Le 7 février 2013, la Commission européenne a publié la stratégie de l’Union européenne en matière sécurité des réseaux. En même temps que la stratégie de cybersécurité (1), elle publie une proposition de directive concernant la sécurité des réseaux et des systèmes d’information (2).
La proposition de directive vise à assurer un niveau commun élevé de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne, en demandant aux Etats :
- d’adopter une stratégie nationale de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques et les mesures politiques et réglementaires concrètes visant à parvenir à un niveau élevé de sécurité des réseaux et des systèmes d’information à maintenir, et comportant un plan national de coopération en matière de SRI ;
- de désigner une autorité nationale compétente en matière de sécurité des réseaux et et des systèmes d’information, qui aura un pouvoir de contrôle de l’application de la directive, un pouvoir d’enquête et le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché, mais également la centralisation de l’ensemble des incidents au sein des administrations publiques et des acteurs du marché ;
- de mettre en place une équipe d’intervention en cas d’urgence informatique chargée de la gestion des incidents et des risques selon un processus bien défini et placée sous la surveillance de l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information.
La proposition de directive prévoit également la mise en place d’un réseau de coopération pour la lutte contre les risques et incidents touchant les réseaux et les systèmes d’information entre l’ensemble des autorités nationales compétentes en matière de sécurité des réseaux et des systèmes d’information. La proposition de directive précise l’organisation de ce réseau de coopération en préconisant :
- le recours à un système sécurisé d’échange d’informations ;
- l’établissement d’un mécanisme d’alerte rapide pour les risques et incidents ;
- la mise en place d’interventions coordonnées.
Par ailleurs, la proposition de directive prévoit la faculté de la Commission, d’une part, d’adopter, au moyen d’actes d’exécution, un plan de coopération de l’Union Européenne en matière de sécurité des réseaux et des systèmes d’information et, d’autre part, de conclure avec des pays tiers ou des organisations internationales des coopérations internationales.
De plus, les Etats devront veiller à ce que les administrations publiques et les acteurs du marché fournissant des services au sein de l’Union Européenne, prennent les mesures de sécurité nécessaires et notifient les incidents à l’autorité nationale compétente en matière de sécurité des réseaux et des systèmes d’information.
Afin de veiller à l’harmonisation des politiques de sécurité des réseaux et des systèmes d’information étatiques, les Etats membres doivent encourager l’utilisation des normes recommandées par actes d’exécution par la Commission. La proposition de directive prévoit également la mise en place par les Etats membres de sanctions effectives, proportionnées et dissuasives. Enfin, elle prévoit un délai de transposition de la directive d’un an et demi à compter de l’adoption de cette dernière.
(1) Commission européenne, Communication du 7-2-2013 (EN)
(2) Proposition de directive COM(2013) 48 final du 7-2-2013
Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique