Cybersécurité : dernière ligne droite pour la directive NIS
La directive européenne « Network and information security » devrait entrer en vigueur au mois d’août. Bruxelles prépare le terrain.
On se dirige vers une entrée en vigueur au mois d’août pour la directive NIS.
Une étape supplémentaire a été franchie cette semaine avec l’adoption, en première lecture au Conseil de l’Europe, de ce texte qui doit participer à la construction d’un marché unique du numérique dans l’UE.
Troisième volet de la stratégie « Europe 2020 » aux côtés de l’accès Internet (très) haut débit, de l’éducation des citoyens aux nouvelles technologies ou encore de l’interopérabilité par les standards, cette directive « Network and information security » avait émergé début 2013 à l’issue d’une consultation publique.
Elle a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.
Outre la mise en place d’un réseau paneuropéen de CERTs (« Computer Emergency Response Teams, c’est-à-dire des centres d’alerte et de réaction aux attaques informatiques), il est question d’obliger certaines organisation du privé et du public à signaler aux autorités nationales compétentes les incidents de sécurité majeures dont elles sont victimes.
Sont concernés, en premier lieu, les secteurs considérés comme « critiques » : énergie, transport, banque, santé, marchés financiers… Il appartiendra à chaque École de déterminer quels acteurs entreront dans cette catégorie des OIV (opérateurs d’importance vitale).
Tomberont aussi sous le coup de la NIS – avec néanmoins des obligations moins lourdes – les « plates-formes de contenus et services » que sont les moteurs de recherche, les fournisseurs cloud et les sites e-commerce.
Les TPE et les micro-entreprises de ce secteur en sont exemptées… au même titre que les réseaux sociaux, dont Facebook et Twitter.
Le texte va être transmis au Parlement européen, qui devrait l’examiner à l’occasion de sa session plénière du 4 au 7 juillet prochains.
Les États membres auront 21 mois à compter de l’entrée en vigueur du texte pour le transposer dans leur législation nationale. Six mois supplémentaires leur sont accordés pour désigner les OIV (concernant les sociétés du numérique, le droit qui s’appliquera sera celui du pays où se trouve leur siège européen).
La Commission européenne a préparé le terrain : une première réunion informelle avec les représentants des États membres et l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) est prévue pour le 14 juin.
Crédit photo : Dreamstudios – Shutterstock.com