La direction générale des communications, des réseaux, du contenu et de la technologie de la Commission européenne (DG CONNECT) et le département américain de la sécurité intérieure (DHS) ont annoncé aujourd’hui une initiative visant à comparer les éléments de signalement des cyberincidents qui éclaireront les exigences en matière de signalement des cyberincidents par les États-Unis et l’Union européenne (UE) en vertu de la directive SRI 2. Cette collaboration transatlantique entre l’UE et les États-Unis s’appuie sur leurs efforts pour sécuriser leurs citoyens, leurs infrastructures critiques et leurs entreprises contre les cyberactivités préjudiciables.
Le rapport conjoint élaboré par la DG CONNECT et le DHS, avec le soutien de leurs agences de cybersécurité respectives, de l’Agence européenne pour la cybersécurité (ENISA) et de l’Agence pour la sécurité des infrastructures et de la cybersécurité (CISA), fournit une évaluation comparative et une vue d’ensemble factuelle des recommandations formulées par le Conseil américain pour l’information sur les incidents cybernétiques et le rapport du DHS 2023 sur l’harmonisation des rapports d’incidents cybernétiques au gouvernement fédéral et la directive 2022/2555 de l’UE relative aux mesures de haut niveau de cybersécurité dans l’ensemble de l’Union (directive NIS2) en recensant les principales similitudes et divergences. Les conclusions du présent rapport aideront à éclairer l’approche de la DG CONNECT et du DHS pour évaluer les processus de déclaration des incidents cybernétiques à l’avenir. Le rapport identifie six principaux domaines d’analyse comparative entre le rapport du DHS et la directive de l’UE, notamment: (I) les définitions et les seuils de déclaration, (ii) les délais, les déclencheurs et les types de signalement des cyberincidents, (iii) le contenu des rapports d’incidents cybernétiques, (iv) les mécanismes de déclaration, (v) l’agrégation des données sur les incidents et (vi) la divulgation publique d’informations sur les cyberincidents.
Les cyberincidents ne reconnaissent pas les frontières et les entreprises multinationales sont souvent tenues de signaler des incidents dans de nombreuses juridictions. Nous nous engageons à harmoniser les règles en matière de signalement des incidents au niveau national et avec des partenaires partageant les mêmes idées, tels que l’Union européenne, chaque fois que cela est possible. Notre approche permettra aux autorités gouvernementales d’obtenir les informations dont elles ont besoin pour fournir une cyberdéfense tout en rationalisant le processus pour les organisations victimes.
Robert Silvers, sous-secrétaire à la politique et président du Cyber Incident Reporting Council.
De l’autre côté de l’Atlantique, nous cherchons à travailler ensemble pour comparer les exigences pertinentes en matière de déclaration, y compris la forme ou le format de l’information demandée, en cherchant des moyens de réduire au minimum la charge administrative pesant sur les entités déclarantes,
a déclaré Roberto Viola, directeur général de la CE pour les réseaux de communication, le contenu et la technologie
Cette initiative — qui s’aligne sur la déclaration conjointe de 2024 entre le secrétaire à la sécurité intérieure Alejandro N. Mayorkas et Thierry Breton, commissaire européen chargé du marché intérieur — marque le début d’un processus visant à aligner, dans la mesure du possible, le signalement des cyberincidents transatlantiques. DHS & DG CONNECT invitent l’industrie des États-Unis et de l’UE à partager leurs contributions et leurs réactions à notre collaboration et à notre approche conjointes d’évaluation des processus de signalement des cyberincidents.
Ce domaine est essentiel, car les autorités gouvernementales compétentes doivent avoir accès à des informations sur les cyberincidents qui ont un impact sur leurs citoyens ou soulèvent d’autres préoccupations en matière de sûreté et de sécurité. En outre, nous reconnaissons qu’au cours des prochains mois, tant les États-Unis que l’Union européenne poursuivront les travaux visant à mettre en œuvre des régimes de déclaration obligatoires, notamment en mettant en œuvre des dispositions plus précises sur le processus de notification des incidents, le contenu des rapports et les délais. Il est important de rester connecté sur ces questions et de s’aligner dans la mesure du possible.
ajout de Lorena Boix Alonso, directrice de la CE pour la société numérique, la confiance et la cybersécurité
Au cours de la prochaine année, nos équipes prévoient de poursuivre notre coopération à un niveau plus technique, notamment en cartographiant des éléments tels que les taxonomies d’incidents de cybersécurité, les modèles de reporting et le contenu des rapports et des formats. Nous procéderons à un croisement approfondi du modèle de formulaire de déclaration élaboré par le DHS par rapport au contenu requis des rapports NIS 2 afin de déterminer les chevauchements et les disparités dans les types de données demandés. Alors que nous poursuivons ces efforts, nous devons rester agiles et nous adapter à l’évolution rapide du paysage des cybermenaces, car rien ne reste statique dans notre monde numérique pour longtemps.
Iranga Kahangama, secrétaire adjointe du DHS pour la cybersécurité, l’infrastructure, les risques et la résilience.
Le Cyber Incident Reporting for Critical Infrastructure Act (Circia), signé par le président Biden en 2022, a créé le Cyber Incident Reporting Council (CIRC), dirigé par le DHS pour «coordonner, déconflit et harmoniser les exigences fédérales en matière de rapports d’incidents, y compris celles émises par la réglementation». Le CIRC, qui est présidé par le DHS et comprend des représentants de plus de 30 agences, a présenté une série de recommandations concrètes sur la façon dont le gouvernement américain peut rationaliser et harmoniser le signalement des cyberincidents afin de mieux protéger l’infrastructure critique du pays. En 2023, le DHS a présenté un rapport au Congrès comprenant des recommandations du Conseil intitulé Harmonisation of Cyber Incident Reporting to the Federal Government.
En janvier 2023, la directive SRI2 est entrée en vigueur, donnant aux États membres de l’UE 21 mois pour la transposer en droit national. La directive SRI2 s’appuie sur les exigences de sa précédente directive (UE) 2016/1148 concernant les mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’ensemble de l’Union (la directive SRI), en vigueur depuis 2016, mais elle élève le niveau d’ambition commun de l’UE en matière de cybersécurité, grâce à un champ d’application plus large, à des règles plus claires et à des outils de surveillance renforcés. La directive SRI2 harmonise, renforce et rationalise les exigences en matière de sécurité et de déclaration des incidents pour un plus grand nombre d’entités, qui sont essentielles pour l’économie et la société européennes.
Related content
Policy and legislation | 20 mars 2024
Afin d’éclairer la mise en œuvre en cours de la loi de 2022 sur la notification des incidents cybernétiques pour les infrastructures critiques et la directive de l’UE relative à un niveau élevé de cybersécurité dans l’ensemble de l’Union (directive SRI 2) par les autorités respectives et pour soutenir les entités actives dans plusieurs juridictions dans leurs efforts de réaction aux cyberincidents, le ministère de la Sécurité intérieure (DHS) et la DG CONNECT de la Commission européenne publient le présent rapport conjoint qui identifie les principales similitudes et divergences.