Directive SRI 2: la sécurisation des réseaux et des systèmes d'information

La cybersécurité consiste à protéger les réseaux et les systèmes d'information (SRI), leurs utilisateurs et les autres personnes touchées contre les cyberincidents et les menaces. Afin de répondre à l’exposition accrue de l’Europe aux cybermenaces, la directive 2022/2555, également connue sous le nom de SRI 2, a remplacé son prédécesseur, la directive 2016/1148 ou SRI 1. La SRI 2 relève le niveau d’ambition commun de l’UE en matière de cybersécurité, grâce à un champ d’application plus large, à des règles plus claires et à des outils de surveillance plus solides. Elle impose aux États membres de renforcer leurs capacités en matière de cybersécurité, tout en introduisant des mesures de gestion des risques et des exigences en matière de communication d’informations aux entités d’un plus grand nombre de secteurs et en établissant des règles pour la coopération, le partage d’informations, la supervision et l’application des mesures de cybersécurité.

La directive impose à chaque État membre d’adopter une stratégie nationale en matière de cybersécurité, qui comprenne des politiques de sécurité de la chaîne d’approvisionnement, de gestion des vulnérabilités et d’éducation et de sensibilisation à la cybersécurité. Les États membres doivent également établir et mettre à jour régulièrement une liste des opérateurs de services essentiels, en veillant à ce que ces entités respectent les exigences de la directive.

Outre les secteurs déjà couverts par la SRI 1 (énergie, transports, soins de santé, finances, gestion de l’eau et infrastructures numériques), les nouvelles règles s’appliquent également aux fournisseurs de communications électroniques publiques, à davantage de services numériques (tels que les plateformes sociales), à la gestion des déchets et des eaux usées, à la fabrication de produits critiques, aux services postaux et de messagerie et à l’administration publique aux niveaux central et régional, ainsi qu’au secteur spatial. En règle générale, les entités de taille moyenne et de grande taille dans ces secteurs critiques devront prendre des mesures appropriées de gestion des risques en matière de cybersécurité et notifier les incidents importants aux autorités nationales compétentes. Il s'agit d'incidents qui pourraient causer des perturbations ou des dommages importants.

La directive comprend également des dispositions relatives à la surveillance, à l’application et aux examens collégiaux volontaires afin de renforcer la confiance mutuelle et les capacités en matière de cybersécurité dans l’ensemble de l’UE. Il introduit également la responsabilité de la haute direction en cas de non-respect des mesures de gestion des risques de cybersécurité, ce qui porte la cybersécurité à l’attention du conseil d’administration.

La directive met en place un réseau d'équipes de réponse aux incidents de sécurité informatique (CSIRT) pour échanger des informations sur les cybermenaces et réagir aux incidents. Ces équipes sont cruciales pour maintenir la connaissance de la situation et offrir de l'aide. Pour gérer les incidents ou les crises de cybersécurité à grande échelle, la directive crée le réseau européen d’organisations de liaison en cas de crise informatique (EU-CyCLONe). Ce réseau soutient une gestion coordonnée et assure un échange régulier d’informations entre les États membres et les institutions de l’UE en cas d’incidents et de crises de grande ampleur. 

Parallèlement, le groupe de coopération SRI est une plateforme créée par la directive SRI pour faciliter la coopération stratégique et l’échange d’informations entre les États membres de l’UE, la Commission européenne et l’Agence de l’UE pour la cybersécurité (ENISA). Le groupe publie des lignes directrices et des recommandations non contraignantes pour soutenir la mise en œuvre de la directive SRI.

Contexte

La directive SRI 1 (directive 2016/1148) a été la première législation globale de l’UE visant à renforcer la cybersécurité des réseaux et des systèmes d’information afin de préserver des services vitaux pour l’économie et la société de l’UE. En décembre 2020, la Commission a proposé de réviser la SRI 1, ce qui a abouti à l’adoption de la SRI 2, qui est entrée en vigueur en janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour transposer la directive SRI 2 en droit national. NIS 2 a abrogé NIS1 à compter du 18 octobre 2024.