Skip to main content
European Commission logo
Bâtir l’avenir numérique de l’Europe
Policy and legislation | Publication

Proposition de directive relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union

La Commission a adopté une proposition de directive révisée sur la sécurité des réseaux et des systèmes d’information (directive SRI 2).

Proposal for directive on measures for high common level of cybersecurity across the Union

En dépit de ses réalisations notables, la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), qui a ouvert la voie à un changement significatif de l’état d’esprit, de l’approche institutionnelle et réglementaire de la cybersécurité dans de nombreux États membres, a également prouvé ses limites. La transformation numérique de la société (intensifiée par la crise de la COVID-19) a élargi le paysage des menaces et crée de nouveaux défis, qui nécessitent des réponses adaptées et innovantes.
Aujourd’hui, toute perturbation, même limitée initialement à une entité ou à un secteur, peut avoir des effets en cascade plus larges, ce qui pourrait avoir des effets négatifs de grande portée et de longue durée sur la fourniture de services sur l’ensemble du marché intérieur.

Pour relever ces défis, comme annoncé dans la communication intitulée «Façonner l’avenir numérique de l’Europe», la Commission a accéléré le réexamen de la directive jusqu’à la fin de 2020, a procédé à une analyse d’impact et présenté une nouvelle proposition législative.

Éléments clés de la proposition de la Commission

La nouvelle proposition de la Commission vise à remédier aux lacunes de la précédente directive SRI, à l’adapter aux besoins actuels et à la rendre à l’épreuve du temps.

À cette fin, la proposition de la Commission élargit le champ d’application de l’actuelle directive SRI en ajoutant de nouveaux secteurs en fonction de leur criticité pour l’économie et la société, et en introduisant un plafond de taille clair, ce qui signifie que toutes les moyennes et grandes entreprises de certains secteurs seront incluses dans le champ d’application. Dans le même temps, elle laisse une certaine marge de manœuvre aux États membres pour identifier les petites entités présentant un profil de risque élevé en matière de sécurité.

La proposition supprime également la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Les entités seraient classées en fonction de leur importance et divisées respectivement en catégories essentielles et importantes, avec pour conséquence d’être soumises à des régimes de surveillance différents.

La proposition renforce les exigences de sécurité pour les entreprises, en imposant une approche de gestion des risques fournissant une liste minimale d’éléments de sécurité de base qui doivent être appliqués. La proposition introduit des dispositions plus précises sur le processus de signalement des incidents, le contenu des rapports et les délais.

En outre, la Commission propose d’aborder la question de la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs en exigeant des entreprises individuelles qu’elles s’attaquent aux risques liés à la cybersécurité dans les chaînes d’approvisionnement et les relations avec les fournisseurs. Au niveau européen, la proposition renforce la cybersécurité de la chaîne d’approvisionnement pour les technologies clés de l’information et de la communication. Les États membres, en coopération avec la Commission et l’ENISA, procéderont à des évaluations coordonnées des risques liés aux chaînes d’approvisionnement critiques, en s’appuyant sur l’approche réussie adoptée dans le cadre de la recommandation de la Commission sur la cybersécurité des réseaux 5G.

La proposition introduit des mesures de surveillance plus strictes pour les autorités nationales, des exigences d’exécution plus strictes et vise à harmoniser les régimes de sanctions entre les États membres.

La proposition renforce également le rôle du groupe de coopération dans l’ élaboration des décisions stratégiques concernant les technologies émergentes et les nouvelles tendances, et renforce le partage d’informations et la coopération entre les autorités des États membres. Elle renforce également la coopération opérationnelle, y compris dans le domaine de la gestion des cyber crises.

La proposition de la Commission établit un cadre de base avec des acteurs clés responsables en ce qui concerne la divulgation coordonnée des vulnérabilités pour les vulnérabilités nouvellement découvertes dans l’ensemble de l’UE et la création d’un registre de l’UE sur celui de l’Agence de l’Union européenne pour la cybersécurité (ENISA).
 

Prochaines étapes

Les actions suivantes pertinentes sont les suivantes:

  • La proposition fera l’objet de négociations entre les colégislateurs, notamment le Conseil de l’UE et le Parlement européen.
  • Une fois la proposition approuvée et adoptée en conséquence, les États membres devront transposer la directive SRI2 dans un délai de 18 mois.
  • La Commission doit réexaminer périodiquement la directive SRI2 et faire rapport pour la première fois sur le réexamen 54 mois après l’entrée en vigueur.
  • La Commission européenne attend avec intérêt la mise en œuvre de la nouvelle stratégie cybernétique dans les mois à venir.

 

Related content

Last update

2 avril 2024

Imprimer en PDF