Le 16 décembre 2020, la Commission européenne a présenté sa stratégie en matière de cybersécurité pour la décennie numérique, laquelle a pour ambition de « façonner l’avenir numérique de l’Europe ».
La Commission européenne souhaite s’appuyer sur un certain nombre de textes réglementaires afin de renforcer et de garantir un niveau commun en matière de cybersécurité, en tenant compte de l’interdépendance croissante entre sécurité intérieure et sécurité extérieure.
Rappelons que l’un des textes de référence en cette matière est la directive Network and Information System Security dite « NIS » adoptée le 6 juillet 2016 et transposée en droit français en février 2018. Ce texte européen avait déjà comme objectifs majeurs :
- d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne ;
- de renforcer le niveau des exigences de cybersécurité de nouvelles catégories d’opérateurs à savoir les opérateurs de services essentiels et les fournisseurs de services numériques.
L’intensification de la transformation digitale compte tenu de la crise sanitaire et l’augmentation croissante des cyberattaques ont mis en exergue le besoin d’élever le niveau de sécurité imposé aux entités.
Dans ce contexte, la Commission européenne a adopté une proposition de révision de la directive NIS (dite NIS 2.0) et une proposition de directive sur la résilience des entités critiques.
Quelles sont les principales dispositions en matière de cybersécurité ?
Dans le cadre de ces deux propositions de directive, la Commission européenne élargit le champ d’application de la directive NIS en ajoutant de nouveaux secteurs d’activité en fonction de leur importance pour l’économie et la société et en prenant leur taille en considération. Ainsi, la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques serait-elle supprimée. En outre, les entités seraient réparties en deux catégories : entités essentielles ou entités importantes. Chacune de ces catégories étant soumise à des obligations spécifiques. Notons qu’il est envisagé que chaque Etat membre dispose d’une marge d’appréciation lors de la transposition des textes afin de déterminer la taille des entités présentant un profil de risque élevé en matière de sécurité.
La Commission européenne propose également de renforcer les exigences de sécurité suivant une approche par les risques. La proposition de directive NIS 2.0 introduit des dispositions plus précises sur le processus de notification des incidents, le contenu des rapports et les délais.
Les propositions de la Commission européenne visent, par ailleurs, à harmoniser les régimes de sanction sur le territoire de l’Union européenne.
Enfin, ces propositions s’intéressent plus particulièrement à la question de la sécurité des chaînes d’approvisionnement et aux relations avec les fournisseurs. En effet, les risques en matière de cybersécurité devront aussi être prise en compte dans ces contextes. Ainsi, sur le plan contractuel, que ces propositions conduisent à renforcer notamment les clauses relatives à la sécurité et aux audits.
En dernier lieu, au niveau européen, la coopération opérationnelle est accentuée entre les Etats membres et l’European Union Agency for Cybersecurity (ENISA) notamment en matière de gestion de crises en matière de cybersécurité et d’identification des incidents de sécurité.
Quelles sont les prochaines étapes ?
Le Parlement européen et le Conseil doivent examiner et adopter les deux propositions de directive. A date, aucun calendrier prévisionnel n’a été communiqué.
Une fois, que ces institutions européennes auront adopté ces textes, les États membres devront transposer les directives dans un délai de dix-huit mois à compter de leur entrée en vigueur.
Mathias Avocats ne manquera pas de vous informer du déroulement de l’adoption et des mesures à mettre en œuvre au sein de vos entités.