

« Cela … va aider plus de 100 000 entités vitales à renforcer leur emprise sur la sécurité et à faire de l’Europe un endroit sûr où vivre et travailler », a déclaré l’eurodéputé libéral néerlandais Bart Groothuis.

Les entreprises et les opérateurs publics devront analyser les risques de cybersécurité et mettre en place des mesures pour prévenir les cyberattaques potentielles, telles que l’hygiène informatique de base, le chiffrement ou l’authentification multifacteur.

Ils devront également signaler toutes les cyberattaques potentielles et les recours qu’ils ont pris en réponse à de tels incidents – s’exposant à des sanctions s’ils enfreignent les règles.

L’agence européenne pour la cybersécurité (ENISA) mène des exercices de test depuis l’année dernière pour préparer une réponse européenne rapide face aux cyberattaques transfrontalières.

Mais le NIS2 établira le réseau européen d’organisations de liaison pour les crises cybernétiques (EU-CyCLONe) pour soutenir et coordonner la gestion de crise des cyberattaques à grande échelle dans le bloc des 27 nations.

La législation mise à jour introduit également un « mécanisme d’apprentissage par les pairs » volontaire effectué par des experts désignés dans le but d’accroître la confiance mutuelle et d’échanger les bonnes pratiques et les informations entre les États membres de l’UE.

Néanmoins, tous les pays de l’UE devront procéder à une auto-évaluation des capacités techniques et des ressources financières avant l’examen par les pairs, comme l’ont demandé les députés lors des négociations.

Une fois formellement adoptée, les États membres auront près de deux ans pour la transposer en droit national.


euobserver-neweurope

Toutes les actualités du site n'expriment pas le point de vue du site, mais nous transmettons cette actualité automatiquement et la traduisons grâce à une technologie programmatique sur le site et non à partir d'un éditeur humain.