L'UE décide de renforcer la cybersécurité et la résilience dans l'ensemble de l'Union:
adoption d'une nouvelle directive par le Conseil
  • Conseil de l'UE
  •  
  • Communiqué de presse
  •  
  • 28 novembre 2022
  •  
  • 10:25
  • Le Conseil a adopté une directive sur un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, afin d'améliorer encore la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l'UE dans son ensemble. La nouvelle directive, appelée "SRI 2", remplacera l'actuelle directive sur la sécurité des réseaux et des systèmes d'information (directive SRI).

    Ivan Bartoš, vice-Premier ministre tchèque chargé de la transformation numérique et ministre du développement régional

    Il ne fait aucun doute que la cybersécurité restera un défi majeur pour les années à venir. Les enjeux pour nos économies et nos citoyens sont énormes. Aujourd'hui, nous avons franchi une nouvelle étape pour améliorer notre capacité à lutter contre cette menace.

          Ivan Bartoš, vice-Premier ministre tchèque chargé de la transformation numérique et ministre du développement régional

    Renforcement de la gestion des risques et des incidents ainsi que de la coopération

    La directive SRI 2 constituera la base des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans tous les secteurs couverts par la directive, et notamment l'énergie, les transports, la santé et l'infrastructure numérique.

    La directive révisée a pour objectif d'harmoniser les exigences en matière de cybersécurité et la mise en œuvre des mesures de cybersécurité dans les différents États membres. À cette fin, elle fixe les règles minimales d'un cadre réglementaire et définit les mécanismes d'une coopération efficace entre les autorités compétentes de chaque État membre. Elle met à jour la liste des secteurs et des activités soumis à des obligations en termes de cybersécurité et prévoit des voies de recours et des sanctions pour assurer le respect de la législation.

    La directive instaurera officiellement le réseau européen d'organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe), qui soutiendra la gestion coordonnée des crises et incidents majeurs de cybersécurité.

    Élargissement du champ d'application des règles

    Alors que, en vertu de l'ancienne directive SRI, il incombait aux États membres de déterminer quelles entités remplissaient les critères pour être qualifiées d'opérateurs de services essentiels, la nouvelle directive SRI 2 introduit comme règle générale pour l'identification des entités réglementées une règle associée à un plafond. Cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d'application.

    Bien que la directive révisée maintienne cette règle générale, son texte comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères clairs relatifs au caractère critique des entités pour permettre aux autorités nationales d'inclure d'autres entités.

    Le texte précise également que la directive ne s'appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique et l'application des lois. Le pouvoir judiciaire, les parlements et les banques centrales sont également exclus du champ d'application.

    La directive SRI 2 s'appliquera également aux administrations publiques aux niveaux central et régional. En outre, les États membres peuvent décider de l'appliquer également à ce type d'entités au niveau local.

    Autres modifications introduites par les nouvelles règles

    La nouvelle directive a été alignée sur la législation sectorielle, en particulier sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) à des fins de clarté juridique et de cohérence entre la directive SRI 2 et ces actes.

    Un mécanisme volontaire d'apprentissage par les pairs renforcera la confiance mutuelle et les enseignements à tirer des bonnes pratiques et des expériences dans l'Union, contribuant ainsi à un niveau élevé commun de cybersécurité.

    La nouvelle directive rationalise par ailleurs les obligations en matière de signalement afin d'éviter de provoquer un phénomène de surdéclaration et de créer une charge excessive pour les entités concernées.

    Prochaines étapes

    La directive sera publiée au Journal officiel de l'Union européenne dans les prochains jours et entrera en vigueur le vingtième jour suivant celui de sa publication.

    Les États membres disposeront d'un délai de vingt-et-un mois à compter de l'entrée en vigueur de la directive pour en intégrer les dispositions dans leur droit national.


    Contacts avec la presse

     Dimosthenis Mammonas
    Attaché de presse
     +32 477 61 20 77
     +32 2 281 2504
     @dimos_mammonas
    Si vous n'êtes pas journaliste, veuillez adresser votre demande au service Information au public.