Après l’adoption le 2 décembre 2020 des conclusions visant la cybersécurité des dispositifs connectés par le Conseil et la décision de créer un nouveau Centre européen en matière de cybersécurité à Bucarest, une nouvelle stratégie de cybersécurité de l’Union européenne a été présentée le 16 décembre 2020.
Cette nouvelle stratégie proposée par la Commission européenne et le haut représentant de l’Union pour les affaires étrangères complète trois autres initiatives adoptées au niveau européen (la stratégie « Façonner l’avenir numérique de l’Europe », le plan de relance pour l’Europe et la stratégie de l’UE pour l’union de la sécurité). Elle vise l’adoption des normes assurant un niveau élevé de sécurisation des réseaux et des systèmes d’information, grâce à un cadre harmonisé de règles imposées à l’échelle européenne.
Les trois axes majeurs de cette nouvelle stratégie en matière de cybersécurité sont :
- Le développement de la résilience, de la souveraineté et du leadership : à cet effet, le premier acte législatif adopté au niveau européen sur la cybersécurité, la directive sur la sécurité des réseaux et des systèmes d’information (SRI), a fait l’objet d’une révision permettant d’étendre le cadre réglementaire existant en matière de cybersécurité ;
- Le renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction de manière à assurer une coopération étroite en matière de cyberdéfense, tant entre les Etats membres qu’entre les organes de l’Union européenne et les autorités nationales chargées de la prévention et de la dissuasion des cybermenaces ;
- La promotion d’un cyberespace ouvert et mondial grâce à une coopération accrue : au-delà de la coopération intra-européenne, une vision plus globale est nécessaire afin de garantir un niveau adéquat de protection des droits fondamentaux des utilisateurs en ligne et de sécurité informatique dans le cyberespace.
Deux instruments juridiques soutiennent cette stratégie européenne en matière de cybersécurité :
1° La directive révisée sur la sécurité des réseaux et des systèmes d’information (SRI 2) qui multiplie les exigences de sécurité, imposant une liste minimale d’éléments devant être pris en compte par les entreprises pour une meilleure gestion des risques informatiques liés à la sécurité des réseaux et des systèmes d’information. À cet effet, les entités publiques et privées sont tenues de prendre les mesures techniques et organisationnelles adéquates afin d’accroître leur résilience face aux cybermenaces. De plus, chaque État membre devrait adopter une stratégie nationale de cybersécurité, définissant les objectifs stratégiques et les mesures appropriées prises en vue de maintenir un niveau élevé de cybersécurité (articles 5 à 11). Enfin, la directive renforce le rôle du Groupe de coopération chargé de soutenir l’échange d’informations entre les Etats membres et d’assurer une coopération stratégique transfrontalière en matière de sécurité des réseaux et des systèmes d’information (articles 12 à 16).
2° La directive sur la résilience des entités critiques (CER) complète la directive européenne du 8 décembre 2008 sur les infrastructures critiques européennes, qui s’appliquait seulement aux secteurs de l’énergie et du transport. De plus, si auparavant la directive de 2008 était fondée exclusivement sur des mesures protectrices, cette nouvelle proposition prévoit également un certain nombre d’exigences auxquelles les autorités nationales et les entités critiques devraient se conformer.
En ce qui concerne les entités critiques, elles seront identifiées et dûment informées par les Etats membres de leur identification et des obligations qui leur incombent. Cette identification sera effectuée sur la base de critères communs, suite à une évaluation des risques effectuée à l’échelle nationale. En outre, les Etats membres seront chargés de faciliter la coopération et l’échange volontaire d’informations et de bonnes pratiques entre les autorités compétentes et les entités critiques.
Enfin, la directive impose à chaque Etat membre d’adopter une stratégie nationale afin de garantir la résilience des entités critiques provenant tant du secteur public que du secteur privé.
Georgiana Hriscu
Master 2 Cyberjustice, Promotion 2020/2021
Sources:
https://ec.europa.eu/commission/presscorner/detail/fr/IP_20_2391
https://www.consilium.europa.eu/fr/policies/cybersecurity/
https://ec.europa.eu/commission/presscorner/detail/fr/MEMO_18_3651
https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade-0
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32008L0114&from=EN
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2020:823:FIN