La commission du marché intérieur et de la protection des consommateurs a adopté le rapport d’Andreas SCHWAB (PPE, DE) sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union.
La commission de l'industrie, de la recherche et de l'énergie et la commission des libertés civiles, de la justice et des affaires intérieures, exerçant les prérogatives de commissions associées conformément à l’article 50 du règlement intérieur du Parlement, ont également été consultées pour émettre un avis sur le présent rapport.
La commission parlementaire a recommandé que la position du Parlement européen adoptée en première lecture suivant la procédure législative ordinaire modifie la proposition de la Commission comme suit.
Champ d'application : le projet de directive vise à imposer des obligations aux administrations publiques et aux acteurs du marché, y compris aux infrastructures critiques et aux services de la société de l'information.
Afin de veiller à la proportionnalité de l'application de la directive, les députés sont d’avis que les mesures obligatoires prévues au chapitre IV devraient être limitées aux infrastructures qui sont critiques au sens strict. Ils ont donc suggéré de ne pas inclure les services de la société de l'information à l'annexe II de la directive (liste des acteurs du marché).
En revanche, la directive devrait être axée sur l'infrastructure critique essentielle au maintien des fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers ou des soins de santé. Les développeurs de logiciels et les fabricants de matériel devraient dès lors être exclus du champ d'application de la directive.
Protection et traitement des données à caractère personnel : les députés ont insisté pour que tout traitement de données à caractère personnel dans les États membres en vertu de la directive soit réalisé dans le respect de la directive 95/46/CE et de la directive 2002/58/CE. Toute utilisation des données personnelles devrait être limitée au strict nécessaire et ces données devraient être aussi anonymes que possible, voire totalement anonymes.
Autorités et guichets uniques compétents au niveau national en matière de sécurité des réseaux et systèmes informatiques : les députés ont proposé de modifier la directive afin d'autoriser la désignation de plusieurs autorités compétentes par État membre. Toutefois, afin de garantir une application cohérente dans l'État membre et de permettre une coopération efficace et simplifiée au niveau de l'Union, chaque État membre devrait désigner un guichet unique. Le guichet unique assurerait, entre autres, la coopération transfrontière avec d'autres guichets uniques.
Équipes d'intervention en cas d'urgence informatique (CERT) : chaque État membre devrait mettre en place au moins une équipe d'intervention en cas d'urgence informatique pour chacun des secteurs définis à l'annexe II, chargée de la gestion des incidents et des risques selon un processus bien défini.
Les CERT devraient disposer de moyens humains et financiers adéquats pour participer activement aux réseaux de coopération internationaux, et en particulier au niveau de l'Union.
Les CERT seraient encouragées à initier des exercices conjoints avec d'autres CERT, avec l'ensemble des CERT des États membres et avec les institutions compétentes des pays tiers, ainsi qu'avec les CERT des institutions multinationales et internationales, telles que l'OTAN et les Nations unies, et à y participer.
Réseau de coopération : en vue de renforcer les activités du réseau de coopération, les députés ont estimé que ce dernier devrait envisager d'inviter les acteurs du marché et les fournisseurs de solutions en matière de cybersécurité à y participer, si nécessaire. Par ailleurs, le réseau de coopération devrait publier un rapport annuel d’activités.
Exigences de sécurité et notification d'incidents : la proposition prévoit que la Commission est habilitée à adopter des actes délégués en ce qui concerne la définition des circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents.
Afin de clarifier la portée des obligations et de les consacrer dans l'acte de base, il est proposé de remplacer les actes délégués par des critères clairs permettant de déterminer l'importance des incidents à notifier. Afin de déterminer l'ampleur de l'impact d'un incident, les critères suivants devraient être pris en compte : i) le nombre d'utilisateurs dont le service essentiel est concerné ; ii) la durée de l'incident ; iii) la portée géographique eu égard à la zone touchée par l'incident.
Après avoir consulté l'autorité compétente notifiée et l'acteur du marché concerné, le guichet unique pourrait informer le public de chaque incident lorsqu'il juge que la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours. Les États membres devraient encourager les acteurs du marché à divulguer les incidents affectant leur activité de leur plein gré dans leurs rapports financiers.
Mise en œuvre et exécution : la proposition prévoit que les acteurs du marché se soumettent à un audit exécuté par un organisme qualifié indépendant ou une autorité nationale et mettent les résultats de cet audit à la disposition de l'autorité compétente. Les députés ont préconisé pour leur part de laisser une certaine flexibilité concernant la preuve de la conformité avec les exigences imposées aux acteurs du marché en matière de sécurité, en admettant d'autres formes de preuve de la conformité que des audits de sécurité.
Les guichets uniques et les autorités chargées de la protection des données devraient mettre au point, en coopération avec l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), des mécanismes d'échange d'informations et un formulaire unique qui seraient utilisés pour les notifications d’incidents.
Sanctions : les députés ont proposé de préciser que lorsque les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu de la directive, mais qu'ils n'ont pas agi de manière intentionnelle ou à la suite d'une négligence grave, aucune sanction ne soit imposée.