De nouvelles mesures destinées à consolider la résilience de l'Union européenne face aux cybermenaces et à préserver la sûreté et la sécurité de l'économie numérique sont en phase de négociation. Le Conseil de l'UE, qui représente les Etats membres, a arrêté jeudi sa position sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, afin d'améliorer encore la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l'UE dans son ensemble. Une fois adoptée, la nouvelle directive, appelée "SRI 2", remplacera l'actuelle directive sur la sécurité des réseaux et des systèmes d'information (directive SRI). ''Nous avons assisté à une augmentation rapide du nombre des cyberattaques visant le secteur public et le secteur privé mais aussi nos citoyens, et nous notons l'impact considérable de ces attaques sur notre société, notamment parce que nous vivons dans un monde de plus en plus numérisé'', a déclaré Boštjan Koritnik, ministre slovène de l'administration publique, qui assure la présidence tournante de l'UE. A ses yeux, la nouvelle directive SRI jouera un rôle tout à fait significatif dans le renforcement de notre cybersécurité et démontrera également que l'Europe est aux avant-postes de la législation en matière de cybersécurité. D'après le Conseil, la directive SRI 2 constituera la base des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans tous les secteurs couverts par la directive, et notamment l'énergie, les transports, la santé et l'infrastructure numérique. La directive révisée a pour objectif de ''supprimer les divergences au niveau des exigences en matière de cybersécurité et de la mise en œuvre des mesures de cybersécurité dans les différents Etats membres''. À cette fin, elle fixe les règles minimum d'un cadre réglementaire et définit les mécanismes d'une coopération ''efficace'' entre les autorités compétentes de chaque Etat membre. Elle met à jour la liste des secteurs et des activités soumis à des obligations en termes de cybersécurité et prévoit des voies de recours et des sanctions pour assurer le respect de la législation. La directive instaurera officiellement le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), qui soutiendra la gestion coordonnée des incidents de cybersécurité majeurs. Le texte du Conseil précise également que la directive ne s'appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, les services répressifs et le pouvoir judiciaire. Les parlements et les banques centrales sont également exclus du champ d'application. Les Etats membres disposeraient d'un délai de deux ans à compter de l'entrée en vigueur de la directive pour en intégrer les dispositions dans leur droit national. Pour les prochaines étapes, l'orientation générale dégagée jeudi permettra à la présidence du Conseil d'entamer des négociations avec le Parlement européen (PE). Le Conseil et le Parlement européen devront tous deux se mettre d'accord sur le texte final.
* Enjeux de la Cybersécurité: le décryptage de l'expert Dan Brahmy dans Infosoir (Interview)
