Transposition de la directive européenne sur la sécurité des réseaux et de l'information

EXECUTIVE SUMMARY

Le Conseil de l’Union européenne a publié la version définitive de la directive sur la sécurité des réseaux et de l’information (RSI) le 21 avril 2016. Alors qu’elle doit être officiellement signée par le Parlement européen cet été, le texte lui-même a déjà été accepté par les trois institutions européennes et ne devrait donc pas changer. Les États membres sont tenus de la transposer dans leur législation nationale dans un délai de 21 mois suivant son adoption. Afin de faciliter ce processus, veuillez trouver dans l’annexe ci-jointe un guide des meilleures pratiques sur la façon d’appliquer les aspects pertinents au secteur des technologies et entériner efficacement les intentions des rédacteurs.

La directive européenne RSI est le premier texte de loi sur la cybersécurité paneuropéen. Il se concentre sur le renforcement des autorités compétentes en matière de cybersécurité nationale, améliorant la coordination entre elles, et introduit des exigences de sécurité pour les acteurs sectoriels clés.

Aucune loi nationale ne devrait perdre de vue les deux objectifs principaux de la directive : (1) assurer un niveau élevé de cybersécurité pour les infrastructures critiques du pays ; (2) établir un mécanisme de coopération efficace entre les États membres de l’Union européenne afin de promouvoir cet objectif. Les ressources devraient d’abord et principalement être dédiées à la réalisation de ces deux objectifs essentiels.

En ce qui concerne le secteur des technologies, les dispositions liées aux dénommés fournisseurs de services numériques (FSN) sont d’un intérêt tout particulier. La directive indique clairement qu’il existe des différences fondamentales entre les opérateurs de services essentiels (OSE) et les FSN. En effet, ces derniers ne doivent pas être considérés comme des infrastructures critiques en tant que telles. Comme le reconnaît la loi, un incident touchant ces services numériques entraînerait un niveau considérablement moins élevé de risque pour la sécurité économique et la sécurité publique d’un pays. Maintenir cette distinction est donc essentiel afin de pouvoir également utiliser efficacement et effectivement les ressources limitées des autorités qui doivent superviser et imposer les règles.

Par conséquent, nous recommandons de porter une attention particulière à la portée envisagée des services en question et appelons les décideurs politiques à ne pas soumettre les secteurs, autres que ceux identifiés en tant que FSN et OSE, à des exigences de sécurité dans la législation nationale.

D’un point de vue de la juridiction, les FSN doivent pouvoir s’en remettre au droit en vigueur dans le pays de leur établissement principal, même lorsque les autorités compétentes de plus d’un pays sont impliquées. En ce qui concerne la surveillance, les autorités compétentes doivent suivre une approche ex post plutôt que d’imposer une obligation générale de supervision des FSN. En outre, elles doiventse concentrer sur les résultats et maintenir la distinction entreles OSE et les FSN en ne soumettant pas ces derniers à des exigences non prévues par la directive, telles que des instructions d’audit et mesures contraignantes.

Les mesures de sécurité s’appliquant aux FSN doivent être différentes de celles imposées aux OSE, puisque la directive énonce que ces derniers représentent un risque de sécurité considérablement moins élevé. Les décideurs politiques doivent réaliser l’objectif d’harmonisation de ces services, reconnaître les normes internationales du secteur existantes, éviter les mandats technologiques et respecter le droit des FSN entériné dans la directive afin de définir les mesures de sécurité les plus appropriées pour leurs systèmes. Les rapports d’incidents doivent également être harmonisés autant que possible au niveau européen. Ils doivent se concentrer sur les incidents affectant la continuité du service, respecter la flexibilité des délais de notification et créer un environnement de confiance encourageant l’échange d’information sans exposer la partie notifiante à une responsabilité accrue.

Les mesures imposées aux OSE affecteront également les autres industries, puisque les mesures de sécurité et les rapports d’incident se répercuteront dans les dispositions contractuelles, en particulier en ce qui concerne les services de cloud. Les FSN peuvent donc être indirectement sujets aux lois nationales de leurs clients et nous sommes par conséquent désireux de voir les mesures de sécurité reconnues sur la scène internationale s’appliquer à ces services. Nous proposons également une coordination et des synergies entre les exigences de rapport sur les OSE et les FSN, autant que possible, étant donné ces derniers peuvent être sujets à une double notification.

La directive définit l’ambition de parvenir à un niveau commun élevé de sécurité des réseaux et des systèmes d’information afin d’améliorer le fonctionnement du marché interne. Afin d’atteindre ce noble objectif , les transpositions nationales doivent se concentrer sur une approche basée sur les risques, harmonisée et internationale harmonisée, qui donne aux acteurs du secteur privé la flexibilité de s’adapter aux menaces en évolution constante, qui permette aux autorités de cybersécurité de concentrer les ressources limitées sur les défis les plus importants et qui reconnaîsse que la solution à un problème sans frontière doit être mondiale. Nous espérons que vous trouverez en ce guide un outil pratique à cette fin. Nous restons à votre disposition pour répondre à d’éventuelles questions.