Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union

2013/0027(COD)

OBJECTIF : assurer un niveau commun élevé de sécurité des réseaux et de l'information (SRI) dans l'Union.

ACTE PROPOSÉ : Directive du Parlement européen et du Conseil.

RÔLE DU PARLEMENT EUROPÉEN : le Parlement statue conformément à la procédure législative ordinaire sur un pied d’égalité avec le Conseil.

CONTEXTE : les réseaux et les systèmes informatiques jouent un rôle capital dans la circulation transfrontière des biens, des services et des personnes. Compte tenu de cette dimension transnationale, toute perturbation dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La fiabilité des réseaux et systèmes informatiques est donc essentielle au bon fonctionnement du marché intérieur.

L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître : 57% des personnes qui se sont exprimées dans le cadre d’une consultation publique lancée par la Commission, ont indiqué avoir été confrontées, pendant l'année écoulée, à des incidents liés à la cybersécurité ayant eu une incidence grave sur leurs activité. Un sondage Eurobaromètre de 2012 a révélé que 38% des internautes de l'UE étaient préoccupés par la sécurité des paiements en ligne.

Il n'existe actuellement aucun véritable cadre au niveau de l'UE dans lequel pourraient s'inscrire la coopération et la collaboration ainsi que le partage d'informations de confiance sur les risques et incidents de SRI entre les États membres. Or, la stratégie numérique pour l'Europe ainsi que les conclusions du Conseil la concernant soulignent bien que la confiance et la sécurité sont des conditions préalables fondamentales pour favoriser une adoption généralisée des technologies de l’information et de la communication.

La présente proposition est présentée en liaison avec la communication conjointe de la Commission et de la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité concernant une stratégie européenne en matière de cybersécurité.

ANALYSE D’IMPACT : la Commission a analysé trois options différentes.

  • Option 1 : scénario du statu quo: maintien de l'approche actuelle.
  • Option 2 : approche réglementaire consistant en une proposition législative établissant un cadre juridique commun de l'UE en matière de SRI en ce qui concerne les moyens des États membres, les mécanismes de coopération au niveau de l'UE et les exigences applicables aux principaux acteurs privés et aux administrations publiques.
  • Option 3 : approche mixte combinant des initiatives basées sur la bonne volonté des États membres en ce qui concerne les moyens SRI et les mécanismes de coopération au niveau de l'UE avec des exigences réglementaires concernant les principaux acteurs privés et les administrations publiques.

La Commission a conclu que l'option 2 serait celle qui aurait les effets positifs les plus prononcés. L'évaluation quantitative a montré que cette option n'imposerait pas une charge excessive aux États membres. Pour le secteur privé, les coûts seraient limités aussi car de nombreuses entités concernées sont déjà censées répondre à des exigences de sécurité existante.

BASE JURIDIQUE : article 114 du traité sur le fonctionnement de l’Union européenne (TFUE).

CONTENU : la proposition de directive vise à revoir en profondeur la manière dont la SRI est abordée dans l'UE. Elle prévoit d'imposer des obligations réglementaires afin que les règles soient les mêmes partout et que les lacunes législatives existantes puissent être comblées. Les objectifs de la directive proposée sont les suivants :

1°) exiger de tous les États membres qu'ils mettent en place un minimum de moyens au niveau national en établissant des autorités compétentes dans le domaine de la SRI, en mettant sur pied des équipes d'intervention en cas d'urgence informatique (CERT) et en adoptant des stratégies et des plans de coopération nationaux en matière de SRI.

2°) prévoir que les autorités compétentes coopèrent au sein d'un réseau permettant une coordination sûre et efficace, un échange coordonné d'informations ainsi que la détection et l'intervention au niveau de l'UE. Au sein de ce réseau, les États membres échangeraient des informations et coopéreraient, avec le concours permanent de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) pour faire face aux menaces et incidents SRI et faciliter une application convergente de la directive dans toute l'UE.

3°) créer une culture de gestion des risques et favoriser le partage d'informations entre le secteur privé et le secteur public. Les entreprises des secteurs critiques - à savoir les secteurs de la banque, des bourses de valeurs, de la production, du transport et de la distribution d'énergie, des transports (aérien, ferroviaire, maritime), de la santé, des services internet - ainsi que les administrations publiques seraient tenues :

  • d'évaluer les risques qu'elles courent et d'adopter des mesures appropriées et proportionnées pour garantir la SRI ;
  • de signaler aux autorités compétentes tout incident de nature à compromettre sérieusement leurs réseaux et systèmes informatiques et ayant un impact significatif sur la continuité des services critiques et la fourniture des biens.

INCIDENCE BUDGÉTAIRE : la coopération et l'échange d'informations entre les États membres devraient se dérouler avec l'appui d'une infrastructure sécurisée. La proposition n'aura une incidence budgétaire pour l'UE que si les États membres décident d'adapter une infrastructure existante (telle que s-TESTA) et de confier les travaux de mise en œuvre à la Commission au titre du cadre financier pluriannuel 2014-2020. Le coût unique estimé serait de 1.250.000 EUR, à condition que des fonds suffisants soient disponibles au titre du Mécanisme pour l'interconnexion en Europe (MIE).

Les États membres peuvent aussi décider soit de partager le coût unique lié à l'adaptation d'une infrastructure existante, soit de créer une nouvelle infrastructure et d'en supporter les coûts, qui sont estimés à environ 10 millions EUR par an.

ACTES DÉLÉGUÉS : la proposition contient des dispositions habilitant la Commission à adopter des actes délégués conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne.