Directive SRI 2: la sécurisation des réseaux et des systèmes d'information

La directive SRI 2 établit un cadre juridique unifié pour préserver la cybersécurité dans 18 secteurs critiques dans l’ensemble de l’UE. Il invite également les États membres à définir des stratégies nationales en matière de cybersécurité et à collaborer avec l’UE pour la réaction et l’application transfrontières.

La cybersécurité consiste à protéger les réseaux et les systèmes d'information (SRI), leurs utilisateurs et les autres personnes touchées contre les cyberincidents et les menaces. Afin de répondre à l’exposition accrue de l’Europe aux cybermenaces, la directive 2022/2555, également connue sous le nom de SRI 2, a remplacé son prédécesseur, la directive 2016/1148 ou SRI 1. La SRI 2 relève le niveau d’ambition commun de l’UE en matière de cybersécurité, grâce à un champ d’application plus large, à des règles plus claires et à des outils de surveillance plus solides. Elle impose aux États membres de renforcer leurs capacités en matière de cybersécurité, tout en introduisant des mesures de gestion des risques et des exigences en matière de communication d’informations aux entités d’un plus grand nombre de secteurs et en établissant des règles pour la coopération, le partage d’informations, la supervision et l’application des mesures de cybersécurité.

La directive impose à chaque État membre d’adopter une stratégie nationale en matière de cybersécurité, qui comprenne des politiques de sécurité de la chaîne d’approvisionnement, de gestion des vulnérabilités et d’éducation et de sensibilisation à la cybersécurité. Les États membres doivent également établir et mettre à jour régulièrement une liste des opérateurs de services essentiels, en veillant à ce que ces entités respectent les exigences de la directive.

Outre les secteurs déjà couverts par la SRI 1 (énergie, transports, soins de santé, finances, gestion de l’eau et infrastructures numériques), les nouvelles règles s’appliquent également aux fournisseurs de communications électroniques publiques, à davantage de services numériques (tels que les plateformes sociales), à la gestion des déchets et des eaux usées, à la fabrication de produits critiques, aux services postaux et de messagerie et à l’administration publique aux niveaux central et régional, ainsi qu’au secteur spatial. En règle générale, les entités de taille moyenne et de grande taille dans ces secteurs critiques devront prendre des mesures appropriées de gestion des risques en matière de cybersécurité et notifier les incidents importants aux autorités nationales compétentes. Il s'agit d'incidents qui pourraient causer des perturbations ou des dommages importants.

La directive comprend également des dispositions relatives à la surveillance, à l’application et aux examens collégiaux volontaires afin de renforcer la confiance mutuelle et les capacités en matière de cybersécurité dans l’ensemble de l’UE. Il introduit également la responsabilité de la haute direction en cas de non-respect des mesures de gestion des risques de cybersécurité, ce qui porte la cybersécurité à l’attention du conseil d’administration.

La directive met en place un réseau d'équipes de réponse aux incidents de sécurité informatique (CSIRT) pour échanger des informations sur les cybermenaces et réagir aux incidents. Ces équipes sont cruciales pour maintenir la connaissance de la situation et offrir de l'aide. Pour gérer les incidents ou les crises de cybersécurité à grande échelle, la directive crée le réseau européen d’organisations de liaison en cas de crise informatique (EU-CyCLONe). Ce réseau soutient une gestion coordonnée et assure un échange régulier d’informations entre les États membres et les institutions de l’UE en cas d’incidents et de crises de grande ampleur.

Parallèlement, le groupe de coopération SRI est une plateforme créée par la directive SRI pour faciliter la coopération stratégique et l’échange d’informations entre les États membres de l’UE, la Commission européenne et l’Agence de l’UE pour la cybersécurité (ENISA). Le groupe publie des lignes directrices et des recommandations non contraignantes pour soutenir la mise en œuvre de la directive SRI.

Contexte

La directive SRI 1 (directive 2016/1148) a été la première législation globale de l’UE visant à renforcer la cybersécurité des réseaux et des systèmes d’information afin de préserver des services vitaux pour l’économie et la société de l’UE. En décembre 2020, la Commission a proposé de réviser la SRI 1, ce qui a abouti à l’adoption de la SRI 2, qui est entrée en vigueur en janvier 2023. Les États membres avaient jusqu’au 17 octobre 2024 pour transposer la directive SRI 2 en droit national. NIS 2 a abrogé NIS1 à compter du 18 octobre 2024.

Dernières nouvelles

Executive Vice-Presidents Virkkunen and Mînzatu reward actions to strengthen Europeans' digital skills at European Digital Skills Awards

Communiqué de presse
12 novembre 2025

Les vice-présidents exécutifs Virkkunen et Mînzatu récompensent les actions visant à renforcer les compétences numériques des Européens lors des prix européens des compétences numériques

Le 12 novembre, Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, et Roxana Mînzatu, vice-présidente exécutive chargée des droits sociaux et des compétences, des emplois de qualité et de la préparation, assistent aux prix des compétences numériques, célébrant les approches innovantes visant à renforcer les compétences numériques dans l’UE.

BlueOLEx promotional visual, text "BlueOLEx, Assessing EU Crisis Management Skills, Cyprus, 4 November 2025" against white background.

Communiqué de presse
04 novembre 2025

Les États membres et la Commission testent la réaction collective aux crises de cybersécurité

Le 4 novembre 2025, de hauts responsables de la cybersécurité des États membres de l’UE et de la Commission ont participé à l’édition 2025 de l’«exercice de niveau opérationnel du plan d’action» (BlueOLEx), qui marque le premier exercice depuis l’adoption du nouveau plan d’action de l’UE en matière de cybersécurité qui clarifie les rôles et les responsabilités en cas de crise.

group picture of the Cyber Dialogue meeting

Digibyte
18 octobre 2025

L’UE et l’Ukraine approfondissent leur coopération en matière de cybersécurité lors du 4e dialogue sur le cyberespace

L'Union européenne et l'Ukraine ont tenu leur 4e dialogue sur le cyberespace à Kiev (Ukraine) le 16 octobre, réaffirmant leur ferme attachement à la coopération en matière de cybersécurité et de cyberdiplomatie.

Visual for European Cybersecurity Month 2025

Communiqué de presse
01 octobre 2025

Lancement du Mois européen de la cybersécurité 2025, axé sur les menaces d’hameçonnage

Le Mois européen de la cybersécurité commence aujourd'hui. Il s’agit d’une campagne annuelle de sensibilisation, qui propose des orientations pratiques aux citoyens de l’UE pour qu’ils restent en sécurité en ligne.

Parcourir Cybersécurité

Contenu associé

Vue d’ensemble

Politiques de cybersécurité de l’UE

L’Union européenne œuvre sur différents fronts pour promouvoir la cyberrésilience, préserver nos communications et nos données et assurer la sécurité de la société et de l’économie en ligne.

Aller plus loin

Groupe de coopération SRI
Le groupe de coopération sur les réseaux et les systèmes d’information a été créé par la directive...
Transposition de la directive SRI 2 dans les pays de l'UE
La Commission, en collaboration avec l’Agence de l’Union européenne chargée de la sécurité des...

Directive SRI 2: la sécurisation des réseaux et des systèmes d'information

Contexte

Dernières nouvelles

Contenu associé

Vue d’ensemble

Last update