Le Conseil européen a adopté une législation pour un niveau typique élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer encore la force et les capacités de réaction aux incidents des secteurs public et privé et de l’UE dans son ensemble. Le tout nouveau règlement, appelé « NIS2 », va changer l’actuelle directive sur la sécurité des réseaux et des systèmes d’information (la directive NIS).
« Il ne fait aucun doute que la cybersécurité restera un obstacle majeur pour le années à venir. Les enjeux pour nos économies et nos habitants sont énormes. Aujourd’hui, nous avons pris une autre mesure pour améliorer notre capacité à contrer ce danger », a déclaré Ivan Bartoš, vice-Premier ministre tchèque chargé de la numérisation et ministre du Développement régional.
Gestion et coopération plus efficaces des dangers et des incidents
NIS2 établira la base des étapes de gestion des menaces de cybersécurité et des obligations de déclaration dans tous les secteurs couverts par la directive, tels que l’énergie, les transports, la santé et infrastructure numérique.
Le règlement modifié vise à harmoniser les exigences en matière de cybersécurité et l’exécution des mesures de cybersécurité dans les différents États membres. Pour y parvenir, il définit des règles minimales pour une structure de régulation et met en place des systèmes de coopération fiable entre les autorités compétentes dans chaque État membre. Il met à jour la liste des secteurs et des activités en fonction des responsabilités en matière de cybersécurité et prévoit des recours et des sanctions pour garantir l’application.
Le règlement développera officiellement le réseau européen d’organisations intermédiaires en matière de cybercrises, EU-CyCLONe, qui soutiendra le gestion collaborative des événements et des crises de cybersécurité à grande échelle.
Élargissement du champ d’application des règles
Alors que sous l’ancienne directive NIS, les États membres étaient responsables de déterminer quelles entités répondraient aux exigences pour se qualifier en tant qu’opérateurs de services vitaux, le tout nouveau règlement NIS2 introduit une règle de taille maximale comme ligne directrice de base pour la reconnaissance des entités réglementées. Cela indique que toutes les moyennes et grandes entités opérant dans les secteurs ou offrant des services couverts par la directive entreront dans son champ d’application.
Bien que l’instruction modifiée conserve cette ligne directrice de base, son texte consiste en des dispositions supplémentaires pour garantir la proportionnalité, un niveau supérieur de gestion des menaces et des critères de criticité précis pour permettre aux autorités nationales d’identifier d’autres entités couvertes.
Le texte précise également que le règlement ne s’appliquera pas aux entités exerçant des activités dans des lieux tels que la défense ou la sécurité nationale, la sécurité publique et l’application de la loi. Le pouvoir judiciaire, les parlements et les banques centrales sont également exclus du champ d’application.
NIS2 sera également utilisé pour les administrations publiques aux niveaux central et local. En outre, les États membres peuvent décider qu’ils utilisent également ces entités au niveau local.
Autres modifications introduites par la toute nouvelle loi
Le nouveau règlement a en fait été aligné sur le secteur -une législation spécifique, notamment le règlement sur la résilience fonctionnelle numérique du secteur financier (DORA) et l’instruction sur la pérennité des entités vitales (CER), pour apporter de la clarté juridique et assurer la cohérence entre NIS2 et ces actes.
Un mécanisme volontaire d’apprentissage par les pairs renforcera la confiance partagée et l’apprentissage des bonnes pratiques et expériences dans l’Union, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité.
La toute nouvelle législation simplifie également la engagements de déclaration afin d’éviter de provoquer une surdéclaration et de développer un problème excessif sur les entités couvertes.
Prochaines actions
L’adoption par le Conseil de l’UE intervient quelques semaines après que le Parlement européen a approuvé la nouvelle législation.
Le règlement NIS2 sera publié au Journal des autorités de l’Union européenne dans les prochains jours et entrera en vigueur à la mi-décembre.
Les États membres disposeront de 21 mois à compter de l’entrée en vigueur du règlement en lesquelles incorporer les dispositions dans leur législation nationale. (Cependant, il convient de noter que certains États membres de l’UE n’ont pas encore mis en œuvre les mesures prescrites par l’instruction NIS.)
Toute l’actualité en temps réel, est sur L’Entrepreneur
