Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union

2013/0027(COD)

La Commission a approuvé l'issue des négociations interinstitutionnelles et a pu accepter la position adoptée par le Conseil en première lecture sur l’adoption d'une directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

La Commission a estimé que, dans l'ensemble, la position du Conseil entérinait le principal objectif de la proposition de la Commission, à savoir assurer un niveau élevé commun de sécurité des réseaux et systèmes d'information. Elle a toutefois noté que le Conseil avait introduit un certain nombre de changements quant à la façon d’atteindre cet objectif.

La Commission a formulé les observations suivantes :

Moyens disponibles au niveau national en matière de cybersécurité : aux termes de la position du Conseil, les États membres devraient : i) adopter une stratégie nationale en matière de SRI définissant les objectifs stratégiques en matière de cybersécurité ; ii) désigner une autorité nationale compétente pour la mise en œuvre et le contrôle de l'application de la directive, ainsi que des «centres de réponse aux incidents de sécurité informatique» (CSIRT), chargés de la gestion des incidents et des risques

Bien que la position du Conseil n’impose pas aux États membres d’adopter un plan national de coopération en matière de SRI comme l'envisageait la proposition initiale, la Commission soutient cette position car certains aspects du plan de coopération sont conservés dans les dispositions relatives à la stratégie nationale en matière de SRI.

Coopération entre les États membres : aux termes de la position du Conseil, la directive instituerait i) un «groupe de coopération» dont la mission serait de faciliter la coopération stratégique et l'échange d'informations entre les États membres ; ii) un «réseau des centres de réponse aux incidents de sécurité informatique» («réseau des CSIRT») afin de promouvoir une coopération opérationnelle rapide et efficace sur des incidents concrets liés à la cybersécurité et le partage d'informations sur les risques.

Bien qu'elle suive une approche sensiblement différente de celle de la proposition initiale, la Commission peut soutenir la position du Conseil car elle correspond globalement à l’objectif d’une amélioration de la coopération entre les États membres.

Exigences en matière de sécurité et de notification pour les opérateurs fournissant des services essentiels : la Commission note que le Conseil n’a pas fait sienne l’obligation pour les autorités nationales compétentes de notifier aux services répressifs les incidents s'apparentant à des infractions pénales.

À l'instar de la proposition initiale, la position du Conseil vise les opérateurs des secteurs suivants: énergie, transports, banques, infrastructures de marchés financiers et santé. Toutefois, elle inclut en outre les secteurs de l’eau et des infrastructures numériques.

Les États membres seraient tenus d'identifier ces opérateurs sur la base de critères tels que le caractère essentiel du service pour le maintien d'activités sociétales ou économiques critiques. Bien que ce processus d’identification n'ait pas été prévu dans la proposition initiale, la Commission peut l’accepter compte tenu de l’obligation faite aux États membres de communiquer à la Commission les informations lui permettant de s’assurer qu'ils suivent des approches cohérentes dans l’identification des opérateurs de services essentiels.

Exigences en matière de sécurité et de notification pour les fournisseurs de services numériques : la position du Conseil couvre les places de marché en ligne (équivalant aux «plateformes de commerce électronique» de la proposition initiale), les services d’informatique en nuage et les moteurs de recherche.

Contrairement à la proposition modifiée, la position du Conseil n’inclut pas: i) les passerelles de paiement par internet - celles-ci sont désormais couvertes par la directive révisée sur les services de paiement;  ii) les magasins d’applications en ligne - qui sont censés relever des places de marché en ligne;  iii) les réseaux sociaux - conformément à l’accord politique entre le Conseil et le Parlement européen.

La Commission relève enfin qu’elle s’est vu conférer des compétences d'exécution pour fixer les modalités de procédure nécessaires au fonctionnement du groupe de coopération et clarifier certains éléments concernant les fournisseurs de services numériques, y compris les procédures que ces derniers doivent appliquer pour respecter les exigences en matière de notification.