Accès direct à la navigation principale (appuyer sur "Entrée")
Accès aux contenus de la page (appuyer sur "Entrée")
Accès direct aux autres sites (appuyer sur "Entrée")

La commission du marché intérieur soutient les toutes premières règles de sécurité à l'échelle européenne

IMCO Communiqué de presse - Industrie / Société de l'information14-01-2016 - 09:56
 

Les entreprises qui fournissent des services indispensables, tels que l'énergie, les transports, le secteur bancaire et la santé, ainsi que les entreprises numériques comme les moteurs de recherche et l'informatique en nuage, devront désormais prendre des mesures pour améliorer leur capacité à résister aux cyberattaques, conformément aux nouvelles dispositions approuvées en commission du marché intérieur ce jeudi.


Les règles, conclues de manière informelle entre les députés et les négociateurs du Conseil le 7 décembre, ont été adoptées par 34 voix contre 2. Elles devront désormais être approuvées par le Conseil et par le Parlement dans son ensemble.


La nouvelle directive en faveur d'un niveau élevé commun de sécurité des réseaux et de l'information (SRI) dans l'Union vise à mettre fin à la fragmentation actuelle de 28 systèmes nationaux en matière de cybersécurité, en mentionnant les secteurs dans lesquels les entreprises devront garantir leur aptitude à résister aux cyberattaques. Ces dernières seraient par ailleurs tenues de signaler aux autorités nationales toute violation grave à la sécurité.


"Le Parlement s'est battu fermement pour une identification harmonisée des opérateurs importants en matière d'énergie, de santé ou dans le domaine bancaire, lesquels devront répondre à des mesures de sécurité et signaler les incidents informatiques importants. Les États membres devront également coopérer davantage en termes de cybersécurité - une question devenue encore plus importante au vu de la situation sécuritaire actuelle en Europe", a affirmé le rapporteur Andreas Schwab (PPE, DE) après la conclusion d'un accord le mois dernier sur la directive SRI.


Les pays de l'UE devront indiquer les entreprises de "services essentiels"


Les États membres devront identifier des "opérateurs de services essentiels" concrets de ces secteurs en utilisant des critères précis: si le service est indispensable pour la société et l'économie, s'il dépend des réseaux et des systèmes d'informations, et si un incident peut avoir des perturbations importantes pour le service fourni et pour la sécurité publique.


Par ailleurs, certains fournisseurs de services Internet, comme les marchés en ligne (tels qu'eBay ou Amazon), les moteurs de recherche (tels que Google) et les nuages informatiques devront veiller à la sécurité de leur infrastructure et signaler les incidents graves aux États membres. Les micro et petites entreprises numériques seront exclues du champ d'application de la directive.


Mécanismes de coopération à l'échelle européenne


Pour garantir un niveau de sécurité élevé dans l'ensemble de l'UE et établir la confiance entre les États membres, le projet de règles crée un groupe de coopération stratégique pour échanger des informations et les meilleures pratiques, pour élaborer des lignes directrices et pour aider les États membres en termes de renforcement des capacités de cybersécurité. Chaque pays de l'UE est tenu d'adopter une stratégie nationale en matière de SRI.


Tous les États membres devront également créer un réseau d'équipes de réaction aux incidents touchant la sécurité informatique afin de gérer les incidents et les risques, de débattre des questions relatives à la sécurité transfrontalière et d'identifier les réactions appropriées. L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) jouera aussi un rôle clé dans la mise en œuvre de la directive, en particulier concernant la coopération.


Le besoin de respecter les règles relatives à la protection des données est rappelé tout au long du texte.


Prochaines étapes


Le projet de directive SRI sera désormais vérifié par les juristes linguistes avant d'être formellement approuvé par le Conseil et par le Parlement dans son ensemble. La directive sera ensuite publiée au Journal officiel de l'Union européenne et entrera en vigueur le vingtième jour après sa publication. Les États membres disposeront alors d'un délai de 21 mois pour transposer la directive en droit national et de six mois supplémentaires pour identifier les opérateurs de services indispensables.


Note aux rédacteurs

 

Les systèmes d'informations, les réseaux et services essentiels, comme les services bancaires en ligne, les réseaux d'électricité ou les contrôle dans les aéroports, peuvent être touchés par des incidents de sécurité causés par des erreurs humaines, des problèmes techniques ou des attaques malveillantes. Ces incidents entrainent des pertes annuelles comprises entre 260 et 340 milliards d'euros, selon les estimations de l'ENISA. L'UE ne dispose actuellement d'aucune approche commune sur la cybersécurité et le signalement des incidents.


Sous la présidence de: Vicky Ford (ECR, UK)

REF. : 20160114IPR09801
Mis à jour le: ( 04-07-2016 - 18:18)
 
 
Contacts