Régulation : L’Union Européenne exige davantage de cybersécurité pour plusieurs secteurs clés

Le Conseil ainsi que le Parlement européen se sont mis d’accord Vendredi dernier sur de nouvelles règles en matière de cybersécurité, des règles destinées à renforcer la sécurité de secteurs prioritaires et sensibles tels que l’énergie, les transports, la santé ou l’infrastructure numérique.

«Le Conseil et le Parlement européen se sont mis d’accord aujourd’hui sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, afin d’améliorer encore la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l’UE dans son ensemble,», a commenté le conseil de l’UE sur son site.

La nouvelle mesure, la SRI2 – qui vient s’ajouter au package de mesures adoptées il y a deux ans par la Commission Européenne – viendra remplacer la SRI, l’actuelle directive sur la sécurité des réseaux et des systèmes d’information.

Dans un contexte de progression constante des cyberattaques au niveau global, la SRI devrait permettre d’«améliorer encore la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l’UE dans son ensemble»

Principal objectif de la mesure, un renforcement du niveau de cybersécurité de secteurs davantage ciblés par les hackers comme les institutions financières, les fournisseurs en ligne ou les fabricants de matériel médical. La directive devrait avoir des applications concrètes pour tout un éventail de produits et d’activités diverses; les entreprises concernées devraient ainsi avoir l’obligation d’évaluer leur niveau de danger, signaler aux autorités toute attaque, et prendre des mesures concrètes pour apporter une réponse au danger.

«La directive révisée a pour objectif de supprimer les divergences au niveau des exigences en matière de cybersécurité et de la mise en œuvre des mesures de cybersécurité dans les différents États membres,», explique le Conseil de l’Europe sur son site. «La directive SRI 2 constituera la base des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans tous les secteurs couverts par la directive, et notamment l’énergie, les transports, la santé et l’infrastructure numérique.»

Les entreprises manquant à leurs obligations nouvelles pourraient se voir acquitter d’une amende (jusqu’à 2% de leur chiffre d’affaires global) pour non conformité.

«Les cybermenaces sont devenues plus audacieuses et très avancées. Il était crucial d’adapter notre cadre de sécurité aux toutes nouvelles réalités et garantir à nos résidents et infrastructures qu’ils sont protégés,», a déclaré dans un communiqué Thierry Breton, commissionnaire européen en charge du marché intérieur.

Cette nouvelle mesure devrait également instaurer le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), qui soutiendra la «gestion coordonnée des incidents de cybersécurité majeurs.»

Source : Reuters

Crédit photo : Reuters