Le projet de directive SRI (1) définit des « opérateurs de services essentiels » devant renforcer leur cybersécurité.
Devant l’augmentation des incidents de cybersécurité, qu’ils soient causés par des « erreurs humaines, des catastrophes naturelles, des défaillances techniques ou des actes de malveillance » et les enjeux économiques et stratégiques de tels incidents, le Parlement européen, le Conseil et la Commission ont trouvé un accord sur la directive « sécurité des réseaux et de l’information » (SRI), premier acte législatif de niveau européen en matière de cybersécurité.
La nouvelle directive SRI vise à « assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) dans l’Union ». Afin d’atteindre cet objectif :
- « elle fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d’événement de ce type » ;
- « elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l’Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d’incidents touchant les réseaux et systèmes informatiques » ;
- « elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques ».
Chaque Etat membre devra adopter une stratégie nationale en matière de SRI qui permettra de parvenir à un niveau élevé de SRI et à le maintenir.
La directive SRI impose ainsi aux administrations publiques et aux « acteurs du marché » des mesures de prévention des risques en termes de cybersécurité et des mesures de notification à l’autorité compétente (en France, l’Agence nationale de la sécurité des systèmes d’information (2) qui est depuis 2009, l’autorité nationale en matière de sécurité et de défense des systèmes d’information) des incidents « qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».
Les « acteurs du marché », qu’il appartiendra à chaque Etat membre de lister, sont définis par la directive SRI. Il s’agit notamment :
- pour les acteurs d’internet : des plateformes de commerce électronique, des passerelles de paiement par internet, des réseaux sociaux, des moteurs de recherche, des fournisseurs de cloud. Les fournisseurs d’accès à internet, les fournisseurs de messagerie électronique et les prestataires de stockage en sont expressément exclus, car ils sont concernés par d’autres dispositions spécifiques ;
- pour les autres acteurs « opérateurs fournissant des services essentiels », il s’agit principalement des acteurs de l’énergie, des transports notamment aériens), des services bancaires, des infrastructures de marchés financiers et des entreprises du secteur de la santé.
L’autorité compétente pourra procéder à des audits de sécurité.
Enfin, une coopération renforcée entre Etats membres est mise en place pour signaler les incidents, sous l’égide de l’Agence européenne chargée de la sécurité des réseaux et de l’information (3).
Tous ces acteurs seront soumis aux nouvelles obligations de sécurité telles qu’elles découleront de la transposition de cette directive en droit interne qui doit encore être approuvée formellement par le Parlement et le Conseil.
Après la publication au Journal officiel de la directive SRI, les Etats membres disposeront d’un délai de 21 mois pour transposer la directive dans leur droit national et d’un délai de 6 mois complémentaire pour identifier les « opérateurs de services indispensables ».
Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique
(1) PDE 2013/0027 (COD) 29-4-2016.
(2) ANSSI.
(3) AESRI (ENISA, en anglais).