iStock photo Getty images plus
Les menaces qui pèsent récemment sur les infrastructures critiques de l’UE ont tenté de porter atteinte à notre sécurité collective. Dès 2020, la Commission avait proposé une mise à niveau significative des règles de l’UE en matière de résilience des entités critiques et de sécurité des réseaux et des systèmes d’information.
Les 2 directives entrées en vigueur sont les suivantes:
- Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2)
- Directive sur la résilience des entités critiques (directive CER)
La directive SRI 2 garantira une Europe plus sûre et plus forte en élargissant considérablement les secteurs et le type d’entités critiques relevant de son champ d’application. Il s’agit notamment des fournisseurs de réseaux et de services publics de communications électroniques, des services de centres de données, de la gestion des eaux usées et des déchets, de la fabrication de produits critiques, des services postaux et de courrier et des entités de l’administration publique, ainsi que du secteur des soins de santé au sens large. En outre, elle renforcera les exigences en matière de gestion des risques de cybersécurité que les entreprises sont tenues de respecter, et rationalisera les obligations en matière de signalement des incidents au moyen de dispositions plus précises en matière de signalement, de contenu et de calendrier. La directive SRI 2 remplace les règles relatives à la sécurité des réseaux et des systèmes d’information, la première législation à l’échelle de l’UE en matière de cybersécurité.
Face à un paysage de risques de plus en plus complexe, la nouvelle directive CER remplace la directive sur les infrastructures critiques européennes de 2008. Les nouvelles règles renforceront la résilience des infrastructures critiques face à toute une série de menaces, notamment les risques naturels, les attaques terroristes, les menaces internes ou le sabotage. 11 secteurs seront couverts: l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique, l’espace et l’alimentation. Les États membres devront adopter une stratégie nationale et procéder régulièrement à des évaluations des risques afin de recenser les entités considérées comme critiques ou vitales pour la société et l’économie.
Les États membres disposent de 21 mois pour transposer ces deux directives dans leur droit national. Pendant cette période, les États membres adoptent et publient les mesures nécessaires pour s’y conformer.
En décembre 2022, le Conseil a adopté une recommandation relative à une approche de coordination à l’échelle de l’Union pour renforcer la résilience des infrastructures critiques, dans laquelle les États membres sont invités à accélérer les travaux préparatoires en vue de la transposition et de l’application de la directive SRI 2 et de la directive sur la résilience des entités critiques (CER).