Une commission du Parlement européen a approuvé une nouvelle version de la directive NIS qui encadre la cybersécurité au sein de l'Union européenne. Elle élargit le champ d'application de ce texte pour inclure de nouveaux secteurs et propose des obligations plus strictes. L'objectif: Créer une Europe résiliente face à l'augmentation des cyberattaques.
Les députés de la Commission de l'industrie, de la recherche et de l'énergie du Parlement européen ont adopté la révision de la directive "Network and Information System Security" (NIS) le 28 octobre 2021. Elle fixe des exigences plus strictes en matière de sécurité informatique pour les entreprises, les administrations et les Etats.
Avant de devenir définitif, ce texte devra être négocié et approuvé au sein du trilogue, c'est-à-dire entre des représentants du Parlement, du Conseil et de la Commission.
Mieux se protéger contre les cyber menaces
L'objectif de ce texte est de "renforcer la cybersécurité dans l'Union et créer les outils pour gérer ensemble les cyber incidents lorsqu'ils se produisent".
"Les ransomwares ont triplé en 2020 et pourtant nos entreprises et institutions dépensent 41% de moins pour la cybersécurité qu'aux États-Unis. Nous ne pouvons pas prévenir toute cybercriminalité mais nous devons nous protéger mieux qu'avant et mieux que les autres" Bart Groothuis, Eurodéputé et rapporteur du texte
La directive NIS, adoptée en juillet 2016, a été la première législation à l'échelle de l'Union européenne à établir des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services essentiels (SE), dont l'interruption aurait un impact significatif sur l'économie ou la société.
Les entités visées par la directive NIS doivent garantir un socle minimal de garanties pour se protéger d'une cyberattaque. Ces règles touchent à la gouvernance, à la protection et à la défense. La France a transposé la directive NIS dans la loi du 26 février 2018, le décret du 23 mai 2018 et l'arrêté du 13 juin 2018.
Une application fragmentée de la directive NIS
Or, le paysage des cyber menaces s'étant noirci depuis quelques années, certains Etats membres souhaitaient réviser cette directive pour étendre son champ d'application et inscrire de nouvelles obligations. Autre problème : s'agissant d'une directive dont la transposition dépend du bon vouloir de chaque signataire, le texte est appliqué différemment en fonction des Etats membres.
Ainsi, les "secteurs essentiels" tels que ceux de l’énergie, des transports, bancaire, de la santé, des infrastructures numériques, de l’administration publique et de l’espace seraient couverts par les nouvelles dispositions de sécurité.
De plus, les nouvelles règles protégeraient les secteurs dits "importants" comme les services postaux, la gestion des déchets, les produits chimiques, le secteur alimentaire, la fabrication des dispositifs médicaux, l’électronique, les machines, les véhicules à moteur et les fournisseurs numériques.
De nouvelles exigences de sécurité.
Les exigences imposées à ces acteurs – publics et privés – incluent:
La réponse aux incidents
La divulgation des vulnérabilités
La sécurité de la chaîne alimentaire.
Le chiffrement.
Le texte révisé établit également un cadre favorisant une meilleure coopération et un meilleur partage des informations entre les différentes autorités et les Etats membres. Il crée également une base de données européennes de vulnérabilités.