Cybersécurité : l’UE divisée sur les plates-formes de services

L’activité des sociétés Internet dans l’Union européenne pourrait bientôt être soumise à de nouvelles règles en matière de sécurité informatique.

Ces dispositions devraient être inscrites dans la directive NIS (« Network and Information Security »), proposée en février 2013 à l’issue d’une consultation publique. Son objectif : renforcer la réactivité des 28 États membres et stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.

La directive NIS doit participer à la construction d’un marché unique du numérique dans l’UE. Elle constitue le troisième volet de la stratégie « Europe 2020 » au côté de l’accès Internet (très) haut débit, de l’éducation des citoyens aux nouvelles technologies ou encore de l’interopérabilité par les standards.

Les problématiques de coopération ont été abordées dès 2013 avec le lancement de l’EC3 (European Crime Centre), dans les locaux d’Europol. Il est également question de créer un Forum européen pour motiver les partenariats entre secteurs public et privé.

Parmi les autres mesures adoptées ou proposées par Bruxelles, la mise en place d’un réseau paneuropéen de CERT (Computer Emergency Response Teams), c’est-à-dire de centres d’alerte et de réaction aux attaques informatiques. Mais aussi la simulation de cyberattaques ou encore diverses initiatives pour les plus jeunes citoyens.

Essentiellement destinée à maintenir la confiance du public envers les entreprises du numérique, la NIS fait l’objet de désaccords entre États membres et autorités régulatrices sur des enjeux comme l’inclusion des plates-formes de services que sont les moteurs de recherche, les réseaux sociaux, les sites e-commerce et les fournisseurs cloud.

Le Parlement européen a suggéré d’en limiter la portée aux secteurs considérés « critiques » : énergie, transport, finance, santé, marchés financiers…

Mais après des mois de négociations, il a été décidé d’englober les plates-formes de contenus. Avec toutefois des obligations moins lourdes sur le plan financier, tout particulièrement pour celles qui n’ont « pas de lien direct avec une infrastructure physique », selon un document auquel Reuters a pu accéder et signé de Luxembourg, qui tient la présidence tournante de l’UE.

Une plate-forme fournissant un service pour le compte d’un opérateur d’infrastructure sera en revanche assujettie aux mêmes règles que cet opérateur.

Concernant le signalement des failles aux autorités compétentes, le caractère obligatoire ou facultatif de le démarche n’est pas encore défini. Les États membres auraient été conviés à une réunion en septembre pour en discuter, avant que ne commence la rédaction du texte.

Crédit photo : YAKOBCHUK VASYL – Shutterstock.com