La Commission a approuvé l'issue des négociations interinstitutionnelles et a pu accepter la position adoptée par le Conseil en première lecture sur ladoption d'une directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.
La Commission a estimé que, dans l'ensemble, la position du Conseil entérinait le principal objectif de la proposition de la Commission, à savoir assurer un niveau élevé commun de sécurité des réseaux et systèmes d'information. Elle a toutefois noté que le Conseil avait introduit un certain nombre de changements quant à la façon datteindre cet objectif.
La Commission a formulé les observations suivantes :
Moyens disponibles au niveau national en matière de cybersécurité : aux termes de la position du Conseil, les États membres devraient : i) adopter une stratégie nationale en matière de SRI définissant les objectifs stratégiques en matière de cybersécurité ; ii) désigner une autorité nationale compétente pour la mise en uvre et le contrôle de l'application de la directive, ainsi que des «centres de réponse aux incidents de sécurité informatique» (CSIRT), chargés de la gestion des incidents et des risques
Bien que la position du Conseil nimpose pas aux États membres dadopter un plan national de coopération en matière de SRI comme l'envisageait la proposition initiale, la Commission soutient cette position car certains aspects du plan de coopération sont conservés dans les dispositions relatives à la stratégie nationale en matière de SRI.
Coopération entre les États membres : aux termes de la position du Conseil, la directive instituerait i) un «groupe de coopération» dont la mission serait de faciliter la coopération stratégique et l'échange d'informations entre les États membres ; ii) un «réseau des centres de réponse aux incidents de sécurité informatique» («réseau des CSIRT») afin de promouvoir une coopération opérationnelle rapide et efficace sur des incidents concrets liés à la cybersécurité et le partage d'informations sur les risques.
Bien qu'elle suive une approche sensiblement différente de celle de la proposition initiale, la Commission peut soutenir la position du Conseil car elle correspond globalement à lobjectif dune amélioration de la coopération entre les États membres.
Exigences en matière de sécurité et de notification pour les opérateurs fournissant des services essentiels : la Commission note que le Conseil na pas fait sienne lobligation pour les autorités nationales compétentes de notifier aux services répressifs les incidents s'apparentant à des infractions pénales.
À l'instar de la proposition initiale, la position du Conseil vise les opérateurs des secteurs suivants: énergie, transports, banques, infrastructures de marchés financiers et santé. Toutefois, elle inclut en outre les secteurs de leau et des infrastructures numériques.
Les États membres seraient tenus d'identifier ces opérateurs sur la base de critères tels que le caractère essentiel du service pour le maintien d'activités sociétales ou économiques critiques. Bien que ce processus didentification n'ait pas été prévu dans la proposition initiale, la Commission peut laccepter compte tenu de lobligation faite aux États membres de communiquer à la Commission les informations lui permettant de sassurer qu'ils suivent des approches cohérentes dans lidentification des opérateurs de services essentiels.
Exigences en matière de sécurité et de notification pour les fournisseurs de services numériques : la position du Conseil couvre les places de marché en ligne (équivalant aux «plateformes de commerce électronique» de la proposition initiale), les services dinformatique en nuage et les moteurs de recherche.
Contrairement à la proposition modifiée, la position du Conseil ninclut pas: i) les passerelles de paiement par internet - celles-ci sont désormais couvertes par la directive révisée sur les services de paiement; ii) les magasins dapplications en ligne - qui sont censés relever des places de marché en ligne; iii) les réseaux sociaux - conformément à laccord politique entre le Conseil et le Parlement européen.
La Commission relève enfin quelle sest vu conférer des compétences d'exécution pour fixer les modalités de procédure nécessaires au fonctionnement du groupe de coopération et clarifier certains éléments concernant les fournisseurs de services numériques, y compris les procédures que ces derniers doivent appliquer pour respecter les exigences en matière de notification.