Le Conseil a adopté sa position en première lecture en vue de l'adoption de la directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.
La directive proposée établit des mesures visant à assurer un niveau commun élevé de sécurité des réseaux et des systèmes d'information dans l'Union afin d'améliorer le fonctionnement du marché intérieur.
Les principaux éléments de la position du Conseil portent sur les points suivants :
Obligations relatives aux moyens disponibles au niveau national en matière de cybersécurité : aux termes de la position du Conseil, les États membres seraient tenus :
Coopération : pour soutenir la coopération stratégique entre les États membres, renforcer la confiance et parvenir à un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, la position du Conseil prévoit :
Exigences en matière de sécurité et de notification : aux termes de la position du Conseil, la directive fixerait certaines obligations à deux types d'acteurs du marché, à savoir i) aux opérateurs de services essentiels et ii) aux fournisseurs de services numériques.
Selon une approche différentiée, les exigences en matière de sécurité et de notification imposées aux fournisseurs de services numériques seraient moins strictes que celles appliquées aux opérateurs de services essentiels.
Les deux types d'acteurs du marché seraient tenus de prendre des mesures organisationnelles et techniques en vue de gérer les risques qui menacent la sécurité des réseaux et systèmes d'information, ainsi qu'en vue de prévenir les incidents qui compromettent la sécurité de ces systèmes et d'en limiter l'impact. Par ailleurs, les incidents ayant un certain degré d'impact sur les services en question devraient être notifiés aux autorités nationales compétentes ou aux CSIRT.
Services essentiels (annexe II) : dans un certain nombre de secteurs importants d'un point de vue social et économique, dont ceux de l'énergie, des transports, de la banque, des infrastructures des marchés financiers, de la santé, de la fourniture et de la distribution d'eau potable et des infrastructures numériques, les États membres devraient identifier, sur la base de critères précis énoncés dans la directive, les opérateurs de services essentiels.
Services numériques (annexe III) : tous les fournisseurs de services numériques (à l'exception des micro et petites entreprises) offrant trois types de services, à savoir : i) les places de marché en ligne, ii) les moteurs de recherche en ligne et iii) les services d'informatique en nuage, devraient se conformer aux exigences de la directive.
Des entités qui n'ont pas été recensées en tant qu'opérateurs de services essentiels et qui ne sont pas des fournisseurs de services numériques pourraient notifier, à titre volontaire, certains incidents.
Transposition : les États membres devraient transposer la directive dans un délai de 21 mois à compter de sa date d'entrée en vigueur et disposeraient de 6 mois supplémentaires pour le recensement de leurs opérateurs fournissant des services essentiels.