RAPPORT sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union
12.2.2014 - (COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD)) - ***I
Commission du marché intérieur et de la protection des consommateurs
Rapporteur: Andreas Schwab
Rapporteurs pour avis (*):
Pilar del Castillo Vera, commission de l'industrie, de la recherche et de l'énergie
Carl Schlyter, commission des libertés civiles, de la justice et des affaires intérieures
(*) Commissions associées – article 50 du règlement
PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
(Procédure législative ordinaire: première lecture)
Le Parlement européen,
– vu la proposition de la Commission au Parlement européen et au Conseil (COM(2013)0048),
– vu l'article 294, paragraphe 2, et l'article 114 du traité sur le fonctionnement de l'Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C7-0035/2013),
– vu l'article 294, paragraphe 3, du traité sur le fonctionnement de l'Union européenne,
– vu l'article 55 de son règlement,
– vu l'avis du Comité économique et social européen du 22 mai 2013[1],
– vu la résolution du 12 septembre 2013 sur la stratégie de cybersécurité de l'Union européenne: un cyberespace ouvert, sûr et sécurisé[2],
– vu le rapport de la commission du marché intérieur et de la protection des consommateurs et les avis de la commission de l'industrie, de la recherche et de l'énergie, de la commission des libertés civiles, de la justice et des affaires intérieures et de la commission des affaires étrangères (A7-0103/2014),
1. arrête la position en première lecture figurant ci-après;
2. demande à la Commission de le saisir à nouveau, si elle entend modifier de manière substantielle sa proposition ou la remplacer par un autre texte;
3. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu'aux parlements nationaux.
Amendement 1 Proposition de directive Considérant 1 | |
Texte proposé par la Commission |
Amendement |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à la liberté et à la sécurité générale des citoyens de l'Union, ainsi qu'à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
Amendement 2 Proposition de directive Considérant 2 | |
Texte proposé par la Commission |
Amendement |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. |
(2) L'ampleur, la fréquence et l'impact des incidents de sécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces systèmes peuvent également devenir des cibles faciles pour des actions intentionnelles malveillantes qui visent à la détérioration ou à l'interruption de leur fonctionnement. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et des investisseurs, porter un grand préjudice à l'économie de l'UE dans son ensemble et, en fin de compte, mettre en péril le bien-être des citoyens de l'Union ainsi que la capacité des États membres à se protéger et à assurer la sécurité des infrastructures critiques. |
Amendement 3 Proposition de directive Considérant 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(3 bis) Étant donné que les pannes système ne sont pas causées délibérément mais continuent plutôt de relever de facteurs naturels ou de l'erreur humaine, les infrastructures devraient être résilientes face aux perturbations tant délibérées que non délibérées, et les exploitants d'infrastructures critiques devraient concevoir des systèmes bâtis sur le principe de résilience. |
Amendement 4 Proposition de directive Considérant 4 | |
Texte proposé par la Commission |
Amendement |
(4) Il convient d'établir, au niveau de l'UE, un mécanisme de coopération qui permette l'échange d'informations et garantisse la coordination de la prévention et de l'intervention en ce qui concerne la sécurité des réseaux et de l'information ("SRI"). Pour que ce mécanisme soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de SRI sur leur territoire. Les administrations publiques et les opérateurs d'infrastructures d'information critiques devraient par ailleurs être soumis à des exigences minimales en matière de sécurité, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés. |
(4) Il convient d'établir, au niveau de l'UE, un mécanisme de coopération qui permette l'échange d'informations et garantisse la coordination de la prévention, de la détection et de l'intervention en ce qui concerne la sécurité des réseaux et de l'information ("SRI"). Pour que ce mécanisme soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de SRI sur leur territoire. Au moins certains opérateurs sur le marché d'infrastructures d'information devraient par ailleurs être soumis à des exigences minimales en matière de sécurité, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés. Il convient d'encourager les sociétés cotées en bourse à divulguer les incidents sur une base volontaire dans leurs rapports financiers. Le cadre juridique devrait reposer sur la nécessité de protéger la vie privée et l'intégrité des citoyens. Le réseau d'alerte concernant les infrastructures critiques (CIWIN) devrait être étendu aux acteurs du marché visés dans la présente directive. |
Amendement 5 Proposition de directive Considérant 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 bis) S'il convient que les administrations publiques, en raison de la dimension publique de leur mission, fassent preuve de la vigilance appropriée dans la gestion et la protection de leurs propres réseaux et systèmes informatiques, la présente directive doit néanmoins être axée sur l'infrastructure critique essentielle au maintien des fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers ou des soins de santé. Les développeurs de logiciels et les fabricants de matériel doivent dès lors être exclus du champ d'application de la présente directive. |
Amendement 6 Proposition de directive Considérant 4 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 ter) La coopération et la coordination entre les autorités compétentes de l'Union et la haute représentante/vice-présidente, chargée de la politique étrangère et de sécurité commune et de la politique de sécurité et de défense commune, ainsi qu'avec le coordinateur de l'UE pour la lutte contre le terrorisme, devraient être garanties lorsque des incidents ayant un impact significatif apparaissent comme étant de nature extérieure et terroriste. |
Amendement 7 Proposition de directive Considérant 6 | |
Texte proposé par la Commission |
Amendement |
(6) Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de SRI dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'UE. Les niveaux de protection des particuliers et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de SRI dans l'Union. En outre, l'absence d'exigences minimales communes applicables aux administrations publiques et aux acteurs du marché rend impossible la création d'un mécanisme général de coopération efficace au niveau de l'Union. |
(6) Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de SRI dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'UE. Les niveaux de protection des particuliers et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de SRI dans l'Union. En outre, l'absence d'exigences minimales communes applicables aux acteurs du marché rend impossible la création d'un mécanisme général de coopération efficace au niveau de l'Union. Les universités et les centres de recherche jouent un rôle déterminant dans la stimulation de la recherche, du développement et de l'innovation dans ces domaines et doivent bénéficier d'un financement adéquat. |
Amendement 8 Proposition de directive Considérant 7 | |
Texte proposé par la Commission |
Amendement |
(7) Il faut donc, pour faire face efficacement aux problèmes actuels dans le domaine de la sécurité des réseaux et de l'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, l'échange d'informations et la coordination des actions, ainsi que des exigences minimales communes en matière de sécurité pour tous les acteurs du marché concernés et les administrations publiques. |
(7) Il faut donc, pour faire face efficacement aux problèmes actuels dans le domaine de la sécurité des réseaux et de l'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, permettra de se doter de compétences suffisantes en matière de cybersécurité, et comprendra l'échange d'informations et la coordination des actions, ainsi que des exigences minimales communes en matière de sécurité. Il convient d'appliquer des normes communes minimales conformément aux recommandations pertinentes des groupes de coordination en matière de cybersécurité. |
Amendement 9 Proposition de directive Considérant 8 | |
Texte proposé par la Commission |
Amendement |
(8) Les dispositions de la présente directive ne devraient pas porter atteinte à la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection de ses intérêts essentiels en matière de sécurité, assurer l'ordre public et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales. Conformément à l'article 346 du TFUE, aucun État membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. |
(8) Les dispositions de la présente directive ne devraient pas porter atteinte à la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection de ses intérêts essentiels en matière de sécurité, assurer l'ordre public et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales. Conformément à l'article 346 du TFUE, aucun État membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. Aucun État membre n'est tenu de divulguer des informations classifiées de l'Union dans les termes de la décision du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (2011/292/UE), de même que des informations soumises à un accord de non-divulgation ou à un accord de non-divulgation informelle, tel que le "Traffic Light Protocol". |
Justification | |
Le présent amendement vise à clarifier le traitement des informations confidentielles dans le champ d'application de la directive. | |
Amendement 10 Proposition de directive Considérant 9 | |
Texte proposé par la Commission |
Amendement |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident. |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles, à partir des exigences minimales définies par la présente directive, afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident, tout en respectant et en protégeant la vie privée et les données à caractère personnel. Chaque État membre devrait donc être tenu de respecter des normes communes relatives au format et au caractère échangeable des données censées être partagées et évaluées. Les États membres doivent être en mesure de demander à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) de les aider à élaborer leur stratégie nationale en matière de SRI, à partir d'un modèle minimal commun de stratégie en matière de SRI. |
Amendement 11 Proposition de directive Considérant 10 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(10 bis) Compte tenu des divergences entre les structures de gouvernance nationale et en vue de sauvegarder les accords existants au niveau sectoriel ou les autorités de surveillance et de régulation de l'Union et d'éviter les doubles emplois, les États membres devraient être en mesure de désigner plusieurs autorités nationales compétentes chargées d'accomplir les tâches liées à la sécurité des réseaux et des systèmes d'information des acteurs du marché dans le cadre de la présente directive. Toutefois, afin de garantir une coopération et une communication transfrontalières harmonieuses, il est nécessaire que chaque État membre, sans préjudice des accords sectoriels réglementaires, désigne un seul guichet unique national chargé de la coopération transfrontalière au niveau de l'Union. Lorsque sa structure constitutionnelle ou d'autres dispositions l'exigent, un État membre devrait être en mesure de désigner une seule autorité pour accomplir les tâches de l'autorité compétente et du guichet unique. Les autorités compétentes et les guichets uniques doivent être des organes civils soumis à une surveillance démocratique complète et ne mener aucune activité dans le domaine du renseignement, des mesures répressives ou de défense, ni entretenir des liens organisationnels quels qu'ils soient avec des entités actives dans ces domaines. |
Amendement 12 Proposition de directive Considérant 11 | |
Texte proposé par la Commission |
Amendement |
(11) Tous les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes informatiques et prendre les mesures d'intervention et d'atténuation nécessaires. Il convient, par conséquent, de mettre en place dans tous les États membres des équipes d'intervention en cas d'urgence informatique (CERT) opérationnelles et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. |
(11) Tous les États membres et tous les acteurs du marché devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour pouvoir, à tout moment, prévenir et détecter les incidents et risques liés aux réseaux et systèmes informatiques et prendre les mesures d'intervention et d'atténuation nécessaires. Les systèmes de sécurité des administrations publiques doivent être sûrs et faire l'objet d'un contrôle démocratique. Le matériel et les moyens généralement requis doivent être conformes aux normes techniques communément admises ainsi qu'aux procédures standard d'exploitation. Il convient, par conséquent, de mettre en place dans tous les États membres des équipes d'intervention en cas d'urgence informatique (CERT) opérationnelles et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. Ces CERT devraient être habilitées à collaborer en s'appuyant sur des normes techniques communes et des procédures standard d'exploitation. Au vu des caractéristiques différentes des CERT existantes, qui répondent à différents besoins et s'adressent à des acteurs différents, les États membres doivent faire en sorte que chacun des secteurs visés dans la liste des acteurs du marché établie dans la présente directive bénéficie des services d'au moins une CERT. En ce qui concerne la coopération transfrontalière entre les CERT, les États membres devraient veiller à ce que les CERT disposent de moyens suffisants pour participer aux réseaux de coopération internationaux et européens déjà en place actuellement. |
Justification | |
Il convient de veiller à l'interopérabilité. | |
Amendement 13 Proposition de directive Considérant 12 | |
Texte proposé par la Commission |
Amendement |
(12) En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques en matière de sécurité, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, les États membres et la Commission devraient constituer un réseau leur permettant de rester en liaison permanente et fournissant un cadre à leur coopération. Ce mécanisme de coopération sécurisé et efficace devrait garantir, au niveau de l'UE, des actions structurées et coordonnées en matière d'échange d'informations, de détection et d'intervention. |
(12) En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques en matière de sécurité, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, les États membres et la Commission devraient constituer un réseau leur permettant de rester en liaison permanente et fournissant un cadre à leur coopération. Ce mécanisme de coopération sécurisé et efficace, y compris la participation des acteurs du marché le cas échéant, devrait garantir, au niveau de l'UE, des actions structurées et coordonnées en matière d'échange d'informations, de détection et d'intervention. |
Amendement 14 Proposition de directive Considérant 13 | |
Texte proposé par la Commission |
Amendement |
(13) L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) devrait assister les États membres et la Commission en mettant à leur disposition son expérience et ses conseils et en facilitant l'échange des meilleures pratiques. En particulier, la Commission devrait consulter l'ENISA en ce qui concerne l'application de la présente directive. Pour faire en sorte que les États membres et la Commission soient informés efficacement et en temps voulu, un mécanisme d'alerte rapide sur les incidents et les risques devrait être mis en place dans le cadre du réseau de coopération. Afin de développer les moyens disponibles et la connaissance dans les États membres, le réseau de coopération devrait aussi être un outil d'échange des meilleures pratiques, qui aide ses membres à renforcer leurs capacités et dirige l'organisation d'examens par les pairs et d'exercices de SRI. |
(13) L'ENISA devrait assister les États membres et la Commission en mettant à leur disposition son expérience et ses conseils et en facilitant l'échange des meilleures pratiques. En particulier, la Commission et les États membres devraient consulter l'ENISA en ce qui concerne l'application de la présente directive. Pour faire en sorte que les États membres et la Commission soient informés efficacement et en temps voulu, un mécanisme d'alerte rapide sur les incidents et les risques devrait être mis en place dans le cadre du réseau de coopération. Afin de développer les moyens disponibles et la connaissance dans les États membres, le réseau de coopération devrait aussi être un outil d'échange des meilleures pratiques, qui aide ses membres à renforcer leurs capacités et dirige l'organisation d'examens par les pairs et d'exercices de SRI. |
Amendement 15 Proposition de directive Considérant 13 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(13 bis) Le cas échéant, les États membres doivent pouvoir utiliser ou adapter les structures ou stratégies organisationnelles existantes aux fins de l'application des dispositions de la présente directive. |
Amendement 16 Proposition de directive Considérant 14 | |
Texte proposé par la Commission |
Amendement |
(14) Une infrastructure sécurisée de partage des informations devrait être mise en place de manière à permettre l'échange d'informations sensibles et confidentielles au sein du réseau de coopération. Sans préjudice de leur obligation de notifier au réseau de coopération les incidents et les risques ayant une importance pour l'Union, seuls les États membres prouvant qu'ils disposent des ressources et processus techniques, financiers et humains et des infrastructures leur permettant de participer de manière efficace, efficiente et sûre au réseau devraient avoir accès aux informations confidentielles d'autres États membres. |
(14) Une infrastructure sécurisée de partage des informations devrait être mise en place de manière à permettre l'échange d'informations sensibles et confidentielles au sein du réseau de coopération. Les structures existant au sein de l'Union doivent être pleinement utilisées à cette fin. Sans préjudice de leur obligation de notifier au réseau de coopération les incidents et les risques ayant une importance pour l'Union, seuls les États membres prouvant qu'ils disposent des ressources et processus techniques, financiers et humains et des infrastructures leur permettant de participer de manière efficace, efficiente et sûre au réseau devraient avoir accès aux informations confidentielles d'autres États membres, en utilisant des méthodes transparentes. |
Amendement 17 Proposition de directive Considérant 15 | |
Texte proposé par la Commission |
Amendement |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et échanger des informations et des meilleures pratiques en contrepartie d'une assistance opérationnelle en cas d'incident. |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et s'échanger mutuellement les informations et les bonnes pratiques, y compris la réciproque en matière d'échange d'informations pertinentes, d'assistance opérationnelle et d'informations ayant fait l'objet d'une analyse stratégique en cas d'incident. Il est essentiel, pour encourager le partage des informations et des bonnes pratiques, de veiller à ce que les acteurs du marché qui participent à ces échanges ne soient pas désavantagés du fait même de leur coopération. Il est nécessaire de mettre en place des garanties adéquates pour veiller à ce qu'une telle coopération n'augmente pas le risque de conformité de ces opérateurs ni le nombre de leurs obligations au regard, notamment, du droit de la concurrence, de la propriété intellectuelle, de la protection des données ou de la cybercriminalité, ou encore qu'elle ne les expose pas à davantage de risques liés au fonctionnement ou à la sécurité. |
Amendement 18 Proposition de directive Considérant 16 | |
Texte proposé par la Commission |
Amendement |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication d'informations non confidentielles sur les incidents et les risques. |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'Union, les guichets uniques devraient créer un site web commun pour l'ensemble de l'Union destiné à la publication d'informations non confidentielles sur les incidents, les risques et les moyens d'atténuer ces risques, puis à la recommandation de mesures de maintenance. L'information sur le site web doit être accessible quel que soit le dispositif utilisé. Toute publication de données personnelles sur ce site devrait se limiter au strict nécessaire et être aussi anonyme que possible. |
Amendement 19 Proposition de directive Considérant 18 | |
Texte proposé par la Commission |
Amendement |
(18) La Commission et les États membres devraient, en se fondant notamment sur l'expérience acquise au niveau national en matière de gestion des crises, et en coopération avec l'ENISA, mettre en place un plan européen de coopération en matière de SRI définissant des mécanismes de coopération en vue de faire face aux menaces et incidents dans ce domaine. Il convient de tenir dûment compte de ce plan pour le fonctionnement du mécanisme d'alerte rapide au sein du réseau de coopération. |
(18) La Commission et les États membres devraient, en se fondant notamment sur l'expérience acquise au niveau national en matière de gestion des crises, et en coopération avec l'ENISA, mettre en place un plan européen de coopération en matière de SRI définissant des mécanismes de coopération, des bonnes pratiques et des modes opératoires en vue de prévenir, de détecter, de signaler les menaces et incidents dans ce domaine et d'y faire face. Il convient de tenir dûment compte de ce plan pour le fonctionnement du mécanisme d'alerte rapide au sein du réseau de coopération. |
Amendement 20 Proposition de directive Considérant 19 | |
Texte proposé par la Commission |
Amendement |
(19) L'activation du mécanisme d'alerte rapide dans le réseau ne devrait être obligatoire que si l'ampleur et la gravité de l'incident ou du risque en question est significative ou susceptible de le devenir au point de nécessiter une information ou une coordination de l'intervention au niveau de l'Union. Par conséquent, les alertes rapides devraient concerner uniquement les incidents ou risques réels ou potentiels qui évoluent rapidement, excèdent la capacité nationale d'intervention ou touchent plusieurs États membres. Toutes les informations pertinentes pour l'appréciation du risque ou de l'incident devraient être communiquées au réseau de coopération afin de permettre une évaluation correcte. |
(19) L'activation du mécanisme d'alerte rapide dans le réseau ne devrait être obligatoire que si l'ampleur et la gravité de l'incident ou du risque en question est significative ou susceptible de le devenir au point de nécessiter une information ou une coordination de l'intervention au niveau de l'Union. Par conséquent, les alertes rapides devraient concerner uniquement les incidents ou risques qui évoluent rapidement, excèdent la capacité nationale d'intervention ou touchent plusieurs États membres. Toutes les informations pertinentes pour l'appréciation du risque ou de l'incident devraient être communiquées au réseau de coopération afin de permettre une évaluation correcte. |
Amendement 21 Proposition de directive Considérant 20 | |
Texte proposé par la Commission |
Amendement |
(20) Lorsqu'un message d'alerte rapide et une évaluation leur sont transmis, les autorités compétentes devraient décider d'une intervention coordonnée dans le cadre du plan de coopération en matière de SRI de l'Union. Il convient d'informer les autorités compétentes ainsi que la Commission des mesures adoptées au niveau national au titre de l'intervention coordonnée. |
(20) Lorsqu'un message d'alerte rapide et une évaluation leur sont transmis, les guichets uniques devraient décider d'une intervention coordonnée dans le cadre du plan de coopération en matière de SRI de l'Union. Il convient d'informer les guichets uniques, l'ENISA ainsi que la Commission des mesures adoptées au niveau national au titre de l'intervention coordonnée. |
Amendement 22 Proposition de directive Considérant 21 | |
Texte proposé par la Commission |
Amendement |
(21) Étant donné que les problèmes de SRI ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de SRI. |
(21) Étant donné que les problèmes de SRI ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de SRI. Tout cadre pour une telle coopération internationale devrait être soumis aux dispositions de la directive 95/46/CE et du règlement (CE) n° 45/2001. |
Amendement 23 Proposition de directive Considérant 22 | |
Texte proposé par la Commission |
Amendement |
(22) C'est, dans une large mesure, aux administrations publiques et aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus. Il est aussi essentiel que les règles soient les mêmes partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
(22) C'est, dans une large mesure, aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques, de la collaboration étroite, et de la confiance impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques et aux incidents, délibérés ou fortuits. Il est aussi essentiel de définir des règles identiques et fiables partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
Amendement 24 Proposition de directive Considérant 24 | |
Texte proposé par la Commission |
Amendement |
(24) Ces obligations devraient être étendues, au-delà du secteur des communications électroniques, aux principaux prestataires de services de la société de l'information au sens de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information4, sur lesquels reposent des services de la société de l'information en amont ou des activités en ligne, tels que les plateformes de commerce électronique, les passerelles de paiement par internet, les réseaux sociaux, les moteurs de recherche, les services informatiques en nuage ou les magasins d'applications en ligne. Toute perturbation de ces services génériques de la société de l'information empêche la fourniture d'autres services de la société de l'information dont ils représentent des composantes sous-jacentes essentielles. Les développeurs de logiciels et les fabricants de matériel ne sont pas des prestataires de services de la société de l'information et sont par conséquent exclus. Ces obligations devraient aussi être étendues aux administrations publiques et aux opérateurs d'infrastructures critiques qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les bourses de valeurs et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. |
(24) Ces obligations devraient être étendues, au-delà du secteur des communications électroniques, aux opérateurs d'infrastructures qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les infrastructures de marchés financiers et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. Si les obligations prévues par la présente directive ne doivent pas être étendues aux principaux prestataires de services de la société de l'information au sens de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information27, sur lesquels reposent des services de la société de l'information en amont ou des activités en ligne, tels que les plateformes de commerce électronique, les passerelles de paiement par internet, les réseaux sociaux, les moteurs de recherche, les services informatiques en nuage en général ou les magasins d'applications en ligne, ces acteurs peuvent, de leur plein gré, informer l'autorité compétente ou le guichet unique des incidents en matière de sécurité du réseau qu'ils jugent appropriés. Si possible, l'autorité compétente ou le guichet unique doit fournir aux acteurs du marché ayant signalé l'incident des informations ayant fait l'objet d'une analyse stratégique qui les aideront à faire face à la menace de sécurité. |
__________ |
__________ |
4 JO L 204 du 21.7.1998, p. 37. |
4 JO L 204 du 21.7.1998, p. 37. |
Amendement 25 Proposition de directive Considérant 24 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(24 bis) Alors que les fournisseurs de matériel et de logiciel ne sont pas des acteurs du marché comparables à ceux visés dans la présente directive, leurs produits facilitent la sécurité du réseau et des systèmes informatiques. Ils jouent dès lors un rôle important en permettant aux acteurs du marché de sécuriser leurs infrastructures de réseau et d'information. Étant donné que le matériel et les logiciels font déjà l'objet de règles existantes sur la responsabilité du fait des produits, les États membres doivent veiller à ce que ces règles soient appliquées. |
Amendement 26 Proposition de directive Considérant 25 | |
Texte proposé par la Commission |
Amendement |
(25) Les mesures techniques et organisationnelles imposées aux administrations publiques et aux acteurs du marché ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit TIC commercial particulier. |
(25) Les mesures techniques et organisationnelles imposées aux acteurs du marché ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit TIC commercial particulier. |
Amendement 27 Proposition de directive Considérant 26 | |
Texte proposé par la Commission |
Amendement |
(26) Les administrations publiques et les acteurs du marché devraient garantir la sécurité des réseaux et systèmes placés sous leur contrôle. Il s'agit principalement de systèmes et réseaux privés qui sont gérés par leurs propres services informatiques ou dont la gestion de la sécurité a été sous-traitée. Les obligations en matière de sécurité et de notification devraient s'appliquer aux administrations publiques et acteurs du marché concernés, que la maintenance de leurs réseaux et systèmes informatiques soient assurée en interne par leurs propres services ou qu'elle soit sous-traitée. |
(26) Les acteurs du marché devraient garantir la sécurité des réseaux et systèmes placés sous leur contrôle. Il s'agit principalement de systèmes et réseaux privés qui sont gérés par leurs propres services informatiques ou dont la gestion de la sécurité a été sous-traitée. Les obligations en matière de sécurité et de notification devraient s'appliquer aux acteurs du marché concernés, que la maintenance de leurs réseaux et systèmes informatiques soient assurée en interne par leurs propres services ou qu'elle soit sous-traitée. |
Amendement 28 Proposition de directive Considérant 28 | |
Texte proposé par la Commission |
Amendement |
(28) Les autorités compétentes devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. La divulgation d'informations sur les incidents signalés aux autorités compétentes devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les administrations publiques et les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes devraient être particulièrement attentives à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la publication des mises à jour de sécurité appropriées. |
(28) Les autorités compétentes et les guichets uniques devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. Les autorités compétentes et les guichets uniques doivent informer les fabricants et les prestataires des produits et services liés aux TIC des incidents ayant impact significatif qui leur ont été notifiés. La divulgation d'informations sur les incidents signalés aux autorités compétentes et aux guichets uniques devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes et les guichets uniques devraient être particulièrement attentifs à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant le déploiement des mises à jour de sécurité appropriées. En règle générale, les guichets uniques ne devraient pas divulguer les données à caractère personnel de personnes impliquées dans des incidents. Les guichets uniques devraient uniquement divulguer des données à caractère personnel lorsque la divulgation de telles données est nécessaire et proportionnée aux fins de l'objectif poursuivi. |
Amendement 29 Proposition de directive Considérant 29 | |
Texte proposé par la Commission |
Amendement |
(29) Ces autorités devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des administrations publiques et des acteurs du marché des informations suffisantes pour évaluer le niveau de sécurité des réseaux et systèmes informatiques, ainsi que des données fiables et complètes relatives aux incidents qui ont eu une incidence sur le fonctionnement des réseaux et systèmes informatiques. |
(29) Ces autorités devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des acteurs du marché des informations suffisantes pour évaluer le niveau de sécurité des réseaux et systèmes informatiques et mesurer le nombre, l'ampleur et la portée des incidents, ainsi que des données fiables et complètes relatives aux incidents qui ont eu une incidence sur le fonctionnement des réseaux et systèmes informatiques. |
Amendement 30 Proposition de directive Considérant 30 | |
Texte proposé par la Commission |
Amendement |
(30) Dans bien des cas, la cause sous-jacente d'un incident est une activité criminelle. Certains incidents sont susceptibles de constituer des infractions pénales même si les éléments qui en attestent ne sont pas suffisamment probants dès le départ. Dans ce contexte, toute réponse efficace et complète à la menace que représentent les incidents de sécurité devrait s'appuyer sur une coopération appropriée entre les autorités compétentes et les services répressifs. La promotion d'un environnement sûr, sécurisé et plus résilient exige que soient signalés aux services répressifs les incidents susceptibles de constituer des infractions pénales graves. Le caractère de grave infraction pénale de ces incidents devrait être évalué à la lumière de la législation de l'UE sur la cybercriminalité. |
(30) Dans bien des cas, la cause sous-jacente d'un incident est une activité criminelle. Certains incidents sont susceptibles de constituer des infractions pénales même si les éléments qui en attestent ne sont pas suffisamment probants dès le départ. Dans ce contexte, toute réponse efficace et complète à la menace que représentent les incidents de sécurité devrait s'appuyer sur une coopération appropriée entre les autorités compétentes, les guichets uniques et les services répressifs ainsi que sur une coopération avec le centre européen de lutte contre la cybercriminalité (EC3) et l'ENISA. La promotion d'un environnement sûr, sécurisé et plus résilient exige que soient signalés aux services répressifs les incidents susceptibles de constituer des infractions pénales graves. Le caractère de grave infraction pénale de ces incidents devrait être évalué à la lumière de la législation de l'UE sur la cybercriminalité. |
Amendement 31 Proposition de directive Considérant 31 | |
Texte proposé par la Commission |
Amendement |
(31) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Dans de telles circonstances, les autorités compétentes et les autorités chargées de la protection des données devraient coopérer et échanger des informations sur tous les aspects pertinents de la lutte contre les atteintes aux données à caractère personnel à la suite d'incidents. Les États membres doivent mettre en œuvre l'obligation de notifier les incidents de sécurité d'une manière qui réduise au minimum la charge administrative lorsque l'incident de sécurité porte aussi atteinte à des données à caractère personnel conformément au règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données5. L'ENISA pourrait, en liaison avec les autorités compétentes et les autorités chargées de la protection des données, apporter son concours en élaborant des formulaires et des mécanismes pour l'échange d'informations, ce qui éviterait la duplication des formulaires de notification. Un formulaire de notification unique faciliterait le signalement des incidents qui portent atteinte à des données à caractère personnel, ce qui réduirait la charge administrative pesant sur les entreprises et les administrations publiques. |
(31) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Les États membres et les acteurs du marché devraient protéger les données à caractère personnel stockées, traitées, ou transmises contre toute destruction accidentelle ou illégale, contre toute perte ou modification accidentelles et contre tout stockage, accès, divulgation ou diffusion non autorisés ou illégaux et assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel. Dans de telles circonstances, les autorités compétentes, les guichets uniques et les autorités chargées de la protection des données devraient coopérer et échanger des informations, y compris le cas échéant avec les opérateurs du marché, afin de lutter contre les atteintes aux données à caractère personnel à la suite d'incidents, conformément aux règles en vigueur sur la protection des données. L'obligation de notifier les incidents de sécurité devrait être mise en œuvre d'une manière qui réduise au minimum la charge administrative lorsque l'incident de sécurité porte aussi atteinte à des données à caractère personnel et doit être notifié conformément à la législation de l'Union sur la protection des données. L'ENISA devrait apporter son concours en élaborant des mécanismes pour l'échange d'informations et un formulaire de notification unique qui faciliteraient le signalement des incidents qui portent atteinte à des données à caractère personnel, ce qui réduirait la charge administrative pesant sur les entreprises et les administrations publiques. |
__________ |
__________ |
5 SEC (2012) 72 final |
5 SEC (2012) 72 final |
Amendement 32 Proposition de directive Considérant 32 | |
Texte proposé par la Commission |
Amendement |
(32) La normalisation des exigences en matière de sécurité est un processus guidé par le marché. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité au niveau de l'Union. À cette fin, il pourrait être nécessaire d'élaborer des projets de normes harmonisées, en se conformant aux dispositions du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil6. |
(32) La normalisation des exigences en matière de sécurité est un processus guidé par le marché de nature volontaire qui devrait permettre aux acteurs du marché d'utiliser des méthodes alternatives pour arriver à des résultats au moins similaires. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes interopérables précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité au niveau de l'Union. À cette fin, il convient d'envisager l'application de normes internationales ouvertes en matière de sécurité des réseaux et de l'information ou l'élaboration de tels instruments. Il pourrait également être nécessaire d'élaborer des projets de normes harmonisées, en se conformant aux dispositions du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil6. En particulier, l'Institut européen de normalisation en télécommunications, le Comité européen de normalisation et le Comité européen de normalisation électrotechnique devraient être chargés de proposer des normes de sécurité ouvertes utiles et efficaces au niveau européen, qui se gardent autant que possible de toute préférence technologique et qui soient facilement gérables pour les petits et moyens acteurs du marché. Il convient de contrôler avec soin les normes internationales en matière de cybersécurité de manière à s'assurer que leur efficacité n'a pas été réduite et qu'elles offrent des niveaux de sécurité appropriés, garantissant ainsi que l'obligation de respecter les normes en matière de cybersécurité relève le niveau global de cybersécurité de l'Union et non l'inverse. |
__________________ |
__________________ |
6 JO L 316 du 14.11.2012, p. 12. |
6 JO L 316 du 14.11.2012, p. 12. |
Amendement 33 Proposition de directive Considérant 33 | |
Texte proposé par la Commission |
Amendement |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution des technologies ou de la situation des marchés. |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, en consultation avec toutes les parties prenantes intéressées, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution de la société, de la situation politique, des technologies ou de la situation des marchés. |
Amendement 34 Proposition de directive Considérant 34 | |
Texte proposé par la Commission |
Amendement |
(34) En vue de permettre le bon fonctionnement du réseau de coopération, le pouvoir d'adopter des actes visé à l'article 290 du TFUE devrait être délégué à la Commission en ce qui concerne la définition des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, la définition plus précise des événements déclenchant l'activation du mécanisme d'alerte rapide, et la définition des circonstances dans lesquelles les acteurs du marché et les administrations publiques sont tenus de notifier les incidents. |
(34) En vue de permettre le bon fonctionnement du réseau de coopération, le pouvoir d'adopter des actes visé à l'article 290 du traité sur le fonctionnement de l'Union européenne devrait être délégué à la Commission en ce qui concerne l'ensemble des critères communs d'interconnexion et de sécurité pour l'infrastructure sécurisée de partage des informations, et la définition plus précise des événements déclenchant l'activation du mécanisme d'alerte rapide. |
Amendement 35 Proposition de directive Considérant 36 | |
Texte proposé par la Commission |
Amendement |
(36) Afin de garantir des conditions uniformes d'application de la présente directive, il y a lieu de conférer des compétences d'exécution à la Commission en ce qui concerne la coopération entre les autorités nationales compétentes et la Commission au sein du réseau de coopération, l'accès à l'infrastructure sécurisée de partage des informations, le plan de coopération de l'Union en matière de SRI, les formats et procédures applicables à l'information du public en cas d'incident et les normes et/ou spécifications techniques relatives à la SRI. Il convient que ces compétences soient exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution7 par la Commission. |
(36) Afin de garantir des conditions uniformes d'application de la présente directive, il y a lieu de conférer des compétences d'exécution à la Commission en ce qui concerne la coopération entre les guichets uniques et la Commission au sein du réseau de coopération, sans préjudice des mécanismes de coopération existant au niveau national, le plan de coopération de l'Union en matière de SRI et les formats et procédures applicables à la notification d'incidents ayant un impact significatif. Il convient que ces compétences soient exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution7 par la Commission. |
__________ |
__________ |
7 JO L 55 du 28.2.2011, p. 13. |
7 JO L 55 du 28.2.2011, p. 13. |
Justification | |
Le présent amendement remplace l'amendement 20. Le présent amendement vise à corriger une erreur figurant dans la proposition de la Commission eu égard au contenu de l'acte d'exécution prévu ainsi qu'à refléter le nouvel amendement proposé à l'article 9, paragraphe 3. | |
Amendement 36 Proposition de directive Considérant 37 | |
Texte proposé par la Commission |
Amendement |
(37) Pour l'application de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'UE, notamment dans les domaines de l'énergie, des transports et de la santé. |
(37) Pour l'application de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'UE, notamment dans les domaines de l'administration en ligne, de l'énergie, des transports, de la santé et de la défense. |
Amendement 37 Proposition de directive Considérant 38 | |
Texte proposé par la Commission |
Amendement |
(38) Les informations considérées comme confidentielles par une autorité compétente, conformément à la réglementation de l'Union et à la réglementation nationale en matière de secret des affaires, ne devraient être échangées avec la Commission et d'autres autorités compétentes que si cet échange est strictement nécessaire à l'application des dispositions de la présente directive. Les informations échangées devraient se limiter au minimum nécessaire et être proportionnées à l'objectif de cet échange. |
(38) Les informations considérées comme confidentielles par une autorité compétente ou un guichet unique, conformément à la réglementation de l'Union et à la réglementation nationale en matière de secret des affaires, ne devraient être échangées avec la Commission, ses agences concernées, les guichets uniques et/ou d'autres autorités compétentes nationales que si cet échange est strictement nécessaire à l'application des dispositions de la présente directive. Les informations échangées devraient se limiter au minimum nécessaire et être proportionnées à l'objectif de cet échange, dans le respect des critères de confidentialité et de sécurité prédéfinis dans les termes de la décision du Conseil du 31 mars 2011 concernant les règles de sécurité aux fins de la protection des informations classifiées de l'UE (2011/292/UE), , de même que des informations soumises à un accord de non-divulgation ou à un accord de non-divulgation informelle, tel que le "Traffic Light Protocol". |
Amendement 38 Proposition de directive Considérant 39 | |
Texte proposé par la Commission |
Amendement |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive8. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes ou aux guichets uniques nationaux peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive8. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
__________ |
__________ |
8 JO L 145 du 31.5.2001, p. 43. |
8 JO L 145 du 31.5.2001, p. 43. |
Amendement 39 Proposition de directive Considérant 41 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(41 bis) Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs, les États membres se sont engagés à accompagner, dans les cas où cela se justifie, la notification de leurs mesures de transposition d'un ou de plusieurs documents expliquant le lien entre les éléments d'une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur considère que la transmission de ces documents se justifie, |
Amendement 40 Proposition de directive Article 1 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques; |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés, efficaces et efficients en cas de risques et d'incidents touchant les réseaux et systèmes informatiques avec la participation des parties prenantes concernées; |
Amendement 41 Proposition de directive Article 1 – paragraphe 2 – point c | |
Texte proposé par la Commission |
Amendement |
(c) elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques. |
(c) elle établit des exigences en matière de sécurité pour les acteurs du marché. |
Amendement 42 Proposition de directive Article 1 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Elle ne porte pas non plus atteinte aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données10, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données11. |
5. Elle ne porte pas non plus atteinte aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et du règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. Toute utilisation des données personnelles est limitée au strict nécessaire aux fins de la présente directive, et ces données sont aussi anonymes que possible, voire totalement anonymes. |
__________ |
__________ |
10 JO L 281 du 23.11.1995, p. 31. |
10 JO L 281 du 23.11.1995, p. 31. |
11 SEC (2012) 72 final. |
11 SEC (2012) 72 final. |
Amendement 43 Proposition de directive Article 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Article 1 bis |
|
Protection et traitement des données à caractère personnel |
|
1. Tout traitement de données à caractère personnel dans les États membres en vertu de la présente directive est réalisé dans le respect de la directive 95/46/CE et de la directive 2002/58/CE. |
|
2. Tout traitement de données à caractère personnel par la Commission et l'ENISA conformément au présent règlement sera réalisé dans le respect du règlement (CE) n° 45/2001. |
|
3. Tout traitement de données à caractère personnel par le centre européen de la cybercriminalité au sein d'Europol sera réalisé conformément à la décision 2009/371/JAI. |
|
4. Le traitement de données à caractère personnel sera équitable, légal et strictement limité au volume minimal de données nécessaire aux objectifs du traitement. Les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la finalité pour laquelle elles sont traitées. |
|
5. Les notifications d'incidents visées à l'article 14 sont effectuées sans préjudice des dispositions et obligations concernant les notifications de violation de données à caractère personnel définies à l'article 4 de la directive 2002/58/CE et dans le règlement (UE) n) 611/2013. |
Amendement 44 Proposition de directive Article 3 – point 1 – sous-point b | |
Texte proposé par la Commission |
Amendement |
(b) tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques, ainsi que |
(b) tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que |
Amendement 45 Proposition de directive Article 3 – point 1 – sous-point c | |
Texte proposé par la Commission |
Amendement |
(c) les données informatiques stockées, traitées, récupérées ou transmises par les éléments visés aux points (a) et (b) derniers en vue de leur fonctionnement, utilisation, protection et maintenance. |
(c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points (a) et (b) derniers en vue de leur fonctionnement, utilisation, protection et maintenance. |
Amendement 46 Proposition de directive Article 3 – point 2 | |
Texte proposé par la Commission |
Amendement |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; cette définition comprend les dispositifs techniques, les solutions et les procédures d'exploitation appropriés pour le respect des exigences en matière de sécurité établies par la présente directive; |
Amendement 47 Proposition de directive Article 3 – point 3 | |
Texte proposé par la Commission |
Amendement |
(3) "risque", toute circonstance ou tout événement ayant une incidence négative potentielle sur la sécurité; |
(3) "risque", toute circonstance raisonnablement identifiable ou tout événement ayant une incidence négative potentielle sur la sécurité; |
Amendement 48 Proposition de directive Article 3 – point 4 | |
Texte proposé par la Commission |
Amendement |
(4) "incident", toute circonstance ou tout événement ayant une incidence négative réelle sur la sécurité; |
(4) "incident", tout événement ayant une incidence négative réelle sur la sécurité; |
Amendement 49 Proposition de directive Article 3 – point 5 | |
Texte proposé par la Commission |
Amendement |
(5) "service de la société de l'information", un service au sens de l'article 1er, point 2, de la directive 98/34/CE; |
supprimé |
Amendement 50 Proposition de directive Article 3 – point 7 | |
Texte proposé par la Commission |
Amendement |
(7) "gestion d'incident", toutes les procédures utiles à l'analyse, au confinement et à l'intervention en cas d'incident; |
(7) "gestion d'incident", toutes les procédures utiles à la détection, à la prévention, à l'analyse, au confinement et à l'intervention en cas d'incident; |
Amendement 51 Proposition de directive Article 3 – point 8 – sous-point a | |
Texte proposé par la Commission |
Amendement |
(a) un prestataire de services de la société de l'information qui permet la fourniture d'autres services de la société de l'information dont une liste non exhaustive figure à l'annexe II; |
supprimé |
Amendement 52 Proposition de directive Article 3 – point 8 – sous-point b | |
Texte proposé par la Commission |
Amendement |
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
(b) un opérateur d'infrastructure essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé, et dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions, énumérées dans une liste non exhaustive qui figure à l'annexe II, dans la mesure où les systèmes de réseau et d'information visés sont liés à ses services essentiels; |
Amendement 53 Proposition de directive Article 3 – point 8 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(8 bis) "incident qui a un impact significatif", un incident qui porte atteinte à la sécurité et à la continuité d'un réseau ou d'un système d'information et qui entraîne une perturbation notable de fonctions économiques ou sociétales essentielles; |
Amendement 54 Proposition de directive Article 3 – point 11 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 bis) "marché réglementé", un marché réglementé tel que défini à l'article 4, point 14), de la directive 2004/39/CE du Parlement européen et du Conseil1 bis; |
|
________________ |
|
1a Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d'instruments financiers (JO L 45 du 16.2.2005, p. 18). |
Justification | |
Alignement de la définition sur le règlement du Parlement européen et du Conseil devant encore être adopté sur les marchés d'instruments financiers et modifiant le règlement [EMIR] sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux. | |
Amendement 55 Proposition de directive Article 3 – point 11 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 ter) "système multilatéral de négociation (MTF)", un système multilatéral de négociation tel que défini à l'article 4, point 15), de la directive 2004/39/CE; |
Justification | |
Alignement de la définition sur le règlement du Parlement européen et du Conseil devant encore être adopté sur les marchés d'instruments financiers et modifiant le règlement [EMIR] sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux. | |
Amendement 56 Proposition de directive Article 3 – point 11 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 quater) "système organisé de négociation", un système ou un dispositif multilatéral, autre qu'un marché réglementé, un système multilatéral de négociation ou une contrepartie centrale, exploité par une entreprise d'investissement ou un acteur du marché et au sein duquel de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des obligations, produits financiers structurés, quotas d'émission et instruments dérivés, peuvent interagir d'une manière qui aboutisse à la conclusion de contrats conformément au titre II de la directive 2004/39/CE; |
Justification | |
Introduction de la définition pour s'aligner sur le règlement du Parlement européen et du Conseil devant encore être adopté sur les marchés d'instruments financiers et modifiant le règlement [EMIR] sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux, et qui dépendra de la suite réservée à ce règlement. | |
Amendement 57 Proposition de directive Article 5 – paragraphe 1 – point e bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(e bis) Les États membres peuvent demander à l'ENISA de les aider à élaborer leur stratégie nationale en matière de SRI et leurs plans nationaux de coopération en matière de SRI, à partir d'un modèle minimal commun de coopération en matière de SRI. |
Amendement 58 Proposition de directive Article 5 – paragraphe 2 – point a | |
Texte proposé par la Commission |
Amendement |
(a) un plan d'évaluation des risques permettant de recenser les risques et d'évaluer l'impact des incidents potentiels; |
(a) un cadre de gestion des risques destiné à établir une méthodologie pour l'identification, la hiérarchisation, l'évaluation et le traitement des risques, l'évaluation de l'impact des incidents potentiels, des options de prévention et de contrôle, ainsi que la définition de critères permettant de déterminer les contre-mesures envisageables; |
Justification | |
Le présent amendement remplace l'amendement 29. La proposition de la Commission serait allée trop loin en ce qui concerne les questions de sécurité nationale des États membres et aurait rendu le plan de coopération infaisable et trop complexe pour être efficace. | |
Amendement 59 Proposition de directive Article 5 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) la définition des rôles et des responsabilités des différents acteurs concernés par la mise en œuvre du plan; |
(b) la définition des rôles et des responsabilités des différentes autorités et d'autres acteurs concernés par la mise en œuvre du cadre; |
Amendement 60 Proposition de directive Article 5 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La stratégie nationale et le plan national de coopération en matière de SRI seront communiqués à la Commission dans le mois suivant leur adoption. |
3. La stratégie nationale et le plan national de coopération en matière de SRI seront communiqués à la Commission dans les trois mois suivant leur adoption. |
Amendement 61 Proposition de directive Article 6 – titre | |
Texte proposé par la Commission |
Amendement |
Autorités nationales compétentes en matière de sécurité des réseaux et systèmes informatiques |
Autorités et guichets uniques compétents au niveau national en matière de sécurité des réseaux et systèmes informatiques |
Amendement 62 Proposition de directive Article 6 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre désigne une autorité nationale compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
1. Chaque État membre désigne une ou plusieurs autorités civiles nationales compétentes en matière de sécurité des réseaux et systèmes informatiques (ci-après l'"autorité compétente" ou les "autorités compétentes"). |
Justification | |
Le présent amendement remplace l'amendement 32 et vise à spécifier davantage le type d'institution qui devrait remplir le rôle d'autorité nationale compétente. | |
Amendement 63 Proposition de directive Article 6 – paragraphe 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 bis. Lorsqu'un État membre désigne plusieurs autorités compétentes, il désigne une autorité civile nationale, par exemple une autorité compétente, en tant que guichet unique national chargé de la sécurité des réseaux et des systèmes informatiques (ci-après le "guichet unique"). Lorsqu'un État membre désigne une seule autorité compétente, cette dernière a également la qualité de guichet unique. |
Justification | |
Le présent amendement remplace l'amendement 33 et s'aligne sur le nouvel amendement à l'article 6, paragraphe 1, du rapporteur. Il vise à spécifier davantage le type d'institution qui devrait remplir le rôle de guichet unique. | |
Amendement 64 Proposition de directive Article 6 – paragraphe 2 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 ter. Les autorités compétentes et le guichet unique d'un même État membre coopèrent étroitement aux fins du respect des obligations établies dans la présente directive. |
Amendement 65 Proposition de directive Article 6 – paragraphe 2 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 quater. Le guichet unique assure la coopération transfrontières avec d'autres guichets uniques. |
Amendement 66 Proposition de directive Article 6 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Les États membres veillent à ce que les autorités compétentes disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de leurs tâches de manière efficace et efficiente et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les autorités compétentes puissent coopérer de manière efficace, efficiente et sûre par l'intermédiaire du réseau visé à l'article 8. |
3. Les États membres veillent à ce que les autorités compétentes et les guichets uniques disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de leurs tâches de manière efficace et efficiente et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les guichets uniques puissent coopérer de manière efficace, efficiente et sûre par l'intermédiaire du réseau visé à l'article 8. |
Amendement 67 Proposition de directive Article 6 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. Les États membres veillent à ce que les autorités compétentes reçoivent les notifications d'incidents des administrations publiques et des acteurs du marché conformément à l'article 14, paragraphe 2, et à ce qu'elles disposent des compétences de mise en œuvre et d'exécution visées à l'article 15. |
4. Les États membres veillent à ce que les autorités compétentes et les guichets uniques, s'il y a lieu, conformément au paragraphe 2 bis du présent article, reçoivent les notifications d'incidents des acteurs du marché conformément à l'article 14, paragraphe 2, et à ce qu'ils disposent des compétences de mise en œuvre et d'exécution visées à l'article 15. |
Justification | |
Le présent amendement remplace l'amendement 37. Il vise à clarifier le rôle des différentes autorités afin d'éviter la duplication des notifications adressées à la fois aux autorités compétentes et aux guichets uniques. Étant donné que dans certains secteurs, les notifications d'incidents sont déjà fournies aux organes de l'Union, il convient d'éviter une duplication. | |
Amendement 68 Proposition de directive Article 6 – paragraphe 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
4 bis. Lorsque la législation de l'Union prévoit l'instauration d'un organe sectoriel de contrôle ou de réglementation de l'Union, notamment en ce qui concerne la sécurité du réseau et les systèmes informatiques, cet organe reçoit les notifications d'incidents, conformément à l'article 14, paragraphe 2, des acteurs du marché concernés dans ce secteur et se voit accorder les compétences de mise en œuvre et d'exécution visées à l'article 15. Cet organe de l'Union coopère étroitement avec les autorités compétentes et le guichet unique de l'État membre d'accueil aux fins du respect de ces obligations. Le guichet unique de l'État membre d'accueil représente l'organe de l'Union aux fins du respect des obligations visées au chapitre III. |
Amendement 69 Proposition de directive Article 6 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
5. Les autorités compétentes et les guichets uniques consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
Amendement 70 Proposition de directive Article 6 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Chaque État membre informe sans retard la Commission de la désignation de l'autorité compétente et des tâches confiées à cette dernière et de toute modification ultérieure les concernant. Chaque État membre rend publique la désignation de l'autorité compétente. |
6. Chaque État membre informe sans retard la Commission de la désignation des autorités compétentes et du guichet unique, ainsi que des tâches qui leur sont confiées et de toute modification ultérieure les concernant. Chaque État membre rend publique la désignation des autorités compétentes. |
Amendement 71 Proposition de directive Article 7 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre met en place une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
1. Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") pour chacun des secteurs définis à l'annexe II, chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
Amendement 72 Proposition de directive Article 7 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les CERT sont placées sous la surveillance de l'autorité compétente, qui procède régulièrement à un examen visant à établir que leurs ressources et leur mandat sont adaptés et que leur processus de gestion des incidents est efficace. |
5. Les CERT sont placées sous la surveillance de l'autorité compétente ou du guichet unique, qui procède régulièrement à un examen visant à établir que leurs ressources et leur mandat sont adaptés et que leur processus de gestion des incidents est efficace. |
Amendement 73 Proposition de directive Article 7 – paragraphe 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Les États membres veillent à ce que les CERT disposent de moyens humains et financiers adéquats pour participer activement aux réseaux de coopération internationaux, et en particulier au niveau de l'Union. |
Amendement 74 Proposition de directive Article 7 – paragraphe 5 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 ter. Les CERT sont habilitées et encouragées à initier des exercices conjoints avec d'autres CERT, avec l'ensemble des CERT des États membres et avec les institutions compétentes des pays tiers, ainsi qu'avec les CERT des institutions multinationales et internationales, telles que l'OTAN et les Nations unies, et à y participer. |
Amendement 75 Proposition de directive Article 7 – paragraphe 5 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 quater. Les États membres peuvent solliciter l'assistance de l'ENISA ou d'autres États membres dans la mise en place de leurs CERT nationales. |
Amendement 76 Proposition de directive Article 8 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les autorités compétentes et la Commission constituent un réseau ("réseau de coopération") pour coopérer dans la lutte contre les risques et incidents touchant les réseaux et systèmes informatiques. |
1. Les guichets uniques, la Commission et l'ENISA constituent un réseau (ci-après "réseau de coopération") pour coopérer dans la lutte contre les risques et incidents touchant les réseaux et systèmes informatiques. |
Amendement 77 Proposition de directive Article 8 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. Ce réseau permet à la Commission et aux autorités compétentes de rester en liaison permanente. Lorsque c'est nécessaire, l'Agence européenne chargée de la sécurité des réseaux et de l'information ("ENISA") assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. |
2. Ce réseau permet à la Commission et aux guichets uniques de rester en liaison permanente. Lorsque c'est nécessaire, l'ENISA assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. Le cas échéant, les acteurs du marché et les fournisseurs de solutions en matière de cybersécurité peuvent également être invités à participer aux activités du réseau de coopération visé au paragraphe 3, points g) et i). |
|
Le cas échéant, le réseau de coopération collabore avec les autorités chargées de la protection des données. |
|
La Commission communique régulièrement au réseau de coopération des informations concernant la recherche dans le domaine de la sécurité et d'autres programmes pertinents d'Horizon 2020. |
Amendement 78 Proposition de directive Article 8 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Au sein du réseau de coopération, les autorités compétentes: |
3. Au sein du réseau de coopération, les guichets uniques: |
(a) diffusent les messages d'alerte rapide sur les risques et incidents conformément à l'article 10; |
(a) diffusent les messages d'alerte rapide sur les risques et incidents conformément à l'article 10; |
(b) assurent une intervention coordonnée conformément à l'article 11; |
(b) assurent une intervention coordonnée conformément à l'article 11; |
(c) publient régulièrement, sur un site web commun, des informations non confidentielles sur les alertes rapides et les interventions coordonnées en cours; |
(c) publient régulièrement, sur un site web commun, des informations non confidentielles sur les alertes rapides et les interventions coordonnées en cours; |
(d) procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs d'un ou de plusieurs plans de coopération et stratégies nationaux en matière de SRI visés à l'article 5, dans le champ d'application de la présente directive; |
(d) procèdent à un examen et une évaluation communs d'un ou de plusieurs plans de coopération et stratégies nationaux en matière de SRI visés à l'article 5, dans le champ d'application de la présente directive; |
(e) procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs de l'efficacité des CERT, notamment lorsque des exercices de SRI sont exécutés au niveau de l'Union; |
(e) procèdent à un examen et une évaluation communs de l'efficacité des CERT, notamment lorsque des exercices de SRI sont exécutés au niveau de l'Union; |
(f) coopèrent et échangent des informations sur tous les aspects pertinents avec le Centre européen de lutte contre la cybercriminalité au sein d'Europol, et avec d'autres organismes européens concernés, notamment dans le domaine de la protection des données, de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé; |
(f) coopèrent et échangent leurs connaissances d'expert sur les aspects pertinents concernant le réseau et la sécurité informatique, notamment dans le domaine de la protection des données, de l'énergie, des transports, des services bancaires, des marchés financiers et de la santé avec le Centre européen de lutte contre la cybercriminalité au sein d'Europol, et avec d'autres organismes européens concernés; |
|
(f bis) le cas échéant, informent le coordinateur de l'Union européenne pour la lutte contre le terrorisme au moyen de rapports, et peuvent demander une aide du réseau de coopération en matière d'analyse et de travaux et actions préparatoires; |
(g) échangent des informations et de bonnes pratiques, entre elles et avec la Commission, et s'assistent mutuellement en ce qui concerne le renforcement des capacités de SRI; |
(g) échangent des informations et de bonnes pratiques, entre elles et avec la Commission, et s'assistent mutuellement en ce qui concerne le renforcement des capacités de SRI; |
(h) organisent régulièrement des examens par les pairs portant sur les moyens et l'état de préparation; |
|
(i) organisent des exercices de SRI au niveau de l'Union et participent, le cas échéant, à des exercices de SRI internationaux. |
(i) organisent des exercices de SRI au niveau de l'Union et participent, le cas échéant, à des exercices de SRI internationaux; |
|
(i bis) associent et consultent les acteurs du marché, le cas échéant, et échangent avec eux des informations en ce qui concerne les risques et les incidents affectant leur réseau et leurs systèmes d'information; |
|
(i ter) élaborent, en coopération avec l'ENISA, des lignes directrices pour la définition de critères sectoriels pour la notification des incidents ayant un impact significatif, en plus des paramètres fixés à l'article 14, paragraphe 2, en vue d'une interprétation commune, d'une application cohérente et d'une mise en œuvre harmonieuse au sein de l'Union. |
Amendement 79 Proposition de directive Article 8 – paragraphe 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
3 bis. Le réseau de coopération publie une fois par an un rapport couvrant les 12 mois précédents, fondé sur les activités du réseau et sur le rapport succinct conformément à l'article 14, paragraphe 4, de la présente directive. |
Amendement 80 Proposition de directive Article 8 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. La Commission établit, au moyen d'actes d'exécution, les modalités nécessaires pour faciliter la coopération entre les autorités compétentes et la Commission visée aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés en conformité avec la procédure de consultation visée à l'article 19, paragraphe 2. |
4. La Commission établit, au moyen d'actes d'exécution, les modalités nécessaires pour faciliter la coopération entre les guichets uniques, l'ENISA et la Commission visée aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 19, paragraphe 3. |
Amendement 81 Proposition de directive Article 9 – paragraphe 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
1 bis. Les participants à l'infrastructure sécurisée se conforment entre autres à des mesures de confidentialité et de sécurité appropriées conformément à la directive 95/46/CE et au règlement (CE) n° 45/2001 à toutes les étapes du traitement. |
Amendement 82 Proposition de directive Article 9 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 18 en ce qui concerne la définition des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, pour ce qui a trait: |
supprimé |
(a) à la disponibilité d'une infrastructure d'information et de communication sécurisée et résiliente au niveau national, dont la compatibilité et l'interopérabilité avec le réseau de coopération soient garanties conformément à l'article 7, paragraphe 3, et |
|
(b) à l'existence de ressources et processus techniques, financiers et humains suffisants pour permettre aux autorités compétentes et aux CERT de participer de manière efficace, efficiente et sûre au système sécurisé d'échange d'informations au titre de l'article 6, paragraphe 3, de l'article 7, paragraphes 2 et 3. |
|
Amendement 83 Proposition de directive Article 9 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La Commission adopte, au moyen d'actes d'exécution, des décisions relatives à l'accès des États membres à cette infrastructure sécurisée, conformément aux critères visés aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3 |
3. La Commission adopte, au moyen d'actes délégués, un ensemble de critères communs d'interconnexion et de sécurité que doivent remplir les guichets uniques pour pouvoir échanger des informations sensibles et confidentielles au sein du réseau de coopération. |
Amendement 84 Proposition de directive Article 10 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les autorités compétentes ou la Commission établissent, au sein du réseau de coopération, un mécanisme d'alerte rapide pour les risques et incidents qui remplissent au moins une des conditions suivantes: |
1. Les guichets uniques ou la Commission établissent, au sein du réseau de coopération, un mécanisme d'alerte rapide pour les risques et incidents qui remplissent au moins une des conditions suivantes: |
(a) leur ampleur s'accroît ou peut s'accroître rapidement; |
|
(b) ils excèdent ou peuvent excéder la capacité nationale d'intervention; |
(b) le guichet unique estime que le risque ou l'incident excède potentiellement la capacité nationale d'intervention; |
(c) ils touchent ou peuvent toucher plusieurs États membres. |
(c) les guichets uniques ou la Commission estiment que le risque ou l'incident touche plusieurs États membres. |
Amendement 85 Proposition de directive Article 10 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. Dans le cadre du mécanisme d'alerte rapide, les autorités compétentes et la Commission communiquent toutes les informations pertinentes en leur possession qui peuvent être utiles pour évaluer le risque ou l'incident. |
2. Dans le cadre du mécanisme d'alerte rapide, les guichets uniques et la Commission communiquent sans retard injustifié toutes les informations pertinentes en leur possession qui peuvent être utiles pour évaluer le risque ou l'incident. |
Amendement 86 Proposition de directive Article 10 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information pertinente concernant un risque ou un incident particulier. |
supprimé |
Amendement 87 Proposition de directive Article 10 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide est susceptible de constituer une infraction pénale, les autorités nationales compétentes ou la Commission en informent le Centre européen de lutte contre la cybercriminalité d'Europol. |
4. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide est susceptible de constituer une infraction pénale et lorsque l'acteur du marché concerné a fait état d'incidents susceptibles de constituer une infraction pénale grave dans les termes de l'article 15, paragraphe 4, les États membres veillent à ce que le Centre européen de lutte contre la cybercriminalité d'Europol en soit informé, le cas échéant. |
Amendement 88 Proposition de directive Article 10 – paragraphe 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
4 bis. Les membres du réseau de coopération ne publient aucune information qu'ils ont reçue sur les risques ou les incidents visés au paragraphe 1, sans avoir obtenu l'accord préalable du guichet unique qui a émis la notification. |
|
En outre, avant de partager les informations au sein du réseau de coopération, le guichet unique informe de son intention l'acteur du marché auquel ces informations se rapportent et, s'il l'estime approprié, les rend anonymes. |
Amendement 89 Proposition de directive Article 10 – paragraphe 4 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
4 ter. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide pourrait revêtir une forte dimension technique transnationale, les guichets uniques ou la Commission en informent l'ENISA. |
Amendement 90 Proposition de directive Article 11 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Après l'activation du mécanisme d'alerte rapide visé à l'article 10, les autorités compétentes décident, après évaluation des informations pertinentes, d'une intervention coordonnée conformément au plan de coopération de l'Union en matière de SRI visé à l'article 12. |
1. Après l'activation du mécanisme d'alerte rapide visé à l'article 10, les guichets uniques décident sans retard injustifié, après évaluation des informations pertinentes, d'une intervention coordonnée conformément au plan de coopération de l'Union en matière de SRI visé à l'article 12. |
Amendement 91 Proposition de directive Article 12 – paragraphe 2 – point a – tiret 1 | |
Texte proposé par la Commission |
Amendement |
– une définition du format et des procédures applicables à la collecte et au partage, par les autorités compétentes, d'informations compatibles et comparables sur les risques et incidents, |
– une définition du format et des procédures applicables à la collecte et au partage, par les guichets uniques, d'informations compatibles et comparables sur les risques et incidents, |
Amendement 92 Proposition de directive Article 12 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Le plan de coopération de l'Union en matière de SRI est adopté au plus tard un an après l'entrée en vigueur de la présente directive et est révisé régulièrement. |
3. Le plan de coopération de l'Union en matière de SRI est adopté au plus tard un an après l'entrée en vigueur de la présente directive et est révisé régulièrement. Les résultats de chaque révision sont communiqués au Parlement européen. |
Amendement 93 Proposition de directive Article 12 – paragraphe 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
3 bis. La cohérence entre le plan de coopération de l'Union en matière de SRI et les stratégies nationales et plans nationaux de coopération en matière de SRI, visés à l'article 5 de la présente directive, est assurée. |
Amendement 94 Proposition de directive Article 13 | |
Texte proposé par la Commission |
Amendement |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération. |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération et spécifient la procédure de contrôle qui devra être appliquée afin de garantir la protection de ces données à caractère personnel. Le Parlement européen est informé de la négociation des accords. Tout transfert de données à caractère personnel à des destinataires situés dans des pays tiers est mené conformément aux articles 25 et 26 de la directive 95/46/CE et à l'article 9 du règlement (CE) n° 45/2001. |
Amendement 95 Proposition de directive Article 13 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Article 13 bis |
|
Niveau de criticité des acteurs du marché |
|
Les États membres peuvent déterminer le niveau de criticité des acteurs du marché en tenant compte des spécificités des secteurs, de paramètres comprenant l'importance pour un acteur du marché particulier de maintenir un niveau suffisant de service sectoriel, le nombre des parties fournies par l'acteur du marché, et la période au bout de laquelle la rupture des services essentiels fournis par l'acteur du marché a des répercussions négatives sur le maintien des fonctions économiques et sociétales vitales. |
Justification | |
Le présent amendement fait partie du chapitre IV et devrait précéder l'article 14. Le présent article vise à permettre une classification plus différentiée de l'annexe II et, en conséquence, des obligations prévues au chapitre IV. La notification des incidents doit être réalisée par tous les acteurs du marché, quel que soit leur niveau de criticité, alors que la forme des audits de sécurité peut être adaptée au niveau spécifique de criticité de l'acteur du marché en question. | |
Amendement 96 Proposition de directive Article 14 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les administrations publiques et les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires pour gérer les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents touchant les réseaux et systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. |
1. Les États membres veillent à ce que les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents portant atteinte à la sécurité des réseaux et des systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. |
Amendement 97 Proposition de directive Article 14 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l'autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu'ils fournissent. |
2. Les États membres veillent à ce que les acteurs du marché notifient à l'autorité compétente ou au guichet unique, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu'ils fournissent. Cette notification ne soumet pas la partie qui l'a émise à une plus grande responsabilité. |
|
Afin de déterminer l'ampleur de l'impact d'un incident, il est, entre autres, tenu compte des paramètres suivants: |
Amendement 98 Proposition de directive Article 14 – paragraphe 2 – point a (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(a) le nombre d'utilisateurs dont le service essentiel est concerné; |
Amendement 99 Proposition de directive Article 14 – paragraphe 2 – point b (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(b) la durée de l'incident; |
Amendement 100 Proposition de directive Article 14 – paragraphe 2 – point c (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(c) la portée géographique eu égard à la zone touchée par l'incident. |
Amendement 101 Proposition de directive Article 14 – paragraphe 2 – alinéa 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Il convient de spécifier davantage ces paramètres, conformément à l'article 8, paragraphe 3, point i ter. |
Amendement 102 Proposition de directive Article 14 – paragraphe 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 bis. Les acteurs du marché notifient les incidents visés aux paragraphes 1 et 2 à l'autorité compétente ou au guichet unique de l'État membre dans lequel le service essentiel est affecté. Lorsque des services essentiels dans plusieurs États membres sont concernés, le guichet unique qui a reçu la notification alerte, sur la base des informations fournies par l'acteur du marché, les autres guichets uniques concernés. L'acteur du marché a connaissance, dans les meilleurs délais, des autres guichets uniques qui ont été informés de l'incident, des éventuelles mesures qui ont été prises et de leurs résultats, et de toute autre information pertinente relative à l'incident. |
Amendement 103 Proposition de directive Article 14 – paragraphe 2 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 ter. Lorsque la notification contient des données à caractère personnel, elle n'est transmise qu'aux destinataires au sein de l'autorité compétente notifiée ou du guichet unique notifié qui ont besoin de traiter lesdites données aux fins de l'exécution de leur mission conformément à la réglementation en matière de protection des données. Les données communiquées se limitent à celles nécessaires à l'accomplissement de ces missions. |
Amendement 104 Proposition de directive Article 14 – paragraphe 2 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 quater. Les acteurs du marché qui ne sont pas visés à l'annexe II peuvent signaler de leur plein gré les incidents, conformément à l'article 14, paragraphe 2. |
Amendement 105 Proposition de directive Article 14 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. L'autorité compétente peut informer le public, ou demander aux administrations publiques et aux acteurs du marché de le faire, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident. Une fois par an, l'autorité compétente soumet au réseau de coopération un rapport succinct sur les notifications reçues et l'action engagée conformément au présent paragraphe. |
4. Après avoir consulté l'autorité compétente notifiée et l'acteur du marché concerné, le guichet unique peut informer le public de chaque incident lorsqu'il détermine que la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours, ou lorsque l'acteur du marché affecté par un incident refuse de remédier à une grave faiblesse structurelle sans délai injustifié. |
|
Avant toute divulgation publique, l'autorité compétente informée s'assure que l'acteur du marché concerné a la possibilité d'être entendu et que la décision de divulgation publique est dûment pesée à l'aune de l'intérêt général. |
|
Lorsque des informations relatives à des incidents particuliers sont rendues publiques, l'autorité compétente notifiée ou le guichet unique notifié veille à ce qu'elles soient rendues aussi anonymes de possible. |
|
L'autorité compétente ou le guichet unique fournit à l'acteur du marché concerné, si cela est raisonnablement possible, des informations aidant au traitement efficace de l'incident notifié. |
Une fois par an, l'autorité compétente soumet au réseau de coopération un rapport succinct sur les notifications reçues et l'action engagée conformément au présent paragraphe. |
Une fois par an, le guichet unique soumet au réseau de coopération un rapport succinct sur les notifications reçues, y compris le nombre de notifications et les paramètres d'incident énumérés au paragraphe 2 du présent article, et sur l'action engagée conformément au présent paragraphe. |
Amendement 106 Proposition de directive Article 14 – paragraphe 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
4 bis. Les États membres encouragent les acteurs du marché à divulguer les incidents affectant leur activité de leur plein gré dans leurs rapports financiers. |
Amendement 107 Proposition de directive Article 14 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 18 en ce qui concerne la définition des circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. |
supprimé |
Amendement 108 Proposition de directive Article 14 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Sous réserve de tout acte délégué adopté en vertu du paragraphe 5, les autorités compétentes peuvent adopter des lignes directrices et, le cas échéant, formuler des instructions relatives aux circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. |
6. Les autorités compétentes ou les guichets uniques peuvent adopter des lignes directrices relatives aux circonstances dans lesquelles les acteurs du marché sont tenus de notifier les incidents. |
Amendement 109 Proposition de directive Article 14 – paragraphe 8 | |
Texte proposé par la Commission |
Amendement |
8. Les paragraphes 1 et 2 ne s'appliquent pas aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises12. |
8. Les paragraphes 1 et 2 ne s'appliquent pas aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises12, à moins que la micro-entreprise n'agisse comme succursale d'un acteur du marché au sens de l'article 3, point 8, point b). |
_____________ |
_____________ |
12 JO L 124 du 20.5.2003, p. 36. |
12 JO L 124 du 20.5.2003, p. 36. |
Amendement 110 Proposition de directive Article 14 – paragraphe 8 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
8 bis. Les États membres peuvent décider d'appliquer mutatis mutandis le présent article et l'article 15 aux administrations publiques. |
Amendement 111 Proposition de directive Article 15 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les autorités compétentes aient tous les pouvoirs nécessaires leur permettant d'enquêter sur les cas dans lesquels les administrations publiques ou les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu de l'article 14 et sur les effets de ce non-respect sur la sécurité des réseaux et systèmes informatiques. |
1. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient les pouvoirs nécessaires leur permettant de veiller au respect des obligations en vertu de l'article 14 par les acteurs du marché et de leurs effets sur la sécurité des réseaux et systèmes informatiques. |
Amendement 112 Proposition de directive Article 15 – paragraphe 2 – partie introductive | |
Texte proposé par la Commission |
Amendement |
2. Les États membres veillent à ce que les autorités compétentes aient le pouvoir d'exiger des administrations publiques ou des acteurs du marché qu'ils: |
2. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir d'exiger des acteurs du marché qu'ils: |
Amendement 113 Proposition de directive Article 15 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) se soumettent à un audit exécuté par un organisme qualifié indépendant ou une autorité nationale et mettent les résultats de cet audit à la disposition de l'autorité compétente. |
(b) fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit exécuté par un organisme qualifié indépendant ou une autorité nationale, et mettent ces éléments probants à la disposition de l'autorité compétente ou du guichet unique.
|
Amendement 114 Proposition de directive Article 15 – paragraphe 2 – alinéa 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Au moment de formuler une telle demande, les autorités compétentes ou les guichets uniques mentionnent la finalité de la demande et précisent d'une manière suffisamment détaillée quelles sont les informations exigées. |
Amendement 115 Proposition de directive Article 15 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Les États membres veillent à ce que les autorités compétentes aient le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché. |
3. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir de donner des instructions contraignantes aux acteurs du marché. |
Amendement 116 Proposition de directive Article 15 – paragraphes 3 bis et 3 ter (nouveaux) | |
Texte proposé par la Commission |
Amendement |
|
3 bis. Par dérogation au paragraphe 2, point b, du présent article, les États membres peuvent décider que les autorités compétentes ou les guichets uniques, le cas échéant, doivent appliquer une procédure différente à certains acteurs du marché, en fonction de leur niveau de criticité fixé conformément à l'article 13 bis. Si les États membres en décident ainsi: |
|
(a) les autorités compétentes ou les guichets uniques, le cas échéant, ont le pouvoir de soumettre une demande suffisamment précise aux acteurs du marché en leur demandant de fournir des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit de sécurité effectué par un auditeur interne qualifié, et de mettre ces éléments probants à la disposition de l'autorité compétente ou du guichet unique; |
|
(b) si nécessaire, l'autorité compétente ou le guichet unique peut, après la présentation par l'acteur du marché de la demande visée au point a), exiger que davantage d'éléments probants soient fournis ou qu'un audit supplémentaire soit réalisé par un organisme indépendant qualifié ou une autorité nationale compétente. |
|
3 ter. Les États membres peuvent décider de réduire le nombre et l'intensité des audits pour un acteur du marché concerné, lorsque l'audit de sécurité qui a été effectué montre que l'acteur du marché en question se conforme aux dispositions du chapitre IV de manière cohérente. |
Amendement 117 Proposition de directive Article 15 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. Les autorités compétentes notifient aux services répressifs les incidents pouvant constituer une infraction pénale grave. |
4. Les autorités compétentes et les guichets uniques informent les acteurs du marché concernés de la possibilité de signaler aux services répressifs les incidents pouvant constituer une infraction pénale grave. |
Amendement 118 Proposition de directive Article 15 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. |
5. Sans préjudice de la réglementation applicable en matière de protection des données, les autorités compétentes et les guichets uniques coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. Les guichets uniques et les autorités chargées de la protection des données mettent au point, en coopération avec l'ENISA, des mécanismes d'échange d'informations et un formulaire unique qui seront utilisés pour les notifications au titre de l'article 14, paragraphe 2, de la présente directive et d'autres actes législatifs de l'Union relatifs à la protection des données. |
Amendement 119 Proposition de directive Article 15 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Les États membres veillent à ce que toute obligation imposée aux administrations publiques et aux acteurs du marché au titre du présent chapitre puisse faire l'objet d'un contrôle juridictionnel. |
6. Les États membres veillent à ce que toute obligation imposée aux acteurs du marché au titre du présent chapitre puisse faire l'objet d'un contrôle juridictionnel. |
Amendement 120 Proposition de directive Article 15 – paragraphe 6 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
6 bis. Les États membres peuvent décider d'appliquer mutatis mutandis l'article 14 et le présent article aux administrations publiques. |
Amendement 121 Proposition de directive Article 16 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Pour veiller à la convergence de la mise en œuvre des dispositions de l'article 14, paragraphe 1, les États membres encouragent l'utilisation des normes et/ou des spécifications pertinentes pour la sécurité des réseaux et de l'information. |
1. Pour veiller à la convergence de la mise en œuvre des dispositions de l'article 14, paragraphe 1, les États membres, sans toutefois imposer l'utilisation d'une technologie particulière, encouragent l'utilisation des normes et/ou des spécifications interopérables européennes ou internationales pertinentes pour la sécurité des réseaux et de l'information. |
Amendement 122 Proposition de directive Article 16 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. La Commission établit, au moyen d'actes d'exécution, une liste des normes visées au paragraphe 1. Cette liste est publiée au Journal officiel de l'Union européenne. |
2. La Commission charge un organisme européen compétent de normalisation d'établir, en consultation avec les parties prenantes pertinentes, une liste des normes et/ou spécifications visées au paragraphe 1. Cette liste est publiée au Journal officiel de l'Union européenne. |
Amendement 123 Proposition de directive Article 17 – paragraphe 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
1 bis. Les États membres veillent à ce que les sanctions mentionnées au paragraphe 1 du présent article ne s'appliquent que lorsque l'acteur du marché a manqué aux obligations lui incombent au titre du chapitre IV de manière intentionnelle ou à la suite d'une négligence grave. |
Amendement 124 Proposition de directive Article 18 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La délégation de pouvoir visée à l'article 9, paragraphe 2, à l'article 10, paragraphe 5, et à l'article 14, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou par le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
3. La délégation de pouvoir visée à l'article 9, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou par le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
Amendement 125 Proposition de directive Article 18 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Un acte délégué adopté en vertu de l'article 9, paragraphe 2, de l'article 10, paragraphe 5, et de l'article 14, paragraphe 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont, tous deux, informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
5. Un acte délégué adopté en vertu de l'article 9, paragraphe 2, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
Amendement 126 Proposition de directive Article 20 | |
Texte proposé par la Commission |
Amendement |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard trois ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
La Commission réexamine périodiquement le fonctionnement de la présente directive, en particulier la liste figurant à l'annexe II, et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard trois ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
Amendement 127 Proposition de directive Annexe I – titre | |
Texte proposé par la Commission |
Amendement |
Obligations et tâches de l'équipe d'intervention en cas d'urgence informatique (CERT) |
Obligations et tâches des équipes d'intervention en cas d'urgence informatique (CERT) |
Amendement 128 Proposition de directive Annexe I – alinéa 1 – point 1 – sous-point a | |
Texte proposé par la Commission |
Amendement |
(a) La CERT doit veiller à la grande disponibilité de ses services de communication en évitant les points uniques de défaillance et en prévoyant plusieurs moyens pour être contactée et contacter autrui. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. |
(a) Les CERT doivent veiller à la grande disponibilité de leurs services de communication en évitant les points uniques de défaillance et en prévoyant plusieurs moyens pour être contactées et contacter autrui à tout moment. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. |
Amendement 129 Proposition de directive Annexe I – alinéa 1 – point 1 – sous-point c | |
Texte proposé par la Commission |
Amendement |
(c) Les bureaux de la CERT et les systèmes informatiques utilisés doivent se trouver sur des sites sécurisés. |
(c) Les bureaux des CERT et les systèmes informatiques utilisés doivent se trouver sur des sites sécurisés équipés de réseaux et de systèmes informatiques sécurisés. |
Amendement 130 Proposition de directive Annexe I – alinéa 1 – point 2 – sous-point a – tiret 1 | |
Texte proposé par la Commission |
Amendement |
– surveillance des incidents au niveau national, |
– détection et surveillance des incidents au niveau national, |
Amendement 131 Proposition de directive Annexe I – alinéa 1 – point 2 – sous-point a – tiret 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
– participation active aux réseaux européens et internationaux de coopération entre CERT,
|
Amendement 132 Proposition de directive Annexe II – alinéa 1 – Annexe II – alinéa 2 – phrase introductive | |
Texte proposé par la Commission |
Amendement |
visés à l'article 3, paragraphe 8, point a) |
supprimé |
1. Plateformes de commerce électronique |
|
2. Passerelles de paiement par internet, |
|
3. Réseaux sociaux |
|
4. Moteurs de recherche |
|
5. Services informatiques en nuage |
|
6. Magasins d'applications en ligne |
|
visés à l'article 3, paragraphe 8, point b) |
|
Amendement 133 Proposition de directive Annexe II – alinéa 2 – point 1 | |
Texte proposé par la Commission |
Amendement |
1. Énergie (marchés de l'électricité et du gaz) |
1. Énergie (marchés de l'électricité et du gaz) |
|
a) Électricité |
– fournisseurs d'électricité et de gaz |
– fournisseurs |
– gestionnaires de réseaux de distribution de gaz et/ou d'électricité et détaillants livrant aux clients finals |
– gestionnaires de réseaux de distribution et détaillants livrant aux clients finals |
– gestionnaires de réseaux de transport de gaz naturel, exploitants d'installations de stockage et d'installations GPL |
|
– gestionnaires de réseaux de transport d'électricité |
– gestionnaires de réseaux de transport d'électricité |
|
b) Pétrole |
– oléoducs et installations de stockage de pétrole |
– oléoducs et installations de stockage de pétrole |
|
– exploitants d'installations de production, de raffinage et de traitement, de stockage et de transport de pétrole |
|
c) Gaz |
– opérateurs sur les marchés du gaz et de l'électricité |
– fournisseurs |
|
– gestionnaires de réseaux de distribution et détaillants livrant aux clients finals |
|
– gestionnaires de réseaux de transport de gaz naturel, exploitants d'installations de stockage et d'installations de GNL |
– exploitants d'installations de production, de raffinage et de traitement de pétrole et de gaz naturel |
– exploitants d'installations de production, de raffinage et de traitement, de stockage et de transport de gaz naturel |
|
– opérateurs sur les marchés du gaz |
Amendement 134 Proposition de directive Annexe II – alinéa 2 – point 2 | |
Texte proposé par la Commission |
Amendement |
2. Transports |
2. Transports |
– transporteurs aériens (fret et passagers) |
a) Transports routiers |
– transporteurs maritimes (sociétés de transports maritimes et côtiers de passagers et sociétés de transports maritimes et côtiers de marchandises) |
i) opérateurs de contrôle de gestion du trafic |
– chemins de fer (gestionnaires d'infrastructures, entreprises intégrées et opérateurs de transports ferroviaires) |
ii) services logistiques auxiliaires: |
– aéroports |
– entreposage et stockage, |
– ports |
– manutention du fret, et |
– opérateurs de contrôle de gestion du trafic |
– autres services auxiliaires des transports. |
– services logistiques auxiliaires (a) entreposage et stockage, b) manutention du fret et c) autres services auxiliaires des transports. |
b) Transport ferroviaire |
|
i) chemins de fer (gestionnaires d'infrastructures, entreprises intégrées et opérateurs de transports ferroviaires) |
|
ii) opérateurs de contrôle de gestion du trafic |
|
iii) services logistiques auxiliaires: |
|
– entreposage et stockage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
c) Transport aérien |
|
i) transporteurs aériens (fret et passagers) |
|
ii) aéroports |
|
iii) opérateurs de contrôle de gestion du trafic |
|
iv) services logistiques auxiliaires: |
|
– entreposage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
d) Transport maritime |
|
i) transporteurs maritimes (sociétés de transports maritimes, côtiers et par navigation intérieure de passagers et sociétés de transports maritimes, côtiers et par navigation intérieure de marchandises) |
Amendement 135 Proposition de directive Annexe II – alinéa 2 – point 4 | |
Texte proposé par la Commission |
Amendement |
4. Infrastructures de marchés financiers: bourses de valeurs et contrepartie centrale/chambres de compensation. |
4. Infrastructures de marchés financiers: marchés réglementés, systèmes multilatéraux de négociation, systèmes organisés de négociation et contrepartie centrale/chambres de compensation. |
Amendement 136 Proposition de directive Annexe II – alinéa 2 – point 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Production d'eau et fourniture d'eau. |
Amendement 137 Proposition de directive Annexe II – alinéa 2 – point 5 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 ter. Chaîne d'approvisionnement alimentaire. |
Amendement 138 Proposition de directive Annexe II – alinéa 2 – point 5 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 quater. Points d'échange internet. |
- [1] JO C ..., p. / Non encore paru au Journal officiel.
- [2] Textes adoptés de cette date, P7_TA(2013)0376.
EXPOSÉ DES MOTIFS
1. Contexte
En 2010 déjà, la stratégie numérique pour l'Europe appelait à introduire des instruments législatifs destinés à mettre en place une politique visant à assurer un niveau élevé de sécurité des réseaux et de l'information. En raison de l'interpénétration des réseaux et des systèmes informatiques, des perturbations importantes de ces réseaux et systèmes dans un État membre peuvent avoir une incidence sur d'autres États membres et sur l'Union dans son ensemble. La résilience et la stabilité des réseaux et des systèmes informatiques, ainsi que la continuité des services essentiels sont capitales pour l'achèvement harmonieux du marché intérieur, en particulier pour l'évolution future du marché unique du numérique.
Compte tenu des différents moyens et de la fragmentation des approches dans l'Union, la Commission européenne, dans sa proposition de directive actuelle concernant des mesures destinées à assurer un niveau élevé de sécurité des réseaux et de l'information dans l'Union, entend accroître la sécurité de l'internet et des réseaux et systèmes informatiques privés soutenant le fonctionnement de notre société et de nos économies.
À cet effet, la Commission demande aux États membres d'améliorer leur niveau de préparation et leur coopération mutuelle. À cette fin, il convient que les opérateurs d'infrastructures critiques telles que les réseaux d'énergie et de transports et les principaux prestataires de services de la société de l'information, ainsi que les administration publiques, adoptent les mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes.
2. Projet de rapport
Votre rapporteur soutient l'objectif global de la directive proposée, c'est-à-dire assurer un niveau commun élevé de sécurité des réseaux et de l'information (SRI). Afin d'améliorer l'efficacité des mesures proposées, votre rapporteur considère que la présente directive, en tant que point de départ, devrait être limitée à certains opérateurs, protéger les investissements dans la sécurité des réseaux et de l'information qui ont déjà été effectués, et éviter les doubles emplois de structures institutionnelles et d'obligations imposées aux acteurs du marché. En outre, votre rapporteur est d'avis que la présente directive devrait soutenir l'instauration de relations de confiance et le développement d'échanges entre les acteurs publics et privés, et qu'il y a lieu d'éviter les réactions négatives manifestées sous la forme d'une simple "culture de la conformité" pour privilégier la "culture de la gestion des risques" attendue. Au vu de ces considérations, votre rapporteur propose de renforcer l'incidence de la présente directive en apportant les principales modifications suivantes.
A. Champ d'application
Le projet de directive vise à imposer des obligations aux administrations publiques et aux acteurs du marché, y compris aux infrastructures critiques et aux services de la société de l'information. Afin de veiller à la proportionnalité de l'application de la directive et d'en obtenir rapidement les résultats escomptés, votre rapporteur estime que les mesures obligatoires prévues au chapitre IV devraient être limitées aux infrastructures qui sont critiques au sens strict. Il considère que les services de la société de l'information ne devraient donc pas être inclus à l'annexe II de la directive. En revanche, cette directive devrait être axée sur les acteurs du marché qui fournissent des services, entre autres, dans les secteurs de l'énergie et des transports, ainsi que les secteurs liés à la santé et les infrastructures de marchés financiers.
En raison de la dimension publique de leur mission, les administrations publiques doivent faire preuve de la vigilance appropriée dans la gestion de leurs réseaux et systèmes informatiques. Par conséquent, votre rapporteur considère qu'il n'est pas proportionné de leur imposer les mêmes obligations qu'aux acteurs du marché.
Outre les modifications introduites au niveau du champ d'application, votre rapporteur soutient la nature non exhaustive de l'annexe II et est favorable à une révision périodique de la présente directive, également à la lumière des nouveaux progrès technologiques.
B. Autorités nationales compétentes
La proposition de directive prévoit la désignation d'une autorité nationale compétente par État membre, qui sera chargée de surveiller l'application de la directive. Votre rapporteur considère que cela ne tient pas dûment compte des structures déjà existantes.
Dans certains secteurs couverts par le champ d'application de la présente directive, les acteurs du marché notifient déjà, de manière formelle ou informelle, leur autorité de réglementation sectorielle de certains incidents concernant la sécurité des réseaux et de l'information. Étant donné le lien direct et les relations étroites avec leur secteur respectif, ces autorités ont une connaissance approfondie des menaces et des faiblesses propres à leur secteur et sont donc dans une position unique pour évaluer l'impact d'incidents réels ou potentiels dans leur secteur.
Outre les investissements sectoriels existants, il se peut que certains États membres doivent désigner plusieurs autorités nationales compétentes en raison de leur structure constitutionnelle ou d'autres considérations. Par conséquent, votre rapporteur propose de modifier la directive afin d'autoriser la désignation de plusieurs autorités compétentes par État membre. Toutefois, afin de garantir une application cohérente dans l'État membre et de permettre une coopération efficace et simplifiée au niveau de l'Union, chaque État membre devrait nommer un guichet unique chargé, entre autres, de la participation au réseau de coopération de l'article 8 et des alertes rapides conformément à l'article 10.
C. Réseau de coopération
En vue de renforcer les activités du réseau de coopération, votre rapporteur estime que ce dernier devrait envisager d'inviter des acteurs du marché à y participer, si nécessaire. Par ailleurs, un rapport annuel sur les activités du réseau fournirait de précieuses informations sur les progrès réalisés au niveau de l'échange de bonnes pratiques entre les États membres et l'évolution des notifications des incidents dans l'Union.
D. Exigences de sécurité et notification d'incidents
Une des principales nouveautés de la proposition de directive est l'introduction de la notification obligatoire par les acteurs du marché des incidents ayant un impact significatif sur la sécurité des services essentiels. Afin de clarifier la portée des obligations et de les consacrer dans l'acte de base, votre rapporteur propose de remplacer les actes délégués de l'article 14, paragraphe 5, par des critères clairs permettant de déterminer l'importance des incidents à notifier. En vue de l'alignement voulu sur la directive 2009/140/CE, des indicateurs similaires à ceux établis dans les orientations techniques de l'ENISA sur la notification des incidents pour la directive 2009/140/CE permettraient de clarifier la portée et les critères de la notification. En outre, votre rapporteur recommande de renforcer les clauses de sauvegarde relatives à la publication d'informations sur les incidents et précise l'applicabilité de la législation, lorsqu'un incident affecte les services essentiels dans plusieurs États membres, afin de ne pas imposer d'obligations de notification multiples ou peu claires.
E. Mise en œuvre et exécution
Votre rapporteur considère qu'il est essentiel de favoriser une culture de gestion des risques et de s'appuyer sur les efforts accomplis par les acteurs du marché. À cet égard, il estime que, plutôt que la fourniture d'informations sur les activités concrètes en matière de gestion des risques, c'est la coopération globale et l'ensemble des mesures effectives prises par les acteurs du marché qui sont cruciales.
Par conséquent, dans le contexte de l'article 15, il est nécessaire de laisser une certaine flexibilité concernant la preuve de la conformité avec les exigences imposées aux acteurs du marché en matière de sécurité. Il y a lieu d'admettre d'autres formes de preuve de la conformité que des audits de sécurité.
F. Sanctions
Si votre rapporteur admet qu'il est nécessaire de prévoir des sanctions pour les acteurs du marché qui ne respectent pas la législation afin de renforcer l'efficacité de la présente directive, il estime néanmoins que les sanctions potentielles ne devraient pas dissuader les acteurs concernés de notifier les incidents ni avoir des effets négatifs. Il convient d'éviter que la notification rapide des incidents soit amoindrie par le risque de sanctions concernant, entre autres, les simples cas de non-respect des exigences procédurales. Par conséquent, votre rapporteur propose de préciser que lorsque les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu du chapitre IV, mais qu'ils n'ont pas agi de manière intentionnelle ou à la suite d'une négligence grave, aucune sanction ne soit imposée.
AVIS de la commission de l'industrie, de la recherche et de l'énergie (19.12.2013)
à l'intention de la commission du marché intérieur et de la protection des consommateurs
sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Rapporteure(*): Pilar del Castillo Vera
(*) Commission associée – article 50 du règlement
JUSTIFICATION SUCCINCTE
En février 2013, conformément à la demande formulée par le Parlement européen dans son rapport d'initiative sur une stratégie numérique pour l'Europe, la Commission européenne a présenté une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, ainsi que la première stratégie de l'Union en matière de cybersécurité. L'analyse des données disponibles permet d'estimer que les incidents informatiques à caractère malveillant pourraient entraîner des coûts directs de plus de 560 millions d'euros par an pour les seules PME. Tous les types d'incidents (y compris les problèmes environnementaux ou physiques en amont comme les catastrophes naturelles) pourraient entraîner des coûts de plus de 2,3 milliards. Dans cette perspective, la rapporteure se félicite vivement de la proposition.
En ce qui concerne la structure de cette proposition, la rapporteure adhère à certaines des mesures proposées, comme l'extension des dispositions relatives au signalement des incidents de sécurité, dont la portée se limite actuellement aux fournisseurs de services de télécommunications en vertu de l'article 13 bis de la directive-cadre de 2009, à d'autres secteurs infrastructurels critiques. Par conséquent, votre rapporteure salue les propositions consistant par exemple à imposer à tous les États membres de posséder des équipes d'intervention fonctionnelles en cas d'urgence informatique et de désigner une autorité compétente destinée à faire partie d'un réseau paneuropéen d'échange électronique de données visant à permettre le partage et l'échange en toute sécurité d'informations en matière de cybersécurité. Ces propositions pourraient apporter une contribution importante à l'objectif de la directive proposée, à savoir assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union.
Votre rapporteure estime cependant qu'il serait possible d'améliorer cette proposition en adoptant une perspective fondée sur deux principes principaux: l'efficacité et la confiance.
Premier principe – l'efficacité
En ce qui concerne l'obligation faite aux États membres de désigner une autorité compétente chargée de contrôler l'application de la directive pour tous les secteurs cités à l'annexe II de la proposition, la rapporteure estime non seulement que chaque État membre doit rester libre de choisir le modèle de cybergouvernance qu'il juge le mieux indiqué, mais aussi qu'il est impératif d'éviter un dédoublement des structures institutionnelles susceptible de provoquer des conflits de compétences et d'entraver la communication. La rapporteure estime par conséquent qu'il ne faut pas porter atteinte aux structures nationales existantes qui fonctionnent déjà efficacement et qui répondent aux besoins et aux exigences constitutionnelles des États membres. Elle estime toutefois que, dans le but de garantir l'échange d'informations au niveau de l'Union, le signalement précoce des menaces et la participation efficace au réseau de coopération, chaque États membre doit désigner un guichet unique.
Dans le même esprit d'efficacité maximale de la directive proposée, la rapporteure estime que les mesures proposées concernant la mise en place d'une équipe d'intervention en cas d'urgence informatique (CERT) nationale pourraient ne pas représenter l'approche idéale dans la mesure où elles ne tiennent pas compte des différences de composition et de nature des CERT existantes. La plupart des États membres possèdent plusieurs CERT chargées de gérer différents types d'incidents. Le nombre et la qualité des activités varient également selon qu'elles sont assurées par des établissements universitaires ou de recherche, des administrations ou des acteurs du secteur privé. En outre, la proposition actuelle perturberait les réseaux de coopération internationaux et européens existants dont font déjà partie les CERT existantes et qui ont prouvé leur efficacité lorsqu'il s'agit de coordonner les réactions internationales et européennes face aux incidents. Votre rapporteure estime par conséquent qu'au lieu de se référer à une seule CERT nationale, la directive devrait cibler les CERT qui proposent leurs services aux secteurs de l'annexe II. Il devrait donc être possible, par exemple, qu'une seule CERT propose ses services à tous les secteurs de l'annexe II ou que plusieurs CERT différentes proposent leurs services à un même secteur. La rapporteure estime toutefois que les États membres doivent garantir à tout moment le bon fonctionnement de leurs CERT et faire en sorte qu'elles possèdent des moyens techniques, financiers et humains suffisants pour fonctionner correctement et pour participer aux réseaux de coopération internationaux et européens.
Le principe d'efficacité nécessite également de modifier le champ d'application de la directive proposée. La rapporteure admet la nécessité d'étendre les obligations en matière de système de signalement aux secteurs de l'énergie, des transports, de la santé et des finances, mais la proposition d'étendre les mesures obligatoires fixées au chapitre IV à tous les acteurs du marché de l'"économie Internet" est disproportionnée et ingérable. Elle est disproportionnée parce que l'imposition de manière indiscriminée de nouvelles obligations à une catégorie ouverte et non définie comme "tout prestataire de services de la société de l'information qui permet la fourniture d'autres services de la société de l'information" est non seulement incompréhensible, mais ne se justifie pas non plus par un préjudice possible causé par un incident de sécurité et risque d'ajouter de nouvelles contraintes bureaucratiques à notre secteur industriel, et en particulier aux PME. Mais cette démarche est aussi ingérable, car on peut douter que les autorités compétentes soient en mesure de gérer toutes les notifications potentielles d'une manière proactive encourageant un dialogue bidirectionnel avec les acteurs du marché afin de résoudre chaque menace de sécurité.
En ce qui concerne les administrations publiques, la directive devrait respecter un équilibre entre la nécessité de poursuivre le développement des services d'administration en ligne et les obligations déjà imposées aux administrations publiques en matière de vigilance appropriée dans la gestion et la protection de leurs propres réseaux et systèmes informatiques. La rapporteure estime par conséquent que, si les obligations en matière d'échange d'informations définies à l'article 14 doivent s'appliquer pleinement aux administrations publiques, celles-ci ne devraient pas être soumises aux obligations de l'article 15.
Deuxième principe – la confiance
La rapporteure est d'avis que la réussite de la directive dépend dans une large mesure de sa capacité à stimuler la participation des acteurs du marché, ce qui permet de créer un environnement de confiance en matière de SRI, un environnement dans lequel les personnes actives sur le terrain collaborent de manière proactive. Si la directive ne parvient pas à créer un tel environnement, elle échouera. À cet égard, la rapporteure propose de garantir que la participation et la notification des acteurs du marché ne subissent pas de conséquences négatives du fait de publications inutiles d'incidents de sécurité qu'ils auraient notifiés, ou de faire en sorte que les acteurs du marché puissent être tenus pour responsables des pertes d'informations par les autorités compétentes ou les guichets uniques. Par ailleurs, un dialogue bidirectionnel doit être ouvert entre les opérateurs et les autorités compétentes, et la participation des acteurs du marché doit être encouragée au sein de tous les forums, y compris dans le réseau de coopération.
La rapporteure est également convaincue que la confiance doit être le pilier de la participation des autorités compétentes et/ou des guichets uniques, en particulier en ce qui concerne l'échange d'informations. Afin de garantir cette confiance, la directive devrait refléter les dispositions relatives aux exigences de confidentialité et de sécurité du réseau.
AMENDEMENTS
La commission de l'industrie, de la recherche et de l'énergie invite la commission du marché intérieur et de la protection des consommateurs, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de directive Considérant 1 | |
Texte proposé par la Commission |
Amendement |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à la liberté et à la sécurité générale des citoyens de l'Union, ainsi qu'à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
Amendement 2 Proposition de directive Considérant 2 | |
Texte proposé par la Commission |
Amendement |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. |
(2) L'ampleur, la fréquence et l'impact des incidents de sécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces systèmes peuvent également devenir des cibles faciles pour des actions intentionnelles malveillantes qui visent à la détérioration ou à l'interruption de leur fonctionnement. Ces incidents peuvent représenter une menace pour la sécurité et la santé de la population, nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et des investisseurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. |
Justification | |
Les cyberattaques perpétrées contre des sociétés cotées en bourse sont monnaie courante et se caractérisent par le vol d'actifs financiers, la violation de la propriété intellectuelle, ou la perturbation des activités de leurs clients ou de leurs partenaires commerciaux, et elles peuvent avoir des conséquences sur les relations avec leurs actionnaires ainsi que sur la décision d'investisseurs potentiels. | |
Amendement 3 Proposition de directive Considérant 3 | |
Texte proposé par la Commission |
Amendement |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur. |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières traditionnelles qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services, des idées et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur, de même qu'au fonctionnement des marchés extérieurs. |
Justification | |
La résilience et la stabilité des réseaux et systèmes informatiques du marché intérieur sont également essentielles pour les relations avec les marchés mondiaux ou régionaux, par exemple l'Amérique du Nord, l'Asie, etc. | |
Amendement 4 Proposition de directive Considérant 4 | |
Texte proposé par la Commission |
Amendement |
(4) Il convient d'établir, au niveau de l'UE, un mécanisme de coopération qui permette l'échange d'informations et garantisse la coordination de la prévention et de l'intervention en ce qui concerne la sécurité des réseaux et de l'information ("SRI"). Pour que ce mécanisme soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de SRI sur leur territoire. Les administrations publiques et les opérateurs d'infrastructures d'information critiques devraient par ailleurs être soumis à des exigences minimales en matière de sécurité, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés. |
(4) Il convient d'établir, au niveau de l'UE, un mécanisme de coopération qui permette l'échange d'informations et garantisse la coordination de la prévention, de la détection et de l'intervention en ce qui concerne la sécurité des réseaux et de l'information ("SRI"). Pour que ce mécanisme soit efficace et ouvert à tous, il est essentiel que tous les États membres soient dotés d'un minimum de moyens et d'une stratégie garantissant un niveau élevé de SRI sur leur territoire. Les opérateurs publics et privés d'infrastructures d'information et les sociétés cotées en bourse devraient par ailleurs être soumis à des exigences minimales en matière de sécurité, afin de promouvoir une culture de gestion des risques et de faire en sorte que les incidents les plus graves soient signalés. Le cadre juridique devrait reposer sur la nécessité de protéger la vie privée et l'intégrité des citoyens. Le réseau d'alerte concernant les infrastructures critiques (CIWIN) devrait être étendu à ces opérateurs particuliers. |
Justification | |
Les atteintes à la sécurité d'une société cotée en bourse sont susceptibles d'avoir des répercussions concrètes sur les produits et les services de la société, sur les relations qu'elle entretient avec ses clients ou ses fournisseurs, ainsi que sur les conditions générales de concurrence, et peuvent de ce fait avoir des incidences notables sur le fonctionnement du marché intérieur (et extérieur). Il convient donc d'inscrire les sociétés cotées en bourse dans le champ d'application de la directive. | |
Amendement 5 Proposition de directive Considérant 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 bis) La présente directive devrait être axée sur l'infrastructure critique essentielle au maintien des fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des infrastructures de marchés financiers ou des soins de santé. |
Amendement 6 Proposition de directive Considérant 4 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 ter) Il est d'une importance cruciale, pour garantir que les pouvoirs publics n'outrepassent pas leurs compétences ni n'abusent de leurs pouvoirs, que leurs systèmes informatiques et de sécurité soient transparents, légitimes, bien définis et adoptés au cours d'un processus démocratique et transparent. |
Amendement 7 Proposition de directive Considérant 6 | |
Texte proposé par la Commission |
Amendement |
(6) Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de SRI dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'UE. Les niveaux de protection des particuliers et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de SRI dans l'Union. En outre, l'absence d'exigences minimales communes applicables aux administrations publiques et aux acteurs du marché rend impossible la création d'un mécanisme général de coopération efficace au niveau de l'Union. |
(6) Les moyens existants ne sont pas suffisants pour assurer un niveau élevé de SRI dans l'Union. Les niveaux de préparation sont très différents selon les États membres, ce qui se traduit par une fragmentation des approches dans l'UE. Les niveaux de protection des particuliers et des entreprises sont donc inégaux, ce qui porte atteinte au niveau global de SRI dans l'Union. En outre, l'absence d'exigences minimales communes applicables aux acteurs du marché rend impossible la création d'un mécanisme général de coopération efficace au niveau de l'Union, ce qui nuit également à l'efficacité de la coopération internationale et, par conséquent, à la lutte contre les difficultés en matière de sécurité au niveau mondial et affaiblit, au plan international, le rôle de chef de file de l'Union dans la protection et la promotion d'un internet libre, efficace et sûr. |
Amendement 8 Proposition de directive Considérant 7 | |
Texte proposé par la Commission |
Amendement |
(7) Il faut donc, pour faire face efficacement aux problèmes actuels dans le domaine de la sécurité des réseaux et de l'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, l'échange d'informations et la coordination des actions, ainsi que des exigences minimales communes en matière de sécurité pour tous les acteurs du marché concernés et les administrations publiques. |
(7) Il faut donc, pour faire face efficacement aux problèmes actuels dans le domaine de la sécurité des réseaux et de l'information, adopter une approche globale au niveau de l'Union qui couvrira des exigences minimales communes en matière de renforcement des capacités et de planification, permettra de se doter de compétences suffisantes en matière de cybersécurité, et comprendra l'échange d'informations et la coordination des actions, ainsi que des exigences minimales communes en matière de sécurité. Il convient d'appliquer des normes communes minimales conformément aux recommandations pertinentes des groupes de coordination en matière de cybersécurité. |
Amendement 9 Proposition de directive Considérant 9 | |
Texte proposé par la Commission |
Amendement |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident. |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles, à partir des exigences minimales définies par la présente directive, afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident. Chaque État membre devrait donc être tenu de respecter des normes communes relatives au format et au caractère échangeable des données censées être partagées et évaluées. Les États membres peuvent demander à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) de les aider à élaborer leur stratégie nationale en matière de SRI, à partir d'un modèle minimal commun de stratégie en matière de SRI. |
Justification | |
L'ENISA est déjà reconnue par les parties prenantes concernées comme un centre d'excellence hautement compétent et comme un instrument fiable pour faire progresser la cybersécurité dans l'Union. L'Union doit donc éviter le dédoublement des moyens mis en œuvre et des structures et tirer profit du savoir-faire de l'ENISA, en demandant à cette dernière de proposer ses services pour conseiller les États membres qui en font la demande et qui ne disposent ni de structures administratives ni de compétences techniques dans le domaine de sécurité des réseaux et de l'information. | |
Amendement 10 Proposition de directive Considérant 10 | |
Texte proposé par la Commission |
Amendement |
(10) Pour que les dispositions adoptées en vertu de la présente directive puissent être effectivement mises en œuvre, il convient d'établir ou de désigner, dans chaque État membre, un organisme responsable de la coordination des aspects relatifs à la SRI et servant d'interlocuteur pour la coopération transfrontière au niveau de l'Union. Ces organismes devraient être dotés de ressources techniques, financières et humaines, suffisantes pour pouvoir s'acquitter de manière efficace et efficiente des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive. |
(10) Pour que les dispositions adoptées en vertu de la présente directive puissent être effectivement mises en œuvre, il convient d'établir ou de désigner, dans chaque État membre, un organisme responsable de la coordination des aspects relatifs à la SRI et servant d'interlocuteur unique tant pour la coordination interne que pour la coopération transfrontière au niveau de l'Union. La désignation de guichets uniques nationaux n'exclut nullement que chaque État membre puisse charger plus d'une autorité nationale compétente de la sécurité de l'information et des réseaux, conformément à ses exigences constitutionnelles, juridictionnelles ou administratives, mais le guichet unique devrait néanmoins être chargé de la coordination au niveau national et au niveau de l'Union. Ces organismes devraient être dotés de ressources techniques, financières et humaines, suffisantes pour pouvoir s'acquitter de manière permanente, efficace et efficiente des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive. |
Amendement 11 Proposition de directive Considérant 10 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(10 bis) Compte tenu des divergences entre les structures de gouvernance nationale et en vue de sauvegarder les accords existants au niveau sectoriel et d'éviter les doubles emplois, les États membres devraient être en mesure de désigner plusieurs autorités nationales compétentes chargées d'accomplir les tâches liées à la sécurité des réseaux et des systèmes informatiques des acteurs du marché dans le cadre de la présente directive. Toutefois, afin de garantir une coopération et une communication transfrontières harmonieuses, il est nécessaire que chaque État membre désigne un seul guichet unique chargé de la coopération transfrontières au niveau de l'Union. Lorsque sa structure constitutionnelle ou d'autres dispositions l'exigent, un État membre devrait être en mesure de désigner une seule autorité pour accomplir les tâches de l'autorité compétente et du guichet unique. |
Amendement 12 Proposition de directive Considérant 11 | |
Texte proposé par la Commission |
Amendement |
(11) Tous les États membres devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour prévenir et détecter les incidents et risques liés aux réseaux et systèmes informatiques et prendre les mesures d'intervention et d'atténuation nécessaires. Il convient, par conséquent, de mettre en place dans tous les États membres des équipes d'intervention en cas d'urgence informatique (CERT) opérationnelles et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. |
(11) Tous les États membres et tous les acteurs du marché devraient disposer de moyens suffisants, sur les plans technique et organisationnel, pour pouvoir, à tout moment, prévenir et détecter les incidents et risques liés aux réseaux et systèmes informatiques et prendre les mesures d'intervention et d'atténuation nécessaires. Les systèmes de sécurité des administrations publiques doivent être sûrs et faire l'objet d'un contrôle démocratique. Le matériel et les moyens généralement requis doivent être conformes aux normes techniques communément admises ainsi qu'aux procédures standard d'exploitation. Il convient, par conséquent, de mettre en place dans tous les États membres des équipes d'intervention en cas d'urgence informatique (CERT) opérationnelles et conformes aux exigences essentielles afin de garantir l'existence de moyens effectifs et compatibles pour gérer les incidents et les risques et d'assurer une coopération efficace au niveau de l'Union. Ces CERT devraient être habilitées à collaborer en s'appuyant sur des normes techniques communes et des procédures standard d'exploitation. Au vu des caractéristiques différentes des équipes d'intervention en cas d'urgence informatique (CERT) existantes, qui répondent à différents besoins et s'adressent à des acteurs différents, les États membres devraient faire en sorte que chacun des secteurs visés à l'annexe II bénéficie des services d'au moins une CERT. En ce qui concerne la coopération transfrontières entre les CERT, les États membres devraient faire en sorte que les CERT disposent des moyens suffisants pour participer aux réseaux de coopération internationaux et européens déjà en place actuellement. |
Justification | |
Il convient de veiller à l'interopérabilité. | |
Amendement 13 Proposition de directive Considérant 12 | |
Texte proposé par la Commission |
Amendement |
(12) En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques en matière de sécurité, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, les États membres et la Commission devraient constituer un réseau leur permettant de rester en liaison permanente et fournissant un cadre à leur coopération. Ce mécanisme de coopération sécurisé et efficace devrait garantir, au niveau de l'UE, des actions structurées et coordonnées en matière d'échange d'informations, de détection et d'intervention. |
(12) En se fondant sur les progrès significatifs accomplis au sein du Forum européen des États membres pour favoriser les discussions et les échanges de bonnes pratiques en matière de sécurité, et notamment l'élaboration de principes relatifs à la coopération européenne en cas de crise dans le domaine de la cybersécurité, les États membres et la Commission devraient constituer un réseau leur permettant de rester en liaison permanente et fournissant un cadre à leur coopération. Ce mécanisme de coopération sécurisé et efficace, qui permet la participation des acteurs du marché, devrait garantir, au niveau de l'UE, des actions structurées et coordonnées en matière d'échange d'informations, de détection et d'intervention. |
Amendement 14 Proposition de directive Considérant 13 | |
Texte proposé par la Commission |
Amendement |
(13) L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) devrait assister les États membres et la Commission en mettant à leur disposition son expérience et ses conseils et en facilitant l'échange des meilleures pratiques. En particulier, la Commission devrait consulter l'ENISA en ce qui concerne l'application de la présente directive. Pour faire en sorte que les États membres et la Commission soient informés efficacement et en temps voulu, un mécanisme d'alerte rapide sur les incidents et les risques devrait être mis en place dans le cadre du réseau de coopération. Afin de développer les moyens disponibles et la connaissance dans les États membres, le réseau de coopération devrait aussi être un outil d'échange des meilleures pratiques, qui aide ses membres à renforcer leurs capacités et dirige l'organisation d'examens par les pairs et d'exercices de SRI. |
(13) L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) devrait assister les États membres et la Commission en mettant à leur disposition son expérience et ses conseils et en facilitant l'échange des meilleures pratiques. En particulier, la Commission et les États membres devraient consulter l'ENISA en ce qui concerne l'application de la présente directive. Pour faire en sorte que les États membres et la Commission soient informés efficacement et en temps voulu, un mécanisme d'alerte rapide sur les incidents et les risques devrait être mis en place dans le cadre du réseau de coopération. Afin de développer les moyens disponibles et la connaissance dans les États membres, le réseau de coopération devrait aussi être un outil d'échange des meilleures pratiques, qui aide ses membres à renforcer leurs capacités et dirige l'organisation d'examens par les pairs et d'exercices de SRI. |
Amendement 15 Proposition de directive Considérant 14 | |
Texte proposé par la Commission |
Amendement |
(14) Une infrastructure sécurisée de partage des informations devrait être mise en place de manière à permettre l'échange d'informations sensibles et confidentielles au sein du réseau de coopération. Sans préjudice de leur obligation de notifier au réseau de coopération les incidents et les risques ayant une importance pour l'Union, seuls les États membres prouvant qu'ils disposent des ressources et processus techniques, financiers et humains et des infrastructures leur permettant de participer de manière efficace, efficiente et sûre au réseau devraient avoir accès aux informations confidentielles d'autres États membres. |
(14) Une infrastructure sécurisée de partage des informations devrait être mise en place, sous le contrôle de l'ENISA, de manière à permettre l'échange d'informations sensibles et confidentielles au sein du réseau de coopération. Sans préjudice de leur obligation de notifier au réseau de coopération les incidents et les risques ayant une importance pour l'Union, seuls les États membres prouvant qu'ils disposent des ressources et processus techniques, financiers et humains et des infrastructures leur permettant de participer de manière efficace, efficiente et sûre au réseau devraient avoir accès aux informations confidentielles d'autres États membres. La Commission devrait créer une ligne budgétaire consacrée au réseau de coopération afin de lui permettre d'accomplir efficacement sa mission. |
Amendement 16 Proposition de directive Considérant 14 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(14 bis) Le cas échéant, les acteurs du marché peuvent également être invités à participer aux activités du réseau de coopération. |
Amendement 17 Proposition de directive Considérant 15 | |
Texte proposé par la Commission |
Amendement |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et échanger des informations et des meilleures pratiques en contrepartie d'une assistance opérationnelle en cas d'incident. |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et s'échanger mutuellement les informations et les bonnes pratiques, y compris la réciproque en matière d'échange d'informations pertinentes, d'assistance opérationnelle et d'informations ayant fait l'objet d'une analyse stratégique en cas d'incident. Il est essentiel, pour encourager le partage des informations et des bonnes pratiques, de veiller à ce que les acteurs du marché qui participent à ces échanges ne soient pas désavantagés du fait même de leur coopération. Il est nécessaire de mettre en place des garanties adéquates pour veiller à ce qu'une telle coopération n'augmente pas le risque de conformité de ces opérateurs ni le nombre de leurs obligations au regard, notamment, du droit de la concurrence, de la propriété intellectuelle, de la protection des données ou de la cybercriminalité, ou encore qu'elle ne les expose pas à davantage de risques liés au fonctionnement ou à la sécurité. |
Amendement 18 Proposition de directive Considérant 16 | |
Texte proposé par la Commission |
Amendement |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication d'informations non confidentielles sur les incidents et les risques. |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les guichets uniques devraient créer un site web commun pour l'ensemble de l'Union destiné à la publication d'informations non confidentielles sur les incidents, les risques et les moyens d'atténuer ces risques, puis à la recommandation de mesures de maintenance. |
Amendement 19 Proposition de directive Considérant 17 | |
Texte proposé par la Commission |
Amendement |
(17) Lorsque des informations sont considérées comme confidentielles conformément à la réglementation nationale ou de l'Union en matière de secret des affaires, cette confidentialité est garantie lors de l'exécution des activités et de la réalisation des objectifs énoncés par la présente directive. |
(17) La politique de classification des informations visée au considérant 14 devrait respecter le protocole d'échange d'informations recommandé par l'ENISA (Traffic Light Protocol, TLP). Toute information communiquée doit être classifiée et traitée en fonction du niveau de confidentialité qui lui a été attribué par la personne qui en est à l'origine. Lorsque des informations sont considérées comme confidentielles conformément à la réglementation nationale ou de l'Union en matière de secret des affaires, cette confidentialité est garantie lors de l'exécution des activités et de la réalisation des objectifs énoncés par la présente directive. |
Amendement 20 Proposition de directive Considérant 18 | |
Texte proposé par la Commission |
Amendement |
(18) La Commission et les États membres devraient, en se fondant notamment sur l'expérience acquise au niveau national en matière de gestion des crises, et en coopération avec l'ENISA, mettre en place un plan européen de coopération en matière de SRI définissant des mécanismes de coopération en vue de faire face aux menaces et incidents dans ce domaine. Il convient de tenir dûment compte de ce plan pour le fonctionnement du mécanisme d'alerte rapide au sein du réseau de coopération. |
(18) La Commission et les États membres devraient, en se fondant notamment sur l'expérience acquise au niveau national en matière de gestion des crises, et en coopération avec l'ENISA, mettre en place un plan européen de coopération en matière de SRI définissant des mécanismes de coopération, des bonnes pratiques et des modes opératoires en vue de prévenir, de détecter, de signaler les menaces et incidents dans ce domaine et d'y faire face. Il convient de tenir dûment compte de ce plan pour le fonctionnement du mécanisme d'alerte rapide au sein du réseau de coopération. |
Amendement 21 Proposition de directive Considérant 19 | |
Texte proposé par la Commission |
Amendement |
(19) L'activation du mécanisme d'alerte rapide dans le réseau ne devrait être obligatoire que si l'ampleur et la gravité de l'incident ou du risque en question est significative ou susceptible de le devenir au point de nécessiter une information ou une coordination de l'intervention au niveau de l'Union. Par conséquent, les alertes rapides devraient concerner uniquement les incidents ou risques réels ou potentiels qui évoluent rapidement, excèdent la capacité nationale d'intervention ou touchent plusieurs États membres. Toutes les informations pertinentes pour l'appréciation du risque ou de l'incident devraient être communiquées au réseau de coopération afin de permettre une évaluation correcte. |
(19) L'activation du mécanisme d'alerte rapide dans le réseau ne devrait être obligatoire que si l'ampleur et la gravité de l'incident ou du risque en question est significative ou susceptible de le devenir au point de nécessiter une information ou une coordination de l'intervention au niveau de l'Union. Par conséquent, les alertes rapides devraient concerner uniquement les incidents ou risques qui évoluent rapidement, excèdent la capacité nationale d'intervention ou touchent plusieurs États membres. Toutes les informations pertinentes pour l'appréciation du risque ou de l'incident devraient être communiquées au réseau de coopération afin de permettre une évaluation correcte. |
Amendement 22 Proposition de directive Considérant 20 | |
Texte proposé par la Commission |
Amendement |
(20) Lorsqu'un message d'alerte rapide et une évaluation leur sont transmis, les autorités compétentes devraient décider d'une intervention coordonnée dans le cadre du plan de coopération en matière de SRI de l'Union. Il convient d'informer les autorités compétentes ainsi que la Commission des mesures adoptées au niveau national au titre de l'intervention coordonnée. |
(20) Lorsqu'un message d'alerte rapide et une évaluation leur sont transmis, les guichets uniques devraient décider d'une intervention coordonnée dans le cadre du plan de coopération en matière de SRI de l'Union. Il convient d'informer les guichets uniques, l'ENISA ainsi que la Commission des mesures adoptées au niveau national au titre de l'intervention coordonnée. |
Amendement 23 Proposition de directive Considérant 22 | |
Texte proposé par la Commission |
Amendement |
(22) C'est, dans une large mesure, aux administrations publiques et aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus. Il est aussi essentiel que les règles soient les mêmes partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
(22) C'est, dans une large mesure, aux administrations publiques et aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques, de la collaboration étroite, et de la confiance impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus. Il est aussi essentiel de définir des règles identiques et fiables partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
Amendement 24 Proposition de directive Considérant 24 | |
Texte proposé par la Commission |
Amendement |
(24) Ces obligations devraient être étendues, au-delà du secteur des communications électroniques, aux principaux prestataires de services de la société de l'information au sens de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information4, sur lesquels reposent des services de la société de l'information en amont ou des activités en ligne, tels que les plateformes de commerce électronique, les passerelles de paiement par internet, les réseaux sociaux, les moteurs de recherche, les services informatiques en nuage ou les magasins d'applications en ligne. Toute perturbation de ces services génériques de la société de l'information empêche la fourniture d'autres services de la société de l'information dont ils représentent des composantes sous-jacentes essentielles. Les développeurs de logiciels et les fabricants de matériel ne sont pas des prestataires de services de la société de l'information et sont par conséquent exclus. Ces obligations devraient aussi être étendues aux administrations publiques et aux opérateurs d'infrastructures critiques qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les bourses de valeurs et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. |
(24) Ces obligations devraient être étendues, au-delà du secteur des communications électroniques, aux opérateurs d'infrastructures qui sont très dépendants des technologies de l'information et des communications et qui sont essentiels au maintien de fonctions économiques ou sociétales vitales telles que l'approvisionnement en électricité et en gaz naturel, les transports, les établissements de crédit, les infrastructures de marchés financiers et les soins de santé. Toute perturbation de ces réseaux et systèmes informatiques aurait une incidence négative sur le marché intérieur. Si les obligations fixées par la présente directive ne s'étendent pas aux principaux prestataires de services de la société de l'information au sens de la directive 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 prévoyant une procédure d'information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l'information4, sur lesquels reposent des services de la société de l'information en amont ou des activités en ligne, tels que les plateformes de commerce électronique, les passerelles de paiement par internet, les réseaux sociaux, les moteurs de recherche, les services informatiques en nuage en général ou les magasins d'applications en ligne, ces acteurs peuvent, de leur plein gré, informer l'autorité compétente ou le guichet unique des incidents en matière de sécurité du réseau qu'ils jugent appropriés. Dans des limites raisonnables du point de vue pratique, l'autorité compétente ou le guichet unique devrait fournir aux acteurs du marché ayant signalé l'incident des informations ayant fait l'objet d'une analyse stratégique qui les aideront à faire face à la menace de sécurité. |
__________________ |
__________________ |
4 JO L 204 du 21.7.1998, p. 37. |
4 JO L 204 du 21.7.1998, p. 37. |
Amendement 25 Proposition de directive Considérant 25 | |
Texte proposé par la Commission |
Amendement |
(25) Les mesures techniques et organisationnelles imposées aux administrations publiques et aux acteurs du marché ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit TIC commercial particulier. |
(25) Les mesures techniques et organisationnelles imposées aux acteurs du marché ne devraient pas impliquer la conception, le développement ou la fabrication selon des modalités précises d'un produit TIC commercial particulier. Pour autant, il devrait être obligatoire d'utiliser les normes internationales relatives à la cybersécurité. |
Amendement 26 Proposition de directive Considérant 28 | |
Texte proposé par la Commission |
Amendement |
(28) Les autorités compétentes devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. La divulgation d'informations sur les incidents signalés aux autorités compétentes devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les administrations publiques et les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes devraient être particulièrement attentives à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la publication des mises à jour de sécurité appropriées. |
(28) Les autorités compétentes et les guichets uniques devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. Les vulnérabilités jusqu'alors inconnues ou les incidents signalés aux autorités compétentes devraient être communiqués aux fabricants et aux prestataires des produits et services liés aux TIC concernés. La divulgation d'informations sur les incidents signalés aux autorités compétentes et aux guichets uniques devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Afin de protéger la confiance et l'efficacité, les incidents ne devraient être communiqués publiquement qu'après consultation des acteurs ayant signalé l'incident, et uniquement si cette publicité est strictement nécessaire à la réalisation des objectifs de la présente directive. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes et les guichets uniques devraient être particulièrement attentives à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la mise en place des mises à jour de sécurité appropriées, sans différer toutefois une notification au-delà du strict nécessaire. En règle générale, les guichets uniques ne devraient pas divulguer les données à caractère personnel de personnes impliquées dans des incidents. Les guichets uniques devraient uniquement divulguer des données à caractère personnel lorsque la divulgation de telles données est nécessaire et proportionnée aux fins de l'objectif poursuivi. |
Justification | |
Lorsque les autorités ont connaissance de la vulnérabilité de certains produits ou services liés aux TIC, elles doivent informer les fabricants et les prestataires de services de manière à permettre à ces derniers d'adapter leurs produits et services en temps utile. | |
Amendement 27 Proposition de directive Considérant 29 | |
Texte proposé par la Commission |
Amendement |
(29) Ces autorités devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des administrations publiques et des acteurs du marché des informations suffisantes pour évaluer le niveau de sécurité des réseaux et systèmes informatiques, ainsi que des données fiables et complètes relatives aux incidents qui ont eu une incidence sur le fonctionnement des réseaux et systèmes informatiques. |
(29) Ces autorités et les guichets uniques devraient disposer des moyens nécessaires à l'exécution de leurs tâches, et notamment des pouvoirs leur permettant d'obtenir des acteurs du marché des informations suffisantes pour évaluer le niveau de sécurité des réseaux et systèmes informatiques et mesurer le nombre, l'ampleur et la portée des incidents, ainsi que des données fiables et complètes relatives aux incidents qui ont eu une incidence sur le fonctionnement des réseaux et systèmes informatiques. |
Amendement 28 Proposition de directive Considérant 30 | |
Texte proposé par la Commission |
Amendement |
(30) Dans bien des cas, la cause sous-jacente d'un incident est une activité criminelle. Certains incidents sont susceptibles de constituer des infractions pénales même si les éléments qui en attestent ne sont pas suffisamment probants dès le départ. Dans ce contexte, toute réponse efficace et complète à la menace que représentent les incidents de sécurité devrait s'appuyer sur une coopération appropriée entre les autorités compétentes et les services répressifs. La promotion d'un environnement sûr, sécurisé et plus résilient exige que soient signalés aux services répressifs les incidents susceptibles de constituer des infractions pénales graves. Le caractère de grave infraction pénale de ces incidents devrait être évalué à la lumière de la législation de l'UE sur la cybercriminalité. |
(30) Dans bien des cas, la cause sous-jacente d'un incident est une activité criminelle ou de cyberguerre. Certains incidents sont susceptibles de constituer des infractions pénales même si les éléments qui en attestent ne sont pas suffisamment probants dès le départ. Dans ce contexte, toute réponse efficace et complète à la menace que représentent les incidents de sécurité devrait s'appuyer sur une coopération appropriée entre les autorités compétentes, les guichets uniques et les services répressifs ainsi que sur une coopération avec le centre européen de lutte contre la cybercriminalité (EC3) et l'ENISA. La promotion d'un environnement sûr, sécurisé et plus résilient exige que soient signalés aux services répressifs les incidents susceptibles de constituer des infractions pénales graves. Le caractère de grave infraction pénale de ces incidents devrait être évalué à la lumière de la législation de l'UE sur la cybercriminalité. |
Amendement 29 Proposition de directive Considérant 31 | |
Texte proposé par la Commission |
Amendement |
(31) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Dans de telles circonstances, les autorités compétentes et les autorités chargées de la protection des données devraient coopérer et échanger des informations sur tous les aspects pertinents de la lutte contre les atteintes aux données à caractère personnel à la suite d'incidents. Les États membres doivent mettre en œuvre l'obligation de notifier les incidents de sécurité d'une manière qui réduise au minimum la charge administrative lorsque l'incident de sécurité porte aussi atteinte à des données à caractère personnel conformément au règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données28. L'ENISA pourrait, en liaison avec les autorités compétentes et les autorités chargées de la protection des données, apporter son concours en élaborant des formulaires et des mécanismes pour l'échange d'informations, ce qui éviterait la duplication des formulaires de notification. Un formulaire de notification unique faciliterait le signalement des incidents qui portent atteinte à des données à caractère personnel, ce qui réduirait la charge administrative pesant sur les entreprises et les administrations publiques. |
(31) Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d'incidents. Les États membres et les acteurs du marché devraient protéger les données à caractère personnel stockées, traitées, ou transmises contre toute destruction accidentelle ou illégale, contre toute perte ou modification accidentelles et contre tout stockage, accès, divulgation ou diffusion non autorisés ou illégaux et assurer la mise en œuvre d'une politique de sécurité relative au traitement des données à caractère personnel. Dans de telles circonstances, les autorités compétentes, les guichets uniques et les autorités chargées de la protection des données devraient coopérer et échanger des informations sur tous les aspects pertinents de la lutte contre les atteintes aux données à caractère personnel à la suite d'incidents. L'obligation de notifier les incidents de sécurité devrait être mise en œuvre d'une manière qui réduise au minimum la charge administrative lorsque l'incident de sécurité porte aussi atteinte à des données à caractère personnel et doit être notifié conformément à la législation en vigueur. L'ENISA devrait apporter son concours en élaborant des mécanismes pour l'échange d'informations et un formulaire de notification unique qui faciliteraient le signalement des incidents qui portent atteinte à des données à caractère personnel, ce qui réduirait la charge administrative pesant sur les entreprises et les administrations publiques. |
__________________ |
|
28 SEC(2012) 72 final. |
|
Justification | |
Harmonisation avec la proposition de directive sur la protection des données. | |
Amendement 30 Proposition de directive Considérant 32 | |
Texte proposé par la Commission |
Amendement |
(32) La normalisation des exigences en matière de sécurité est un processus guidé par le marché. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité au niveau de l'Union. À cette fin, il pourrait être nécessaire d'élaborer des projets de normes harmonisées, en se conformant aux dispositions du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil6. |
(32) La normalisation des exigences en matière de sécurité est un processus guidé par le marché de nature volontaire qui devrait permettre aux acteurs du marché d'utiliser des méthodes alternatives pour arriver à des résultats au moins similaires. Pour assurer l'application convergente des normes en matière de sécurité, les États membres devraient encourager le respect de normes interopérables précises ou la conformité à ces dernières afin de garantir un niveau élevé de sécurité au niveau de l'Union. À cette fin, il convient d'envisager l'application de normes internationales ouvertes en matière de sécurité des réseaux et de l'information ou l'élaboration de tels instruments. Il pourrait également être nécessaire d'élaborer des projets de normes harmonisées, en se conformant aux dispositions du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil6. En particulier, l'Institut européen de normalisation en télécommunications, le Comité européen de normalisation et le Comité européen de normalisation électrotechnique devraient être chargés de proposer des normes de sécurité ouvertes utiles et efficaces au niveau européen, qui se gardent autant que possible de toute préférence technologique et qui soient facilement gérables pour les petits et moyens acteurs du marché. Il convient de contrôler avec soin les normes internationales en matière de cybersécurité de manière à s'assurer que leur efficacité n'a pas été réduite et qu'elles offrent des niveaux de sécurité appropriés, garantissant ainsi que l'obligation de respecter les normes en matière de cybersécurité relève le niveau global de cybersécurité de l'Union et non l'inverse. |
__________________ |
__________________ |
6 JO L 316 du 14.11.2012, p. 12. |
6 JO L 316 du 14.11.2012, p. 12. |
Amendement 31 Proposition de directive Considérant 33 | |
Texte proposé par la Commission |
Amendement |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution des technologies ou de la situation des marchés. |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, en consultation avec toutes les parties prenantes intéressées, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution de la société, de la situation politique, des technologies ou de la situation des marchés. |
Amendement 32 Proposition de directive Considérant 34 | |
Texte proposé par la Commission |
Amendement |
(34) En vue de permettre le bon fonctionnement du réseau de coopération, le pouvoir d'adopter des actes visé à l'article 290 du TFUE devrait être délégué à la Commission en ce qui concerne la définition des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, la définition plus précise des événements déclenchant l'activation du mécanisme d'alerte rapide, et la définition des circonstances dans lesquelles les acteurs du marché et les administrations publiques sont tenus de notifier les incidents. |
supprimé |
Amendement 33 Proposition de directive Considérant 35 | |
Texte proposé par la Commission |
Amendement |
(35) Il importe particulièrement que la Commission procède aux consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts. Il convient que, lorsqu'elle prépare et élabore des actes délégués, la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. |
(35) Il est particulièrement important que la Commission procède aux consultations appropriées au cours de ses travaux préparatoires, y compris au niveau de toutes les parties intéressées, et en particulier des experts. Il convient que la Commission veille à ce que les documents pertinents soient transmis simultanément, en temps utile et de façon appropriée, au Parlement européen et au Conseil. |
Amendement 34 Proposition de directive Considérant 36 | |
Texte proposé par la Commission |
Amendement |
(36) Afin de garantir des conditions uniformes d'application de la présente directive, il y a lieu de conférer des compétences d'exécution à la Commission en ce qui concerne la coopération entre les autorités nationales compétentes et la Commission au sein du réseau de coopération, l'accès à l'infrastructure sécurisée de partage des informations, le plan de coopération de l'Union en matière de SRI, les formats et procédures applicables à l'information du public en cas d'incident et les normes et/ou spécifications techniques relatives à la SRI. Il convient que ces compétences soient exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution7 par la Commission. |
(36) Afin de garantir des conditions uniformes d'application de la présente directive, il y a lieu de conférer des compétences d'exécution à la Commission en ce qui concerne la coopération entre les guichets uniques et la Commission au sein du réseau de coopération, sans préjudice des mécanismes de coopération existant au niveau national, l'ensemble commun de normes d'interconnexion et de sécurité pour l'infrastructure sécurisée de partage des informations, le plan de coopération de l'Union en matière de SRI et les formats et procédures applicables à la notification des incidents significatifs. Il convient que ces compétences soient exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil du 16 février 2011 établissant les règles et principes généraux relatifs aux modalités de contrôle par les États membres de l'exercice des compétences d'exécution7 par la Commission. |
__________________ |
__________________ |
7 JO L 55 du 28.2.2011, p.13. |
7 JO L 55 du 28.2.2011, p.13. |
Amendement 35 Proposition de directive Considérant 37 | |
Texte proposé par la Commission |
Amendement |
(37) Pour l'application de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'UE, notamment dans les domaines de l'énergie, des transports et de la santé. |
(37) Pour l'application de la présente directive, la Commission devrait communiquer comme il se doit avec les comités sectoriels et organismes pertinents établis au niveau de l'UE, notamment dans les domaines de l'administration en ligne, de l'énergie, des transports et de la santé. |
Amendement 36 Proposition de directive Considérant 38 | |
Texte proposé par la Commission |
Amendement |
(38) Les informations considérées comme confidentielles par une autorité compétente, conformément à la réglementation de l'Union et à la réglementation nationale en matière de secret des affaires, ne devraient être échangées avec la Commission et d'autres autorités compétentes que si cet échange est strictement nécessaire à l'application des dispositions de la présente directive. Les informations échangées devraient se limiter au minimum nécessaire et être proportionnées à l'objectif de cet échange. |
(38) Les informations considérées comme confidentielles par une autorité compétente ou un guichet unique, conformément à la réglementation de l'Union et à la réglementation nationale en matière de secret des affaires, ne devraient être échangées avec la Commission, ses agences concernées, les guichets uniques et/ou d'autres autorités compétentes nationales que si cet échange est strictement nécessaire à l'application des dispositions de la présente directive. Les informations échangées devraient se limiter au minimum nécessaire et être proportionnées à l'objectif de cet échange, dans le respect des critères de confidentialité et de sécurité prédéfinis et des protocoles de classification régissant l'échange des informations. |
Amendement 37 Proposition de directive Considérant 39 | |
Texte proposé par la Commission |
Amendement |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive8. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes ou aux guichets uniques nationaux peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive8. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
__________________ |
__________________ |
8 JO L 145 du 31.5.2001, p. 43. |
8 JO L 145 du 31.5.2001, p. 43. |
Amendement 38 Proposition de directive Considérant 41 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(41 bis) Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs, les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d'une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée. |
Amendement 39 Proposition de directive Article 1 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques; |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques avec la participation des parties prenantes concernées; |
Amendement 40 Proposition de directive Article 1 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Le partage des informations au sein du réseau de coopération visé au chapitre III et les notifications d'incidents de SRI en vertu de l'article 14 peuvent nécessiter le traitement de données à caractère personnel. Ce traitement, qui est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive, est autorisé par l'État membre conformément à l'article 7 de la directive 95/46/CE et à la directive 2002/58/CE, tels que transposés en droit national. |
6. Le partage des informations au sein du réseau de coopération visé au chapitre III et les notifications d'incidents de SRI en vertu de l'article 14 peuvent nécessiter la communication à des tiers de confiance et le traitement de données à caractère personnel. Ce traitement, qui est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive, est autorisé par l'État membre conformément à l'article 7 de la directive 95/46/CE et à la directive 2002/58/CE, tels que transposés en droit national. Les États membres adoptent des mesures législatives, conformément à l'article 13 de la directive 95/46/CE, destinées à garantir que les administrations publiques, les acteurs du marché et les autorités compétentes ne soient pas tenus responsables du traitement des données à caractère personnel nécessaire aux fins de l'échange d'informations prévu dans le cadre du réseau de coopération et de notification des incidents. |
Amendement 41 Proposition de directive Article 2 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
Les États membres ont la faculté d'adopter ou de maintenir des dispositions garantissant un niveau de sécurité plus élevé, sans préjudice de leurs obligations découlant de la législation de l'Union. |
Les États membres ont la faculté d'adopter ou de maintenir des dispositions garantissant un niveau de sécurité plus élevé, conformément à la Charte des droits fondamentaux de l'Union européenne, sans préjudice de leurs obligations découlant de la législation de l'Union. |
Justification | |
La marge d'appréciation laissée aux États membres en matière de sécurité doit être subordonnée au respect des droits reconnus par la Charte des droits fondamentaux de l'Union européenne, en particulier le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, la liberté d'entreprise et le droit à un recours effectif. | |
Amendement 42 Proposition de directive Article 3 – paragraphe 1 – point 1 – sous-point b | |
Texte proposé par la Commission |
Amendement |
(b) tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques, ainsi que |
(b) tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que |
Amendement 43 Proposition de directive Article 3 – paragraphe 1 – point 1 – sous-point c | |
Texte proposé par la Commission |
Amendement |
(c) les données informatiques stockées, traitées, récupérées ou transmises par les éléments visés aux points (a) et (b) derniers en vue de leur fonctionnement, utilisation, protection et maintenance. |
(c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points (a) et (b) derniers en vue de leur fonctionnement, utilisation, protection et maintenance. |
Amendement 44 Proposition de directive Article 3 – paragraphe 1 – point 2 | |
Texte proposé par la Commission |
Amendement |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; cette définition comprend les dispositifs techniques, les solutions et les procédures d'exploitation appropriés pour le respect des exigences en matière de sécurité établies par la présente directive; |
Amendement 45 Proposition de directive Article 3 – paragraphe 1 – point 4 | |
Texte proposé par la Commission |
Amendement |
(4) "incident", toute circonstance ou tout événement ayant une incidence négative réelle sur la sécurité; |
(4) "incident", toute circonstance raisonnablement identifiable ou tout événement ayant une incidence négative réelle sur la sécurité; |
Justification | |
La formulation originale est trop vague et pourrait compliquer l'application de la définition. | |
Amendement 46 Proposition de directive Article 3 – paragraphe 1 – point 5 | |
Texte proposé par la Commission |
Amendement |
(5) "service de la société de l'information", un service au sens de l'article 1er, point 2, de la directive 98/34/CE; |
supprimé |
Amendement 47 Proposition de directive Article 3 – paragraphe 1 – point 8 – sous-point a | |
Texte proposé par la Commission |
Amendement |
(a) un prestataire de services de la société de l'information qui permet la fourniture d'autres services de la société de l'information dont une liste non exhaustive figure à l'annexe II; |
supprimé |
Amendement 48 Proposition de directive Article 3 – paragraphe 1 – point 7 | |
Texte proposé par la Commission |
Amendement |
(7) "gestion d'incident", toutes les procédures utiles à l'analyse, au confinement et à l'intervention en cas d'incident; |
(7) "gestion d'incident", toutes les procédures utiles à la détection, à la prévention, à l'analyse, au confinement et à l'intervention en cas d'incident; |
Amendement 49 Proposition de directive Article 3 – paragraphe 1 – point 8 | |
Texte proposé par la Commission |
Amendement |
(a) un prestataire de services de la société de l'information qui permet la fourniture d'autres services de la société de l'information dont une liste non exhaustive figure à l'annexe II; |
|
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
(b) un opérateur public ou privé d'infrastructure essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des marchés financiers et de la santé, et dont la perturbation ou la destruction aurait une incidence négative considérable dans un État membre en conséquence du non-maintien de ces fonctions, énumérées dans une liste qui figure à l'annexe II. |
Amendement 50 Proposition de directive Article 3 – paragraphe 1 – point 8 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(8 bis) "incident qui a un impact significatif", un incident qui porte atteinte à la sécurité et à la continuité d'un réseau ou d'un système d'information et qui entraîne une perturbation notable de fonctions économiques ou sociétales essentielles; |
Amendement 51 Proposition de directive Article 3 – paragraphe 1 – point 8 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(8 ter) "service", le service fourni par un acteur du marché, à l'exclusion de tout autre service de la même entité; |
Amendement 52 Proposition de directive Article 3 – paragraphe 1 – point 11 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 bis) "marché réglementé", un marché réglementé tel que défini à l'article 4, point 14), de la directive 2004/39/CE du Parlement européen et du Conseil11 bis; |
|
__________________ |
|
11 bis Directive 2004/39/CE du Parlement européen et du Conseil du 21 avril 2004 concernant les marchés d'instruments financiers (JO L 45 du 16.2.2005, p. 18). |
Amendement 53 Proposition de directive Article 3 – paragraphe 1 – point 11 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 ter) "système multilatéral de négociation (MTF)", un système multilatéral de négociation tel que défini à l'article 4, point 15), de la directive 2004/39/CE; |
Amendement 54 Proposition de directive Article 3 – paragraphe 1 – point 11 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 quater) "système organisé de négociation", un système ou un dispositif multilatéral, autre qu'un marché réglementé, un système multilatéral de négociation ou une contrepartie centrale, exploité par une entreprise d'investissement ou un acteur du marché et au sein duquel de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des obligations, produits financiers structurés, quotas d'émission et instruments dérivés, peuvent interagir d'une manière qui aboutisse à la conclusion de contrats conformément aux dispositions du titre II de la directive 2004/39/CE; |
Amendement 55 Proposition de directive Article 4 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
Les États membres assurent, conformément à la présente directive, un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. |
Les États membres assurent, de manière permanente, conformément à la Charte des droits fondamentaux de l'Union européenne ainsi qu'aux dispositions de la présente directive, un niveau élevé de sécurité des réseaux et des systèmes informatiques sur leur territoire. |
Justification | |
La marge d'appréciation laissée aux États membres en matière de sécurité doit être subordonnée au respect des droits reconnus par la Charte des droits fondamentaux de l'Union européenne, en particulier le droit au respect de la vie privée et des communications, le droit à la protection des données à caractère personnel, la liberté d'entreprise et le droit à un recours effectif. | |
Amendement 56 Proposition de directive Article 5 – paragraphe 1 – point e bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(e bis) Les États membres peuvent solliciter l'assistance de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) dans l'élaboration de leurs stratégies nationales et de leurs plans nationaux de coopération en matière de SRI, à partir d'un modèle minimal commun de coopération en matière de SRI. |
Amendement 57 Proposition de directive Article 5 – paragraphe 2 – point a | |
Texte proposé par la Commission |
Amendement |
(a) un plan d'évaluation des risques permettant de recenser les risques et d'évaluer l'impact des incidents potentiels; |
(a) un cadre de gestion des risques incluant le recensement, la hiérarchisation, l'évaluation et le traitement des risques, l'évaluation de l'impact des incidents potentiels, des options de prévention et de contrôle, ainsi que des critères pour la sélection des contre-mesures; |
Amendement 58 Proposition de directive Article 5 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) la définition des rôles et des responsabilités des différents acteurs concernés par la mise en œuvre du plan; |
(b) la définition des rôles et des responsabilités des différentes autorités et d'autres acteurs concernés par la mise en œuvre du cadre; |
Amendement 59 Proposition de directive Article 6 – titre | |
Texte proposé par la Commission |
Amendement |
Autorités nationales compétentes en matière de sécurité des réseaux et systèmes informatiques |
Autorités et guichets uniques compétents au niveau national en matière de sécurité des réseaux et systèmes informatiques |
Amendement 60 Proposition de directive Article 6 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre désigne une autorité nationale compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
1. Chaque État membre désigne une ou plusieurs autorités nationales compétentes en matière de sécurité des réseaux et systèmes informatiques (ci-après l'"autorité compétente"). |
Amendement 61 Proposition de directive Article 6 – paragraphe 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 bis. Lorsqu'un État membre désigne plusieurs autorités compétentes, il désigne une autorité nationale, par exemple une autorité compétente, en tant que guichet unique national chargé de la sécurité des réseaux et des systèmes informatiques (ci-après le "guichet unique"). Lorsqu'un État membre désigne une seule autorité compétente, cette dernière a également la qualité de guichet unique. |
Amendement 62 Proposition de directive Article 6 – paragraphe 2 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 ter. Les autorités compétentes et le guichet unique d'un même État membre coopèrent étroitement aux fins du respect des obligations établies dans la présente directive. |
Amendement 63 Proposition de directive Article 6 – paragraphe 2 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
2 quater. Le guichet unique assure la coopération transfrontières avec d'autres guichets uniques. |
Amendement 64 Proposition de directive Article 6 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Les États membres veillent à ce que les autorités compétentes disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de leurs tâches de manière efficace et efficiente et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les autorités compétentes puissent coopérer de manière efficace, efficiente et sûre par l'intermédiaire du réseau visé à l'article 8. |
3. Les États membres veillent à ce que les autorités compétentes et les guichets uniques disposent de ressources techniques, financières et humaines suffisantes pour pouvoir s'acquitter de leurs tâches de manière efficace et efficiente et atteindre ainsi les objectifs de la présente directive. Les États membres font en sorte que les guichets uniques puissent coopérer de manière efficace, efficiente et sûre par l'intermédiaire du réseau visé à l'article 8. |
Amendement 65 Proposition de directive Article 6 – paragraphe 4 | |
Texte proposé par la Commission |
Amendement |
4. Les États membres veillent à ce que les autorités compétentes reçoivent les notifications d'incidents des administrations publiques et des acteurs du marché conformément à l'article 14, paragraphe 2, et à ce qu'elles disposent des compétences de mise en œuvre et d'exécution visées à l'article 15. |
4. Les États membres veillent à ce que les autorités compétentes et les guichets uniques reçoivent les notifications d'incidents des acteurs du marché conformément à l'article 14, paragraphe 2, et à ce qu'elles disposent des compétences de mise en œuvre et d'exécution visées à l'article 15. |
Amendement 66 Proposition de directive Article 6 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
5. Les autorités compétentes consultent obligatoirement les autorités chargées de la protection des données et, le cas échéant, coopèrent avec les services répressifs nationaux compétents. |
Justification | |
L'existence d'une autorité unique compétente pour l'exercice du pouvoir de contrôle au niveau national, sans la collaboration d'un autre organisme faisant office de contrepouvoir, ne permet pas de garantir un équilibre entre la sauvegarde de la sécurité et la protection de la liberté. | |
Amendement 67 Proposition de directive Article 6 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
5. Les autorités compétentes et les guichets uniques consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
Amendement 68 Proposition de directive Article 6 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Chaque État membre informe sans retard la Commission de la désignation de l'autorité compétente et des tâches confiées à cette dernière et de toute modification ultérieure les concernant. Chaque État membre rend publique la désignation de l'autorité compétente. |
6. Chaque État membre informe sans retard la Commission de la désignation des autorités compétentes et du guichet unique, ainsi que des tâches confiées à ces derniers et de toute modification ultérieure les concernant. Chaque État membre rend publique la désignation des autorités compétentes. |
Amendement 69 Proposition de directive Article 7 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre met en place une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
1. Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") pour chacun des secteurs définis à l'annexe II, chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
Amendement 70 Proposition de directive Article 7 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les CERT sont placées sous la surveillance de l'autorité compétente, qui procède régulièrement à un examen visant à établir que leurs ressources et leur mandat sont adaptés et que leur processus de gestion des incidents est efficace. |
5. Les CERT sont placées sous la surveillance de l'autorité compétente ou du guichet unique, qui procède régulièrement à un examen visant à établir que leurs ressources et leur mandat sont adaptés et que leur processus de gestion des incidents est efficace. |
Amendement 71 Proposition de directive Article 7 – paragraphe 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Les États membres veillent à ce que les CERT disposent de moyens humains et financiers adéquats pour participer activement aux réseaux de coopération internationaux, et en particulier au niveau de l'Union. |
Amendement 72 Proposition de directive Article 7 – paragraphe 5 – point 1 (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(1) Les CERT sont habilitées et encouragées à mener des exercices conjoints avec d'autres CERT, avec l'ensemble des CERT des États membres et avec les institutions compétentes des pays tiers, ainsi qu'avec les CERT des institutions multinationales et internationales, telles que l'OTAN et les Nations unies, et à y participer. |
Amendement 73 Proposition de directive Article 7 – paragraphe 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Les États membres peuvent solliciter l'assistance de l'ENISA ou d'autres États membres dans la mise en place de leurs CERT nationales. |
Amendement 74 Proposition de directive Article 8 | |
Texte proposé par la Commission |
Amendement |
1. Les autorités compétentes et la Commission constituent un réseau ("réseau de coopération") pour coopérer dans la lutte contre les risques et incidents touchant les réseaux et systèmes informatiques. |
1. Les guichets uniques, l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA) et la Commission constituent un réseau ("réseau de coopération") au sein duquel ils coopèrent dans la lutte contre les risques et incidents touchant les réseaux et systèmes informatiques. |
2. Ce réseau permet à la Commission et aux autorités compétentes de rester en liaison permanente. Lorsque c'est nécessaire, l'Agence européenne chargée de la sécurité des réseaux et de l'information ("ENISA") assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. |
2. Ce réseau permet à la Commission et aux guichets uniques de rester en liaison permanente. L'ENISA assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. Le cas échéant, le réseau de coopération collabore avec les autorités chargées de la protection des données. |
3. Au sein du réseau de coopération, les autorités compétentes: |
3. Au sein du réseau de coopération, les guichets uniques: |
(a) diffusent les messages d'alerte rapide sur les risques et incidents conformément à l'article 10; |
(a) diffusent les messages d'alerte rapide sur les risques et incidents conformément à l'article 10; |
(b) assurent une intervention coordonnée conformément à l'article 11; |
(b) assurent une intervention coordonnée conformément à l'article 11; |
(c) publient régulièrement, sur un site web commun, des informations non confidentielles sur les alertes rapides et les interventions coordonnées en cours; |
(c) publient régulièrement, sur un site web commun, des informations non confidentielles sur les alertes rapides et les interventions coordonnées en cours; |
|
(c bis) examinent et coordonnent conjointement les mesures qu'ils prennent en ce qui concerne les exigences de sécurité et la notification d'incidents visées à l'article 14 ainsi que la mise en œuvre et l'exécution visées à l'article 15, et conviennent de leur interprétation commune et de leur application cohérente; |
(d) procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs d'un ou de plusieurs plans de coopération et stratégies nationaux en matière de SRI visés à l'article 5, dans le champ d'application de la présente directive; |
(d) procèdent à un examen et une évaluation communs d'un ou de plusieurs plans de coopération et stratégies nationaux en matière de SRI visés à l'article 5, dans le champ d'application de la présente directive; |
(e) procèdent, à la demande d'un État membre ou de la Commission, à un examen et une évaluation communs de l'efficacité des CERT, notamment lorsque des exercices de SRI sont exécutés au niveau de l'Union; |
(e) procèdent, à la demande de l'ENISA, d'un État membre ou de la Commission, à un examen et une évaluation communs de l'efficacité des CERT, notamment lorsque des exercices de SRI sont exécutés au niveau de l'Union, et mettent en œuvre, sans retard injustifié, les mesures nécessaires pour remédier aux lacunes identifiées; |
(f) coopèrent et échangent des informations sur tous les aspects pertinents avec le Centre européen de lutte contre la cybercriminalité au sein d'Europol, et avec d'autres organismes européens concernés, notamment dans le domaine de la protection des données, de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé; |
(f) coopèrent et échangent des informations sur tous les aspects pertinents de la sécurité des réseaux et des systèmes informatiques avec d'autres organismes européens concernés, notamment dans le domaine de l'énergie, des transports, des services bancaires, des marchés financiers et de la santé; |
|
(f bis) examinent et définissent conjointement l'interprétation commune, l'application cohérente et la mise en œuvre harmonieuse des dispositions du chapitre IV au sein de l'Union; |
(g) échangent des informations et de bonnes pratiques, entre elles et avec la Commission, et s'assistent mutuellement en ce qui concerne le renforcement des capacités de SRI; |
(g) échangent des informations et de bonnes pratiques, entre eux et avec la Commission, et s'assistent mutuellement en ce qui concerne le renforcement des capacités de SRI; |
(h) organisent régulièrement des examens par les pairs portant sur les moyens et l'état de préparation; |
(h) organisent régulièrement des examens par les pairs portant sur les moyens et l'état de préparation; |
(i) organisent des exercices de SRI au niveau de l'Union et participent, le cas échéant, à des exercices de SRI internationaux. |
(i) organisent des exercices de SRI au niveau de l'Union et participent, le cas échéant, à des exercices de SRI internationaux. |
|
(i bis) encouragent activement la participation des acteurs du marché et échangent des informations avec eux et les consultent. |
|
La Commission communique régulièrement au réseau de coopération des informations concernant la recherche dans le domaine de la sécurité et d'autres programmes pertinents d'Horizon 2020. |
|
3 bis. Le cas échéant, les administrations publiques et les acteurs du marché concernés sont invités à participer aux activités du réseau de coopération visées au paragraphe 3, points c), g), h) et i). |
|
3 ter. Lorsque des informations, des alertes rapides ou de bonnes pratiques émanant d'acteurs du marché ou d'administrations publiques sont partagées au sein du réseau de coopération ou divulguées par celui-ci, ce partage ou cette divulgation a lieu dans le respect de la classification des informations effectuée par la source d'origine, conformément à l'article 9, paragraphe 1. |
|
3 quater. La Commission publie une fois par an un rapport couvrant les 12 mois précédents, fondé sur les activités du réseau et sur le rapport succinct conformément à l'article 14, paragraphe 4, de la présente directive. La divulgation d'informations sur chaque incident signalé aux autorités compétentes et aux guichets uniques devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Elle ne peut avoir lieu qu'à l'issue d'une consultation préalable. |
4. La Commission établit, au moyen d'actes d'exécution, les modalités nécessaires pour faciliter la coopération entre les autorités compétentes et la Commission visée aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés en conformité avec la procédure de consultation visée à l'article 19, paragraphe 2. |
4. La Commission établit, au moyen d'actes d'exécution, les modalités nécessaires pour faciliter la coopération entre les guichets uniques, l'ENISA et la Commission visée aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés en conformité avec la procédure de consultation visée à l'article 19, paragraphe 2. |
Amendement 75 Proposition de directive Article 9 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. L'échange d'informations sensibles et confidentielles au sein du réseau de coopération se déroule dans le cadre d'une infrastructure sécurisée de partage des informations. |
1. L'échange d'informations sensibles et confidentielles au sein du réseau de coopération se déroule dans le cadre d'une infrastructure sécurisée de partage des informations placée sous la surveillance de l'ENISA. Les États membres veillent à ce que les informations sensibles ou confidentielles transmises par d'autres États ou par la Commission ne soient pas partagées avec des pays tiers ni utilisées abusivement, par exemple pour les activités des services secrets ou pour la prise de décisions économiques. |
Amendement 76 Proposition de directive Article 9 – paragraphe 2 – partie introductive | |
Texte proposé par la Commission |
Amendement |
2. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 18 en ce qui concerne la définition des critères qu'un État membre doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, pour ce qui a trait: |
2. La Commission est habilitée à adopter des actes d'exécution en conformité avec l'article 19 en ce qui concerne la définition des critères qu'un guichet unique doit respecter pour être autorisé à participer au système sécurisé d'échange d'informations, pour ce qui a trait: |
Amendement 77 Proposition de directive Article 9 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La Commission adopte, au moyen d'actes d'exécution, des décisions relatives à l'accès des États membres à cette infrastructure sécurisée, conformément aux critères visés aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3 |
3. La Commission adopte, au moyen d'actes d'exécution, un ensemble commun de normes en matière d'interconnexion et de sécurité que les guichets uniques doivent respecter pour l'échange d'informations. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3 |
Amendement 78 Proposition de directive Article 10 | |
Texte proposé par la Commission |
Amendement |
1. Les autorités compétentes ou la Commission établissent, au sein du réseau de coopération, un mécanisme d'alerte rapide pour les risques et incidents qui remplissent au moins une des conditions suivantes: |
1. Les guichets uniques ou la Commission établissent, au sein du réseau de coopération, un mécanisme d'alerte rapide pour les risques et incidents qui remplissent au moins une des conditions suivantes: |
(a) leur ampleur s'accroît ou peut s'accroître rapidement; |
|
(b) ils excèdent ou peuvent excéder la capacité nationale d'intervention; |
(b) le guichet unique estime que l'ampleur du risque ou de l'incident s'accroît ou peut s'accroître rapidement et que le risque ou l'incident est susceptible d'excéder la capacité nationale d'intervention; |
(c) ils touchent ou peuvent toucher plusieurs États membres. |
(c) les guichets uniques ou la Commission estiment que le risque ou l'incident touche plusieurs États membres. |
2. Dans le cadre du mécanisme d'alerte rapide, les autorités compétentes et la Commission communiquent toutes les informations pertinentes en leur possession qui peuvent être utiles pour évaluer le risque ou l'incident. |
2. Dans le cadre du mécanisme d'alerte rapide, les guichets uniques et la Commission communiquent sans retard injustifié toutes les informations pertinentes en leur possession qui peuvent être utiles pour évaluer le risque ou l'incident. Les informations considérées comme classifiées ou confidentielles par l'acteur du marché concerné, de même que l'identité de ce dernier, sont fournies dans la mesure où elles sont nécessaires pour évaluer le risque ou l'incident. |
3. La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information pertinente concernant un risque ou un incident particulier. |
3. La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information non classifiée pertinente concernant un risque ou un incident particulier. |
4. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide est susceptible de constituer une infraction pénale, les autorités nationales compétentes ou la Commission en informent le Centre européen de lutte contre la cybercriminalité d'Europol. |
4. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide est susceptible de constituer une infraction pénale grave, les guichets uniques ou la Commission se mettent en relation, le cas échéant, avec les autorités nationales compétentes en matière de cybercriminalité, pour leur permettre de coopérer et d'échanger des informations avec le Centre européen de lutte contre la cybercriminalité d'Europol sans retard injustifié. |
|
4 bis. Les membres du réseau de coopération ne publient aucune information qu'ils ont reçue sur les risques ou les incidents, conformément au paragraphe 1, sans avoir obtenu l'accord préalable du guichet unique qui a émis la notification. |
|
4 ter. Lorsque le risque ou l'incident qui a déclenché l'activation du mécanisme d'alerte rapide pourrait revêtir une forte dimension technique transnationale, les guichets uniques ou la Commission en informent l'ENISA. |
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 18 aux fins de préciser davantage les risques et incidents déclenchant l'activation du mécanisme d'alerte rapide conformément au paragraphe 1. |
5. La Commission est habilitée à adopter des actes d'exécution en conformité avec l'article 19 aux fins de préciser davantage les risques et incidents déclenchant l'activation du mécanisme d'alerte rapide conformément au paragraphe 1. Elle est également habilitée à adopter les procédures nécessaires pour le partage d'informations sensibles pour les acteurs du marché. |
Amendement 79 Proposition de directive Article 11 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Après l'activation du mécanisme d'alerte rapide visé à l'article 10, les autorités compétentes décident, après évaluation des informations pertinentes, d'une intervention coordonnée conformément au plan de coopération de l'Union en matière de SRI visé à l'article 12. |
1. Après l'activation du mécanisme d'alerte rapide visé à l'article 10, les guichets uniques décident sans retard injustifié, après évaluation des informations pertinentes, d'une intervention coordonnée conformément au plan de coopération de l'Union en matière de SRI visé à l'article 12. |
Amendement 80 Proposition de directive Article 12 – paragraphe 2 – point a – tiret 1 | |
Texte proposé par la Commission |
Amendement |
– une définition du format et des procédures applicables à la collecte et au partage, par les autorités compétentes, d'informations compatibles et comparables sur les risques et incidents, |
– une définition du format et des procédures applicables à la collecte et au partage, par les guichets uniques, d'informations compatibles et comparables sur les risques et incidents, |
Amendement 81 Proposition de directive Article 12 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Le plan de coopération de l'Union en matière de SRI est adopté au plus tard un an après l'entrée en vigueur de la présente directive et est révisé régulièrement. |
3. Le plan de coopération de l'Union en matière de SRI est adopté au plus tard un an après l'entrée en vigueur de la présente directive et est révisé régulièrement. Les résultats de chaque révision sont communiqués au Parlement européen. |
Amendement 82 Proposition de directive Article 12 – paragraphe 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
3 bis. La Commission prévoit un budget pour l'élaboration du plan de coopération en matière de SRI de l'Union. |
Amendement 83 Proposition de directive Article 13 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération. |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords spécifient la procédure de contrôle qui devra être appliquée afin de garantir la protection des données à caractère personnel diffusées au sein du réseau de coopération. Le Parlement européen est informé de la négociation de l'accord, dont la transparence du contenu est garantie. Tout transfert de données à caractère personnel à des destinataires situés dans des pays tiers est mené conformément aux articles 25 et 26 de la directive 95/46/CE et à l'article 9 du règlement (CE) n° 45/2001. |
Justification | |
Les accords internationaux passés avec d'autres pays ou agences de sécurité doivent comporter obligatoirement un mécanisme de contrôle du respect des droits civils. En outre, un contrôle démocratique effectif doit être exercé sur les accords par le Parlement européen, qui doit être informé en temps opportun du contenu des négociations de l'accord. | |
Amendement 84 Proposition de directive Article 14 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les administrations publiques et les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires pour gérer les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents touchant les réseaux et systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. |
1. Les États membres veillent à ce que les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires pour détecter et gérer efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Compte tenu de l'évolution technologique, ces mesures appropriées assurent un niveau de sécurité adapté au risque existant. Des mesures sont prises, en particulier, pour éviter les incidents portant atteinte à la sécurité des réseaux et des systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. |
2. Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l'autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu'ils fournissent. |
2. Les États membres mettent en place des mécanismes destinés à veiller à ce que les acteurs du marché notifient sans retard injustifié à l'autorité compétente ou au guichet unique les incidents qui ont un impact significatif sur la sécurité ou la continuité des services essentiels qu'ils fournissent. Cette notification ne soumet pas la partie qui l'a émise à une plus grande responsabilité. Afin de déterminer l'ampleur de l'impact d'un incident, il est, entre autres, tenu compte des paramètres suivants: |
|
(a) le nombre d'utilisateurs dont le service essentiel est concerné; |
|
(b) la durée de l'incident; |
|
(c) la portée géographique eu égard à la zone touchée par l'incident. |
|
Ces critères sont précisés conformément à l'article 8, paragraphe 3, point c ter (nouveau). |
|
2 bis. Les entités qui ne sont pas visées à l'annexe II peuvent signaler de leur plein gré les incidents, conformément à l'article 14, paragraphe 2. |
|
2 ter. Les destinataires de la notification d'un incident informent, dans les meilleurs délais, l'entité qui a notifié un incident des mesures, des décisions ou des recommandations adoptées, des éventuelles tierces parties informées, ainsi que des protocoles de sécurité et de confidentialité régissant le partage des informations. |
3. Les exigences visées aux paragraphes 1 et 2 s'appliquent à tous les acteurs du marché fournissant des services dans l'Union européenne. |
3. Les exigences visées aux paragraphes 1 et 2 s'appliquent à tous les acteurs du marché fournissant des services dans l'Union européenne. Les acteurs du marché qui ne fournissent pas de services dans l'Union européenne peuvent signaler les incidents de leur plein gré. |
|
3 bis. Les États membres veillent à ce que les acteurs du marché notifient les incidents visés aux paragraphes 1 et 2 à l'autorité compétente ou au guichet unique de l'État membre dans lequel le service essentiel est affecté. Lorsque des services essentiels dans plusieurs États membres sont concernés, le guichet unique qui a reçu la notification alerte, sur la base des informations fournies par l'acteur du marché, les autres guichets uniques concernés. L'acteur du marché a connaissance, dans les meilleurs délais, des autres guichets uniques qui ont été informés de l'incident, des éventuelles mesures qui ont été prises et de leurs résultats, ou de toute autre information pertinente relative à l'incident. |
4. L'autorité compétente peut informer le public, ou demander aux administrations publiques et aux acteurs du marché de le faire, lorsqu'elle juge qu'il est dans l'intérêt général de divulguer les informations relatives à l'incident. Une fois par an, l'autorité compétente soumet au réseau de coopération un rapport succinct sur les notifications reçues et l'action engagée conformément au présent paragraphe. |
4. Après avoir consulté l'autorité compétente et l'acteur du marché concernés, le guichet unique peut informer le public de chaque incident lorsque qu'il estime que cette information est nécessaire pour prévenir un incident ou gérer un incident en cours, pour permettre à la population d'atténuer les risques auxquels elle pourrait être exposée en raison de l'incident ou lorsque l'acteur du marché touché par un incident refuse de résoudre sans délai injustifié à une vulnérabilité structurelle grave liée à cet incident. Le guichet unique motive correctement cette décision. Dans des limites raisonnables du point de vue pratique, l'autorité compétente ou le guichet unique fournit aux acteurs du marché ayant signalé l'incident des informations ayant fait l'objet d'une analyse stratégique qui les aideront à faire face à la menace de sécurité. Deux fois par an, le guichet unique soumet au réseau de coopération un rapport succinct sur les notifications reçues et l'action engagée conformément au présent paragraphe. La divulgation d'informations sur chaque incident signalé aux autorités compétentes et aux guichets uniques devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Elle ne peut avoir lieu qu'à l'issue d'une consultation préalable. |
|
Lorsque des incidents sont notifiés au réseau de coopération visé à l'article 8, les autres autorités nationales compétentes ne rendent pas publiques les éventuelles informations reçues relatives à des risques ou à des incidents sans l'approbation de l'autorité compétente qui les en a informées. |
5. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 18 en ce qui concerne la définition des circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. |
|
6. Sous réserve de tout acte délégué adopté en vertu du paragraphe 5, les autorités compétentes peuvent adopter des lignes directrices et, le cas échéant, formuler des instructions relatives aux circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. |
6. Les autorités compétentes ou les guichets uniques adoptent des lignes directrices relatives aux circonstances dans lesquelles les acteurs du marché sont tenus de notifier les incidents. |
7. La Commission est habilitée à définir, au moyen d'actes d'exécution, les formats et procédures applicables aux fins de l'application du paragraphe 2. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3 |
7. La Commission est habilitée à définir, au moyen d'actes d'exécution, les formats et procédures applicables aux fins de l'application du paragraphe 2. Ces actes d'exécution sont adoptés selon la procédure d'examen visée à l'article 19, paragraphe 3 |
8. Les paragraphes 1 et 2 ne s'appliquent pas aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises12. |
8. Les paragraphes 1 et 2 ne s'appliquent pas aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises12. |
_______________ |
______________ |
12 JO L 124 du 20.5.2003, p. 36. |
12 JO L 124 du 20.5.2003, p. 36. |
Amendement 85 Proposition de directive Article 14 – paragraphe 4 – alinéa 1 (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Outre la notification à l'autorité compétente, les acteurs du marché sont encouragés à déclarer les incidents impliquant leur entreprise dans leurs rapports financiers de leur plein gré. |
Justification | |
Les incidents informatiques sont susceptibles d'entraîner des pertes financières considérables et des coûts importants. Les actionnaires et les investisseurs devraient être informés des conséquences de ces incidents. Inciter les entreprises à rendre publics de leur plein gré les incidents informatiques pourrait alimenter le débat intersectoriel sur le risque de nouveaux incidents, la dimension de ce risque et la pertinence des mesures préventives destinées à réduire les failles dans la sécurité informatique. | |
Amendement 86 Proposition de directive Article 15 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les autorités compétentes aient tous les pouvoirs nécessaires leur permettant d'enquêter sur les cas dans lesquels les administrations publiques ou les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu de l'article 14 et sur les effets de ce non-respect sur la sécurité des réseaux et systèmes informatiques. |
1. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient les pouvoirs nécessaires leur permettant de veiller au respect des obligations en vertu de l'article 14 et de leurs effets sur la sécurité des réseaux et systèmes informatiques. |
2. Les États membres veillent à ce que les autorités compétentes aient le pouvoir d'exiger des administrations publiques ou des acteurs du marché qu'ils: |
2. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir d'exiger des acteurs du marché qu'ils: |
(a) fournissent les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes informatiques, y compris les documents relatifs à leurs politiques de sécurité; |
(a) fournissent les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes informatiques, y compris les documents relatifs à leurs politiques de sécurité; |
(b) se soumettent à un audit exécuté par un organisme qualifié indépendant ou une autorité nationale et mettent les résultats de cet audit à la disposition de l'autorité compétente. |
(b) fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d'un audit exécuté par des auditeurs internes, un organisme qualifié indépendant ou une autorité nationale, et mettent ces éléments probants à la disposition de l'autorité compétente ou du guichet unique. Si nécessaire, l'autorité compétente ou le guichet unique peuvent demander d'autres preuves ou, dans des circonstances exceptionnelles et dûment justifiées, réaliser un audit supplémentaire. |
|
Au moment de formuler une telle demande, les autorités compétentes ou les guichets uniques mentionnent la finalité de la demande et précisent d'une manière suffisamment claire quelles sont les informations exigées. |
3. Les États membres veillent à ce que les autorités compétentes aient le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché. |
3. Les États membres veillent à ce que les autorités compétentes et les guichets uniques aient le pouvoir de donner des instructions contraignantes à tous les acteurs du marché visés à l'annexe II. |
4. Les autorités compétentes notifient aux services répressifs les incidents pouvant constituer une infraction pénale grave. |
4. Les autorités compétentes et le guichet unique informent les acteurs du marché concernés de la possibilité de poursuites pénales par les autorités répressives dans les cas d'incidents pouvant constituer une infraction grave. |
5. Les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. |
5. Sans préjudice des dispositions législatives applicables en matière de protection des données, les autorités compétentes et les guichets uniques coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. Les guichets uniques et les autorités chargées de la protection des données mettent au point, en coopération avec l'ENISA, des mécanismes d'échange d'information et un formulaire unique qui seront utilisés pour les notifications au titre de l'article 14, paragraphe 2, de la présente directive et du règlement 95/46 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. |
|
La Commission peut adopter, au moyen d'actes d'exécution, et en tenant dûment compte de tout mécanisme d'échange d'information ou formulaire unique mis au point par les guichets uniques et les autorités chargées de la protection des données, en coopération avec l'ENISA, les procédures des mécanismes d'échange d'information et le format du formulaire unique. |
6. Les États membres veillent à ce que toute obligation imposée aux administrations publiques et aux acteurs du marché au titre du présent chapitre puisse faire l'objet d'un contrôle juridictionnel. |
6. Les États membres veillent à ce que toute obligation imposée aux acteurs du marché au titre du présent chapitre puisse faire l'objet d'un contrôle juridictionnel. |
Amendement 87 Proposition de directive Article 16 | |
Texte proposé par la Commission |
Amendement |
1. Pour veiller à la convergence de la mise en œuvre des dispositions de l'article 14, paragraphe 1, les États membres encouragent l'utilisation des normes et/ou des spécifications pertinentes pour la sécurité des réseaux et de l'information. |
1. Pour veiller à la convergence de la mise en œuvre des dispositions de l'article 14, paragraphe 1, les États membres, sans imposer l'utilisation d'une technologie particulière, encouragent l'utilisation des normes et/ou des spécifications internationales ou européennes ouvertes et interopérables pertinentes pour la sécurité des réseaux et de l'information, dans le respect de la législation de l'Union. |
2. La Commission établit, au moyen d'actes d'exécution, une liste des normes visées au paragraphe 1. Cette liste est publiée au Journal officiel de l'Union européenne. |
2. La Commission charge un organisme européen compétent de normalisation d'établir, en consultation avec les parties prenantes pertinentes, une liste des normes et/ou spécifications visées au paragraphe 1. Cette liste est publiée au Journal officiel de l'Union européenne. |
Amendement 88 Proposition de directive Article 17 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres fixent des règles relatives aux sanctions applicables en cas d'infraction aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient ces dispositions à la Commission au plus tard à la date de transposition de la présente directive en droit national, et toute modification ultérieure les concernant dans les meilleurs délais. |
1. Les États membres fixent des règles relatives aux sanctions applicables en cas d'infraction commise par négligence ou de propos délibéré aux dispositions nationales adoptées en vertu de la présente directive et prennent toutes les mesures nécessaires pour que ces règles soient appliquées. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives. Les États membres notifient ces dispositions à la Commission au plus tard à la date de transposition de la présente directive en droit national, et toute modification ultérieure les concernant dans les meilleurs délais. |
Justification | |
Il y a lieu de préciser que les sanctions ne peuvent s'appliquer qu'aux infractions résultant du fait que les acteurs du marché n'ont pas pris toutes les mesures que l'on était en droit d'attendre de leur part. Dans le cas contraire, les acteurs du marché pourraient être découragés de notifier les incidents. | |
Amendement 89 Proposition de directive Article 17 – paragraphe 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
1 bis. Les États membres veillent à ce que les sanctions mentionnées au paragraphe 1 du présent article soient appliquées uniquement lorsque l'acteur du marché a manqué aux obligations lui incombant au titre du chapitre IV de manière intentionnelle ou à la suite d'une négligence grave. |
Amendement 90 Proposition de directive Article 18 | |
Texte proposé par la Commission |
Amendement |
Article 18 |
supprimé |
Exercice de la délégation |
|
1. Le pouvoir d'adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article. |
|
2. Le pouvoir d'adopter des actes délégués visés à l'article 9, paragraphe 2, à l'article 10, paragraphe 5, et à l'article 14, paragraphe 5, est conféré à la Commission. La Commission élabore un rapport relatif à la délégation de pouvoir, au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prolongée pour des périodes d'une durée identique, sauf si le Parlement européen ou le Conseil s'oppose à cette prolongation trois mois au plus tard avant la fin de chaque période. |
|
3. La délégation de pouvoir visée à l'article 9, paragraphe 2, à l'article 10, paragraphe 5, et à l'article 14, paragraphe 5, peut être révoquée à tout moment par le Parlement européen ou par le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l'Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle n'affecte pas la validité des actes délégués déjà en vigueur. |
|
4. Aussitôt qu'elle adopte un acte délégué, la Commission le notifie simultanément au Parlement européen et au Conseil. |
|
5. Un acte délégué adopté en vertu de l'article 9, paragraphe 2, de l'article 10, paragraphe 5, et de l'article 14, paragraphe 5, n'entre en vigueur que si le Parlement européen ou le Conseil n'a pas exprimé d'objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l'expiration de ce délai, le Parlement européen et le Conseil ont, tous deux, informé la Commission de leur intention de ne pas exprimer d'objections. Ce délai est prolongé de deux mois à l'initiative du Parlement européen ou du Conseil. |
|
Amendement 91 Proposition de directive Article 20 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard trois ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
La Commission réexamine tous les trois ans le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard deux ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
Justification | |
Afin de suivre l'évolution des menaces et des conditions dans le domaine de la cybersécurité, l'annexe II est réexaminée et adaptée régulièrement. | |
Amendement 92 Proposition de directive Annexe 1 – Titre 1 | |
Texte proposé par la Commission |
Amendement |
Obligations et tâches de l'équipe d'intervention en cas d'urgence informatique (CERT) |
Obligations et tâches des équipes d'intervention en cas d'urgence informatique (CERT) |
Amendement 93 Proposition de directive Annexe 1 – paragraphe 1 – partie introductive | |
Texte proposé par la Commission |
Amendement |
Les obligations et tâches de la CERT doivent être correctement et clairement définies sur la base d'une politique ou réglementation nationale. Elles comprennent les éléments suivants: |
Les obligations et tâches des CERT doivent être correctement et clairement définies sur la base d'une politique ou réglementation nationale. Elles comprennent les éléments suivants: |
|
(Cette modification s'applique à l'ensemble du texte de l'annexe 1) |
Amendement 94 Proposition de directive Annexe 1 – paragraphe 1 – point 1 – sous-point a | |
Texte proposé par la Commission |
Amendement |
(a) La CERT doit veiller à la grande disponibilité de ses services de communication en évitant les points uniques de défaillance et en prévoyant plusieurs moyens pour être contactée et contacter autrui. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. |
(a) Les CERT doivent veiller à la grande disponibilité de leurs services de communication en évitant les points uniques de défaillance et en prévoyant plusieurs moyens pour être contactées et contacter autrui à tout moment. De plus, les canaux de communication doivent être clairement précisés et bien connus des partenaires et collaborateurs. |
Amendement 95 Proposition de directive Annexe 1 – paragraphe 1 – point 1 – sous-point c | |
Texte proposé par la Commission |
Amendement |
(c) Les bureaux de la CERT et les systèmes informatiques utilisés doivent se trouver sur des sites sécurisés. |
(c) Les bureaux des CERT et les systèmes informatiques utilisés doivent se trouver sur des sites sécurisés équipés de réseaux et de systèmes informatiques sécurisés. |
Amendement 96 Proposition de directive Annexe 1 – paragraphe 1 – point 2 – sous-point a – tiret 1 | |
Texte proposé par la Commission |
Amendement |
– surveillance des incidents au niveau national, |
– détection et surveillance des incidents au niveau national, |
Amendement 97 Proposition de directive Annexe 1 – paragraphe 1 – point 2 – sous-point a – tiret 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
– participation active aux réseaux européens et internationaux de coopération entre CERT |
Amendement 98 Proposition de directive Annexe II | |
Texte proposé par la Commission |
Amendement |
Liste des acteurs du marché |
Liste des acteurs du marché |
1. Énergie (marchés de l'électricité et du gaz) |
1. Énergie (marchés de l'électricité et du gaz) |
|
(a) Électricité |
|
– Fournisseurs |
|
– gestionnaires de réseaux de distribution et détaillants livrant aux clients finals |
|
– gestionnaires de réseaux de transport d'électricité |
|
– opérateurs sur les marchés de l'électricité |
|
(b) Pétrole |
|
– oléoducs et installations de stockage de pétrole |
|
– exploitants d'installations de production, de raffinage et de traitement, de stockage et de transport de pétrole |
|
(c) Gaz |
|
– Fournisseurs |
|
– gestionnaires de réseaux de distribution et détaillants livrant aux clients finals |
|
– gestionnaires de réseaux de transport de gaz naturel, exploitants d'installations de stockage et d'installations GPL |
|
– exploitants d'installations de production, de raffinage et de traitement, de stockage et de transport de gaz naturel |
|
– opérateurs sur les marchés de gaz |
2. Transports |
2. Transports |
|
(a) Transports routiers |
|
(i) opérateurs de contrôle de gestion du trafic |
|
(ii) services logistiques auxiliaires: |
|
– entreposage et stockage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
(b) Transport ferroviaire |
|
(i) chemins de fer (gestionnaires d'infrastructures, entreprises intégrées et opérateurs de transports ferroviaires) |
|
(ii) opérateurs de contrôle de gestion du trafic |
|
(iii) services logistiques auxiliaires: |
|
– entreposage et stockage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
(c) Transport aérien |
|
(i) transporteurs aériens (fret et passagers) |
|
(ii) aéroports |
|
(iii) opérateurs de contrôle de gestion du trafic |
|
(iv) services logistiques auxiliaires: |
|
– entreposage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
(d) Transport maritime |
|
(i) transporteurs maritimes (sociétés de transports maritimes, côtiers et par navigation intérieure de passagers et sociétés de transports maritimes, côtiers et par navigation intérieure de marchandises) |
|
(ii) ports |
|
(iii) opérateurs de contrôle de gestion du trafic |
|
(iv) services logistiques auxiliaires: |
|
– entreposage et stockage, |
|
– manutention du fret, et |
|
– autres services auxiliaires des transports. |
|
2 bis. Services liés à l'utilisation de l'eau |
3. Services bancaires: établissements de crédit conformément à l'article 4, paragraphe 1, de la directive 2006/48/CE. |
3. Services bancaires: établissements de crédit conformément à l'article 4, paragraphe 1, de la directive 2006/48/CE. |
4. Infrastructures de marchés financiers: bourses de valeurs et contrepartie centrale/chambres de compensation. |
4. Infrastructures de marchés financiers: marchés réglementés, systèmes multilatéraux de négociation, systèmes organisés de négociation, passerelles de paiement par internet et contrepartie centrale/chambres de compensation. |
5. Secteur de la santé: établissements de soins de santé (y compris les hôpitaux et les cliniques privées) et autres entités fournissant des soins de santé. |
5. Secteur de la santé: établissements de soins de santé (y compris les hôpitaux et les cliniques privées) et autres entités fournissant des soins de santé. |
|
6. TIC: services informatiques en nuage utilisés par un opérateur pour fournir l'un des services énumérés aux points 1 à 5. |
|
Cette liste est révisée tous les deux ans. |
PROCÉDURE
Titre |
Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union |
||||
Références |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
Commission compétente au fond Date de l'annonce en séance |
IMCO 15.4.2013 |
|
|
|
|
Avis émis par Date de l'annonce en séance |
ITRE 15.4.2013 |
||||
Commission(s) associée(s) - date de l'annonce en séance |
12.9.2013 |
||||
Rapporteur(e) pour avis Date de la nomination |
Pilar del Castillo Vera 23.5.2013 |
||||
Examen en commission |
14.10.2013 |
4.11.2013 |
|
|
|
Date de l'adoption |
16.12.2013 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
36 5 0 |
|||
Membres présents au moment du vote final |
Amelia Andersdotter, Josefa Andrés Barea, Bendt Bendtsen, Fabrizio Bertot, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Romana Jordan, Philippe Lamberts, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Miloslav Ransdorf, Herbert Reul, Teresa Riera Madurell, Paul Rübig, Amalia Sartori, Salvador Sedó i Alabart, Evžen Tošenovský, Claude Turmes, Marita Ulvskog, Vladimir Urutchev |
||||
Suppléant(s) présent(s) au moment du vote final |
Daniel Caspary, António Fernando Correia de Campos, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Seán Kelly, Eija-Riitta Korhola, Holger Krahmer, Zofija Mazej Kukovič, Silvia-Adriana Ţicău, Lambert van Nistelrooij |
||||
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
María Auxiliadora Correa Zamora |
||||
AVIS de la commission des libertés civiles, de la justice et des affaires intérieures (15.1.2014)
à l'intention de la commission du marché intérieur et de la protection des consommateurs
sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Rapporteur pour avis: Carl Schlyter
JUSTIFICATION SUCCINCTE
L'objectif de la proposition est de parvenir à un niveau élevé de sécurité des réseaux et de l'information au sein de l'Union. Votre rapporteur pour avis soutient les objectifs affichés par la proposition: les amendements qu'il propose sont destinés à améliorer la sécurité juridique et à renforcer les mesures de garantie et de protection touchant les particuliers et leur vie privée, afin que les citoyens jouissent d'un contrôle total de leurs données à caractère personnel, aient confiance en l'environnement numérique, et bénéficient d'une culture de gestion des risques et d'amélioration des échanges d'informations entre acteurs publics et acteurs privés.
Il est ainsi proposé dans les amendements de renforcer les références à la législation relative à la protection des données, de préciser que les "infrastructures critiques" ne devraient pas comprendre les réseaux sociaux et les magasins d'applications en ligne (voir à ce sujet l'amendement portant sur la liste de l'annexe II), et de veiller au respect de la proportionnalité en soulignant la dimension civile de la directive: la plupart des perturbations et des pannes système ne proviennent en effet pas d'attaques délibérées causées par des terroristes, des criminels ou des espions étrangers, mais sont plutôt le fruit d'erreurs humaines non délibérées et de facteurs naturels. La mise en application de la législation proposée doit absolument être indépendante de toute militarisation du domaine. Il convient ainsi d'exclure les objectifs des secteurs de la sécurité et de la surveillance, en tenant compte du contexte actuel de marché numérique mondialisé.
Un grand sujet de préoccupation demeure: le lien qu'entretiennent le système proposé dans cette directive et le système de notification proposé dans le règlement général sur la protection des données, ainsi que leur coexistence de fait, qui est une des raisons qui nous poussent à préconiser que l'adoption de tout acte législatif de l'Union traitant de la cybersécurité suive l'adoption du règlement général sur la protection des données au lieu de la précéder. En outre, il convient de se pencher attentivement sur les conséquences réelles des points de vue financier et administratif, y compris sur l'ensemble des coûts pour la société, sans limiter l'examen aux coûts de notification. Les entreprises productrices de logiciels qui conçoivent des programmes de mauvaise qualité, réalisant ainsi des économies d'argent sur le dos de leurs clients et de leur sécurité, ne sauraient être systématiquement protégées par la clause standard des conditions d'utilisation qui sert à décliner toute responsabilité pour mauvais fonctionnement du logiciel en question. Il convient de prendre des mesures incitant ces entreprises à répondre de la sûreté de leurs logiciels. Enfin, certains concepts fondamentaux méritent d'être clarifiés, pour éviter tout risque d'interprétation de la part des États membres: c'est le cas des termes "administrations publiques", "impact significatif" et "cybercriminalité", une définition concrète faisant défaut pour ce dernier.
AMENDEMENTS
La commission des libertés civiles, de la justice et des affaires intérieures invite la commission du marché intérieur et de la protection des consommateurs, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de directive Considérant 1 | |
Texte proposé par la Commission |
Amendement |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique, au bien-être social et aux communications et aux échanges entre les personnes, les organisations de la société civile et les entreprises ainsi qu'à la protection et au respect de la vie privée et des données à caractère personnel. |
Amendement 2 Proposition de directive Considérant 2 | |
Texte proposé par la Commission |
Amendement |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. Il est de plus en plus admis que les systèmes de contrôle sont vulnérables aux cyberattaques lancées par de nombreuses sources différentes, y compris par des gouvernements hostiles, des groupes terroristes et d'autres intrus malveillants. Les attaques "intelligentes" ou coordonnées pourraient avoir de sérieuses conséquences sur la stabilité, les performances et les aspects économiques des infrastructures. |
Amendement 3 Proposition de directive Considérant 3 | |
Texte proposé par la Commission |
Amendement |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur. |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur et aux communications et échanges entre les personnes, les organisations de la société civile et les entreprises. |
Amendement 4 Proposition de directive Considérant 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(3 bis) Étant donné que la plupart des pannes système ne sont pas causées délibérément mais continuent plutôt de relever de facteurs naturels ou de l'erreur humaine, les infrastructures devraient être résilientes face aux perturbations tant délibérées que non délibérées, et les exploitants d'infrastructures critiques devraient concevoir des systèmes bâtis sur le principe de résilience qui demeurent opérationnels même en cas de panne d'autres systèmes hors de leur contrôle. |
Amendement 5 Proposition de directive Considérant 6 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(6 bis) Il est crucial d'admettre que les systèmes complexes qui nous font vivre présentent une incertitude inhérente. Cela nécessite une meilleure compréhension commune de ce que la notion de "critique" recouvre, partagée par les personnes chargées de protéger l'organisation et par celles qui définissent l'orientation stratégique poursuivie par celle-ci. |
Amendement 6 Proposition de directive Considérant 8 | |
Texte proposé par la Commission |
Amendement |
(8) Les dispositions de la présente directive ne devraient pas porter atteinte à la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection de ses intérêts essentiels en matière de sécurité, assurer l'ordre public et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales. Conformément à l'article 346 du TFUE, aucun État membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. |
(8) Les dispositions de la présente directive ne devraient pas porter atteinte à la possibilité donnée à chaque État membre d'adopter les mesures nécessaires pour garantir la protection de ses intérêts essentiels en matière de sécurité, assurer l'ordre public et la sécurité publique et permettre la recherche, la détection et la poursuite d'infractions pénales, sous réserve que cela ne leur serve pas de prétexte pour ne pas se plier à leurs obligations plus générales en matière de respect de la protection de la vie privée et des données à caractère personnel. Conformément à l'article 346 du TFUE, aucun État membre n'est tenu de fournir des renseignements dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité. |
Amendement 7 Proposition de directive Considérant 9 | |
Texte proposé par la Commission |
Amendement |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident. |
(9) Pour atteindre un niveau commun élevé de sécurité des réseaux et de l'information et le maintenir, chaque État membre devrait se doter d'une stratégie nationale en matière de SRI définissant les objectifs stratégiques et les actions politiques concrètes à mettre en œuvre. Il convient de mettre en place, au niveau national, des plans de coopération en matière de SRI qui soient conformes aux exigences essentielles afin de disposer de moyens d'intervention d'un niveau permettant une coopération réelle et efficace, au niveau national comme à celui de l'Union, en cas d'incident, respectant et protégeant la vie privée et les données à caractère personnel. |
Amendement 8 Proposition de directive Considérant 10 | |
Texte proposé par la Commission |
Amendement |
(10) Pour que les dispositions adoptées en vertu de la présente directive puissent être effectivement mises en œuvre, il convient d'établir ou de désigner, dans chaque État membre, un organisme responsable de la coordination des aspects relatifs à la SRI et servant d'interlocuteur pour la coopération transfrontière au niveau de l'Union. Ces organismes devraient être dotés de ressources techniques, financières et humaines, suffisantes pour pouvoir s'acquitter de manière efficace et efficiente des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive. |
(10) Pour que les dispositions adoptées en vertu de la présente directive puissent être effectivement mises en œuvre, il convient d'établir ou de désigner, dans chaque État membre, une autorité nationale compétente placée sous contrôle civil, dont les opérations sont effectuées en toute transparence et pleinement soumises à une surveillance démocratique, responsable de la coordination des aspects relatifs à la SRI et servant d'interlocuteur pour la coopération transfrontière au niveau de l'Union. Ces organismes devraient être dotés de ressources techniques, financières et humaines, suffisantes pour pouvoir s'acquitter de manière efficace et efficiente des tâches qui leur sont dévolues et atteindre ainsi les objectifs de la présente directive. |
Amendement 9 Proposition de directive Considérant 14 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(14 bis) Un nombre croissant de secteurs ont recours à des services en nuage dans leur environnement informatique, tels que des services informatiques qui exploitent les infrastructures critiques. Des mesures de sécurité suffisantes doivent être mises en place pour garantir la confidentialité, l'intégrité et la disponibilité des données dans le nuage. L'hébergement de services d'infrastructure et le stockage de données sensibles dans l'environnement en nuage s'assortissent d'exigences en matière de sécurité et de résilience auxquelles les services en nuage existants ne sont pas en mesure de satisfaire. Par conséquent, il est nécessaire de garantir que l'environnement informatique en nuage peut protéger efficacement les données sensibles liées aux infrastructures critiques, grâce à l'élaboration de techniques innovantes de détection des intrusions. |
Amendement 10 Proposition de directive Considérant 15 | |
Texte proposé par la Commission |
Amendement |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et échanger des informations et des meilleures pratiques en contrepartie d'une assistance opérationnelle en cas d'incident. |
(15) Étant donné que la plupart des réseaux et systèmes informatiques sont exploités par des intérêts privés, il est essentiel d'établir une coopération entre secteur public et secteur privé. Il convient d'encourager les acteurs du marché à mettre en place leurs propres mécanismes informels de coopération pour garantir la SRI. Ils devraient également coopérer avec le secteur public et échanger mutuellement des informations et des meilleures pratiques et, le cas échéant, une assistance opérationnelle réciproque en cas d'incident. |
Amendement 11 Proposition de directive Considérant 15 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(15 bis) Les mécanismes existants de coopération nationale entre les opérateurs publics et privés devraient être pleinement respectés et les dispositions de la présente directive ne devraient pas porter atteinte aux arrangements de coopération de ce type qui sont déjà en vigueur. |
Amendement 12 Proposition de directive Considérant 16 | |
Texte proposé par la Commission |
Amendement |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication d'informations non confidentielles sur les incidents et les risques. |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication actuelle et complète d'informations non confidentielles sur les incidents et les risques. |
Amendement 13 Proposition de directive Considérant 21 | |
Texte proposé par la Commission |
Amendement |
(21) Étant donné que les problèmes de SRI ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de SRI. |
(21) Étant donné que les problèmes de SRI ont une dimension mondiale, il est nécessaire de renforcer la coopération internationale pour améliorer les normes de sécurité et les échanges d'informations et pour promouvoir une approche commune au niveau mondial en ce qui concerne les problèmes de SRI, sous réserve que les États avec lesquels cette coopération est envisagée soient dotés des instruments de contrôle et de protection des données garantissant la même sécurité que ceux de l'UE. |
Amendement 14 Proposition de directive Considérant 22 | |
Texte proposé par la Commission |
Amendement |
(22) C'est, dans une large mesure, aux administrations publiques et aux acteurs du marché qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires appropriées et de pratiques sectorielles volontaires, une culture de la gestion des risques impliquant une analyse des risques et l'application de mesures de sécurité adaptées aux risques encourus. Il est aussi essentiel que les règles soient les mêmes partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
(22) C'est, dans une large mesure, aux administrations publiques et aux entreprises qu'incombe la responsabilité de garantir la SRI. Il convient de promouvoir et de faire évoluer, au moyen d'exigences réglementaires et de pratiques sectorielles appropriées, une culture de la gestion des risques impliquant une analyse des risques et l'application de mesures de sécurité cherchant à anticiper les incidents de sécurité, d'origine malveillante ou accidentelle. Lorsqu'une telle culture de la gestion des risques existe déjà et, plus particulièrement, lorsqu'elle repose sur des pratiques volontaires, elle devrait être soutenue, renforcée et partagée. Il est aussi essentiel que les règles soient les mêmes partout pour que le réseau de coopération fonctionne réellement et que la coopération entre tous les États membres soit effective. |
Amendement 15 Proposition de directive Considérant 22 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(22 bis) Les administrations publiques et les entreprises privées, y compris les fournisseurs de services de réseaux et d'informations et de logiciels, devraient considérer la protection de leurs systèmes d'information et des données qu'ils contiennent comme faisant partie de leur devoir de diligence. Il convient de garantir des niveaux de protection adaptés contre les menaces et les vulnérabilités pouvant être raisonnablement identifiées. Les coûts et charges liés à cette protection devraient refléter le préjudice éventuel d'une cyberattaque pour les personnes concernées. |
Amendement 16 Proposition de directive Considérant 26 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(26 bis) Les enfants sont exposés dès leur plus jeune âge à l'internet et à d'autres technologies modernes, ainsi qu'aux menaces qui y sont associées. Une gouvernance appropriée de l'espace en ligne adapté aux enfants est cruciale pour limiter les dommages et garantir la protection effective des enfants et de leurs droits. |
Amendement 17 Proposition de directive Considérant 28 | |
Texte proposé par la Commission |
Amendement |
(28) Les autorités compétentes devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. La divulgation d'informations sur les incidents signalés aux autorités compétentes devrait être le reflet d'un compromis entre l'intérêt, pour le public, d'être informé des menaces et les éventuelles conséquences néfastes, pour les administrations publiques et les acteurs du marché signalant les incidents, en termes d'image comme sur le plan commercial. Lorsqu'elles mettent en œuvre les obligations de notification, les autorités compétentes devraient être particulièrement attentives à la nécessité de préserver la stricte confidentialité des informations sur les vulnérabilités des produits avant la publication des mises à jour de sécurité appropriées. |
(28) Les autorités compétentes devraient veiller à préserver des canaux informels et dignes de confiance pour le partage d'informations entre les acteurs du marché et entre les secteurs public et privé. La divulgation d'informations sur les incidents signalés aux autorités compétentes devrait primer sur les considérations économiques à court terme. |
Amendement 18 Proposition de directive Considérant 29 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(29 bis) L'utilisation frauduleuse de l'internet permet à la criminalité organisée d'étendre ses activités en ligne, à des fins liées au blanchiment d'argent, à la contrefaçon et à d'autres produits et services enfreignant les DPI, ainsi que d'expérimenter de nouvelles activités criminelles, ce qui révèle une redoutable capacité d'adaptation aux technologies modernes. |
Amendement 19 Proposition de directive Considérant 30 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(30 bis) La cybercriminalité est de plus en plus source de préjudices économiques et sociaux considérables pour des millions de consommateurs et elle génère des pertes annuelles estimées à 290 milliards d'EUR4a. |
|
__________________ |
|
4a Selon le rapport Norton sur la cybercriminalité de 2012. |
Amendement 20 Proposition de directive Considérant 33 | |
Texte proposé par la Commission |
Amendement |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution des technologies ou de la situation des marchés. |
(33) Les dispositions de la présente directive devraient être réexaminées périodiquement par la Commission, notamment en vue de déterminer s'il est nécessaire de les modifier pour tenir compte de l'évolution des technologies ou de la situation des marchés et des obligations visant le niveau le plus élevé de sécurité et d'intégrité des réseaux et de l'information et de protection de la vie privée et des données à caractère personnel. |
Amendement 21 Proposition de directive Considérant 39 | |
Texte proposé par la Commission |
Amendement |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes peuvent nécessiter le traitement de données à caractère personnel. Ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive et il est donc légitime en vertu de l'article 7 de la directive 95/46/CE. Il ne constitue pas, au regard de ces objectifs légitimes, une intervention disproportionnée et intolérable qui porterait atteinte à la substance même du droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission31s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
(39) Le partage des informations sur les risques et incidents au sein du réseau de coopération et le respect des exigences relatives à la notification des incidents aux autorités nationales compétentes peuvent nécessiter le traitement de données à caractère personnel. Si ce traitement est nécessaire à l'exécution de la mission d'intérêt public qui est celle de la présente directive, il peut être légitime en vertu de l'article 7 de la directive 95/46/CE. Ils ne dispensent pas pour autant les autorités compétentes d'une intervention proportionnée susceptible de ne pas porter atteinte au droit à la protection des données à caractère personnel consacré à l'article 8 de la charte des droits fondamentaux. Les dispositions du règlement (CE) n° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l'accès du public aux documents du Parlement européen, du Conseil et de la Commission s'appliquent, le cas échéant, pour ce qui est de l'application de la présente directive31. Lorsqu'un traitement des données à caractère personnel est effectué par les institutions et organes de l'Union aux fins de la mise en œuvre de la présente directive, il est conforme aux dispositions du règlement (CE) nº 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
__________________ |
__________________ |
31 JO L 145 du 31.05.2001, p. 43. |
31 JO L 145 du 31.05.2001, p. 43. |
Amendement 22 Proposition de directive Considérant 41 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(41 bis) Toutes les mesures doivent assurer une protection adéquate des droits fondamentaux, en particulier des droits cités dans la Convention européenne des droits de l'homme (article 8, droit au respect de la vie privée) et le principe de proportionnalité doit être observé. |
Amendement 23 Proposition de directive Article premier – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Elle ne porte pas non plus atteinte aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et du règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. |
5. Elle ne porte pas non plus atteinte aux dispositions de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et du règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données. |
Amendement 24 Proposition de directive Article 2 | |
Texte proposé par la Commission |
Amendement |
Les États membres ont la faculté d'adopter ou de maintenir des dispositions garantissant un niveau de sécurité plus élevé, sans préjudice de leurs obligations découlant de la législation de l'Union. |
Les États membres ont la faculté d'adopter ou de maintenir des dispositions garantissant un niveau de sécurité plus élevé, sans préjudice de leurs obligations découlant de la législation de l'Union. Toutefois, ces dispositions devront respecter les conditions minimales communes définies par la présente directive. |
Amendement 25 Proposition de directive Article 3 – point 2 | |
Texte proposé par la Commission |
Amendement |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; |
(2) "sécurité", la capacité d'un réseau et d'un système informatique de résister à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles; |
Amendement 26 Proposition de directive Article 3 – point 2 – point a (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(a) "résilience d'un système", la capacité d'un réseau et d'un système informatique à résister à un incident et à retrouver sa pleine capacité opérationnelle après celui-ci, que l'incident relève du dysfonctionnement technique, de la coupure de courant, de l'incident de sécurité ou d'une autre catégorie encore; |
Amendement 27 Proposition de directive Article 3 – point 4 | |
Texte proposé par la Commission |
Amendement |
(4) "incident", toute circonstance ou tout événement ayant une incidence négative réelle sur la sécurité; |
(4) "incident", toute circonstance ou tout événement ayant une incidence négative réelle sur la sécurité et sur la fourniture de services essentiels; |
Amendement 28 Proposition de directive Article 3 – point 8 – sous-point b | |
Texte proposé par la Commission |
Amendement |
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions sociétales et économiques vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs, de la chaîne d'approvisionnement alimentaire et de la santé, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
Amendement 29 Proposition de directive Article 5 – paragraphe 2 – point a | |
Texte proposé par la Commission |
Amendement |
(a) un plan d'évaluation des risques permettant de recenser les risques et d'évaluer l'impact des incidents potentiels; |
(a) un cadre de gestion des risques qui comprend, au moins, une évaluation régulière des risques permettant de recenser les risques et d'évaluer l'impact des incidents potentiels, et des mesures de sauvegarde de la sécurité et de l'intégrité et d'information, y compris une alerte rapide; |
Justification | |
Un plan d'évaluation est insuffisant et ne comprend pas d'autres mesures nécessaires à la gestion des risques en matière de sécurité des réseaux et de l'information. Le CEPD recommande la mise en place d'un cadre de gestion des risques qui comprend une évaluation des risques. | |
Amendement 30 Proposition de directive Article 5 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La stratégie nationale et le plan national de coopération en matière de SRI seront communiqués à la Commission dans le mois suivant leur adoption. |
3. La stratégie nationale et le plan national de coopération en matière de SRI seront communiqués à la Commission, au Parlement européen, au Conseil et au contrôleur européen de la protection des données dans le mois suivant leur adoption, qui intervient au plus tard 12 mois après l'entrée en vigueur de la présente directive. |
Amendement 31 Proposition de directive Article 5 – paragraphe 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(3 bis) La Commission collecte l'ensemble des stratégies nationales des États membres en matière de SRI et transmet ces stratégies sous forme structurée à chaque État membre. |
Justification | |
Il serait profitable pour chaque État membre de prendre connaissance des projets des autres États membres. Cette disposition les aiderait à y voir plus clair et pourrait même donner lieu à un échange de bonnes pratiques. | |
Amendement 32 Proposition de directive Article 5 – paragraphe 3 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(3 ter) La Commission prépare une feuille de route relative à la structuration de la stratégie nationale en matière de SRI au plus tard six mois après l'adoption de la présente directive. L'objectif de cette disposition est d'aider les États membres à préparer et adopter des documents de structure similaire. |
Justification | |
Il serait plus facile de collecter et structurer de façon plus efficace 28 documents au niveau de l'Union si ces derniers présentaient une ligne de structure identique. La feuille de route de la Commission n'aurait pas un caractère obligatoire, mais elle laisserait la possibilité aux États membres, lors de l'élaboration de leur stratégie nationale, d'adopter la structuration proposée. | |
Amendement 33 Proposition de directive Article 6 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre désigne une autorité nationale compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
1. Chaque État membre désigne une autorité nationale civile compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
Amendement 34 Proposition de directive Article 6 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et, le cas échéant, coopèrent avec eux. |
5. Les autorités compétentes consultent les services répressifs nationaux compétents et les autorités chargées de la protection des données et coopèrent étroitement avec eux, en cas de besoin et en tenant compte du principe de proportionnalité. |
Amendement 35 Proposition de directive Article 6 – paragraphe 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Les autorités compétentes respectent, en ce qui concerne les informations recueillies, traitées et échangées, les exigences en matière de protection des données à caractère personnel, telles que définies à l'article 17 de la directive 95/46/CE. |
Amendement 36 Proposition de directive Article 7 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après Chaque État membre met en place une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
1. Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après Chaque État membre met en place une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Le cas échéant, une CERT sera établie au sein de l'autorité compétente. |
Amendement 37 Proposition de directive Article 8 – paragraphe 2 | |
Texte proposé par la Commission |
Amendement |
2. Ce réseau permet à la Commission et aux autorités compétentes de rester en liaison permanente. Lorsque c'est nécessaire, l'Agence européenne chargée de la sécurité des réseaux et de l'information ("ENISA") assiste le réseau de coopération en mettant à sa disposition son expérience et ses conseils. |
2. Ce réseau permet à la Commission et aux autorités compétentes de rester en liaison permanente. Lorsque c'est nécessaire, l'Agence européenne chargée de la sécurité des réseaux et de l'information ("ENISA") assiste le réseau de coopération en mettant à sa disposition des recommandations neutres sur le plan technologique ainsi que des mesures appropriées tant pour le secteur public que pour le secteur privé. |
Amendement 38 Proposition de directive Article 9 – paragraphe 2 – point b bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(b bis) aux critères gouvernant la participation des États membres au système sécurisé d'échange d'informations, afin de veiller à ce que chaque acteur garantisse un niveau élevé de sécurité et de résilience à chacune des étapes du traitement, y compris par des mesures appropriées de confidentialité et de sécurité conformes aux articles 16 et 17 de la directive 95/46/CE et aux articles 21 et 22 du règlement (CE) n° 45/2001. |
Amendement 39 Proposition de directive Article 9 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La Commission adopte, au moyen d'actes d'exécution, des décisions relatives à l'accès des États membres à cette infrastructure sécurisée, conformément aux critères visés aux paragraphes 2 et 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 19, paragraphe 3. |
supprimé |
Amendement 40 Proposition de directive Article 12 – paragraphe 2 – point a – tiret 2 | |
Texte proposé par la Commission |
Amendement |
– une définition des procédures et critères d'évaluation des risques et incidents par le réseau de coopération. |
– une définition des critères d'évaluation des risques et incidents par le réseau de coopération. |
Amendement 41 Proposition de directive Article 13 | |
Texte proposé par la Commission |
Amendement |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords tiennent compte de la nécessité d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération. |
L'Union peut conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du réseau de coopération, sans préjudice des activités informelles de coopération internationale offertes au réseau de coopération. Ces accords ne sont conclus que s'il est possible d'assurer un niveau suffisant de protection des données à caractère personnel diffusées au sein du réseau de coopération qui soit adéquat et comparable à celui de l'Union. |
Amendement 42 Proposition de directive Article 14 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les administrations publiques et les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires pour gérer les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents touchant les réseaux et systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services qui dépendent de ces réseaux et systèmes. |
1. Les États membres veillent à ce que les administrations publiques et les acteurs du marché prennent les mesures techniques et organisationnelles nécessaires pour détecter, gérer et limiter efficacement les risques qui menacent la sécurité des réseaux et systèmes informatiques qu'ils contrôlent et utilisent dans le cadre de leurs activités. Ces mesures garantissent un niveau de sécurité adapté et proportionnel au risque existant, compte tenu des possibilités techniques les plus avancées. Des mesures sont prises, en particulier, pour éviter les incidents touchant les réseaux et systèmes informatiques et réduire au minimum leur impact sur les services essentiels qu'ils fournissent, de manière à garantir la continuité des services et la sécurité des données qui dépendent de ces réseaux et systèmes. |
Amendement 43 Proposition de directive Article 14 – paragraphe 2 – point a (nouveau) | |
|
Amendement |
|
(a) En cas de négligence grave en matière de sûreté et de sécurité, les développeurs de logiciels commerciaux sont tenus responsables malgré les clauses de non-responsabilité qui figurent dans les accords conclus avec les utilisateurs. |
Justification | |
Dans l'accord de licence, les développeurs de logiciels commerciaux se dégagent de toute responsabilité susceptible de découler de précautions insuffisantes en matière de sécurité ou d'une programmation médiocre. Afin d'encourager les développeurs de logiciels à investir dans des mesures de sécurité, il convient d'instaurer une culture différente. Ce changement n'est possible que si les développeurs de logiciels sont tenus responsables pour tout déficit de sécurité. | |
Amendement 44 Proposition de directive Article 14 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. Les exigences visées aux paragraphes 1 et 2 s'appliquent à tous les acteurs du marché fournissant des services dans l'Union européenne. |
3. Les exigences visées aux paragraphes 1 et 2 s'appliquent à tous les acteurs du marché et à tous les producteurs de logiciels fournissant des services dans l'Union européenne. |
Amendement 45 Proposition de directive Article 14 – paragraphe 6 | |
Texte proposé par la Commission |
Amendement |
6. Sous réserve de tout acte délégué adopté en vertu du paragraphe 5, les autorités compétentes peuvent adopter des lignes directrices et, le cas échéant, formuler des instructions relatives aux circonstances dans lesquelles les administrations publiques et les acteurs du marché sont tenus de notifier les incidents. |
supprimé |
Amendement 46 Proposition de directive Article 15 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Les États membres veillent à ce que les autorités compétentes aient tous les pouvoirs nécessaires leur permettant d'enquêter sur les cas dans lesquels les administrations publiques ou les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu de l'article 14 et sur les effets de ce non-respect sur la sécurité des réseaux et systèmes informatiques. |
1. Les États membres veillent à ce que les autorités compétentes aient les pouvoirs nécessaires leur permettant d'enquêter sur les cas dans lesquels les administrations publiques ou les acteurs du marché ne respectent pas les obligations qui leur incombent en vertu de l'article 14 et sur les effets de ce non-respect sur la sécurité des réseaux et systèmes informatiques. |
Amendement 47 Proposition de directive Article 15 – paragraphe 5 | |
Texte proposé par la Commission |
Amendement |
5. Les autorités compétentes coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. |
5. Sans préjudice des dispositions législatives applicables en matière de protection des données et en étroite concertation avec les responsables du traitement et les sous-traitants concernés, les autorités compétentes et les guichets uniques coopèrent étroitement avec les autorités chargées de la protection des données en cas d'incident portant atteinte à des données à caractère personnel. |
Amendement 48 Proposition de directive Article 19 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
Article 19 bis |
|
Protection et traitement des données à caractère personnel |
|
1. Tout traitement de données à caractère personnel dans les États membres en vertu de la présente directive est réalisé dans le respect de la directive 95/46/CE et de la directive 2002/58/CE. |
|
2. Tout traitement de données à caractère personnel par la Commission et l'ENISA conformément au présent règlement sera réalisé dans le respect du règlement (CE) n° 45/2001. |
|
3. Tout traitement de données à caractère personnel par le centre de la cybercriminalité au sein d'Europol sera réalisé fonromément à la décision 2009/371/JAI. |
|
4. Le traitement de données à caractère personnel sera équitable, légal et strictement limité au volume minimal de données nécessaire aux objectifs du traitement. Les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la finalité pour laquelle elles sont traitées. |
|
5. Les notifications d'incidents visées à l'article 14 sont effectuées sans préjudice des dispositions et obligations concernant les notifications de violation de données à caractère personnel définies à l'article 4 de la directive 2002/58/CE et dans le règlement (UE) n) 611/2013. |
|
6. Les références à la directive 95/46/CE seront formulées comme références au règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) lorsque celui-ci sera en vigueur. |
Amendement 49 Proposition de directive Article 20 | |
Texte proposé par la Commission |
Amendement |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard trois ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
La Commission réexamine périodiquement le fonctionnement de la présente directive et en rend compte au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard deux ans après la date de transposition visée à l'article 21. À cet effet, la Commission peut demander des informations aux États membres, qui les communiquent sans délai indu. |
Amendement 50 Proposition de directive Annexe I – point 1 – sous-point b | |
Texte proposé par la Commission |
Amendement |
(b) La CERT doit appliquer et gérer des mesures de sécurité pour assurer la confidentialité, l'intégrité, la disponibilité et l'authenticité des informations qu'elle reçoit et qu'elle traite. |
(b) La CERT doit appliquer et gérer des mesures de sécurité pour assurer la confidentialité, l'intégrité, la disponibilité et l'authenticité des informations qu'elle reçoit et qu'elle traite, dans le respect des exigences en matière de protection des données. |
Amendement 51 Proposition de directive Annexe II – alinéa 1 | |
Texte proposé par la Commission |
Amendement |
Liste des acteurs du marché |
Liste des acteurs du marché |
visés à l'article 3, paragraphe 8, point a) |
visés à l'article 3, paragraphe 8, point a) |
1. Plateformes de commerce électronique |
1. Plateformes de commerce électronique |
2. Passerelles de paiement par internet |
2. Passerelles de paiement par internet |
3. Réseaux sociaux. |
|
4. Moteurs de recherche |
3. Moteurs de recherche |
5. Services informatiques en nuage |
4. Services informatiques en nuage stockant des données sensibles liées aux infrastructures de l'Union européenne |
6. Magasins d'applications en ligne |
|
Amendement 52 Proposition de directive Annexe II – paragraphe 2– point 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
5 bis. Chaîne d'approvisionnement alimentaire |
PROCÉDURE
Titre |
Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union |
||||
Références |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
Commission compétente au fond Date de l'annonce en séance |
IMCO 15.4.2013 |
|
|
|
|
Avis émis par Date de l'annonce en séance |
LIBE 15.4.2013 |
||||
Commission(s) associée(s) - date de l'annonce en séance |
12.9.2013 |
||||
Rapporteur(e) pour avis Date de la nomination |
Carl Schlyter 7.3.2013 |
||||
Examen en commission |
25.4.2013 |
18.9.2013 |
4.11.2013 |
13.1.2014 |
|
Date de l'adoption |
13.1.2014 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
36 6 0 |
|||
Membres présents au moment du vote final |
Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Arkadiusz Tomasz Bratkowski, Philip Claeys, Frank Engel, Cornelia Ernst, Tanja Fajon, Monika Flašíková Beňová, Kinga Gál, Kinga Göncz, Salvatore Iacolino, Sophia in ‘t Veld, Timothy Kirkhope, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Claude Moraes, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Renate Sommer, Axel Voss, Renate Weber, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra |
||||
Suppléant(s) présent(s) au moment du vote final |
Monika Hohlmeier, Jean Lambert, Ulrike Lunacek, Jan Mulder, Carl Schlyter, Marco Scurria |
||||
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Katarína Neveďalová |
||||
AVIS de la commission des affaires étrangères (6.12.2013)
à l'intention de la commission du marché intérieur et de la protection des consommateurs
sur la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union
(COM(2013)0048 – C7‑0035/2013 – 2013/0027(COD))
Rapporteure pour avis: Ana Gomes
AMENDEMENTS
La commission des affaires étrangères invite la commission du marché intérieur et de la protection des consommateurs, compétente au fond, à incorporer dans son rapport les amendements suivants:
Amendement 1 Proposition de directive Considérant 1 | |
Texte proposé par la Commission |
Amendement |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur. |
(1) Les réseaux et les services et systèmes informatiques jouent un rôle crucial dans la société. Leur fiabilité et leur sécurité sont essentielles à l'activité économique et au bien-être social et notamment au bon fonctionnement du marché intérieur, ainsi qu'à la sécurité extérieure de l'Union. |
Amendement 2 Proposition de directive Considérant 2 | |
Texte proposé par la Commission |
Amendement |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs et porter un grand préjudice à l'économie de l'UE dans son ensemble. |
(2) L'ampleur et la fréquence des incidents de sécurité, d'origine malveillante ou accidentelle, ne cessent de croître et elles représentent une menace considérable pour le fonctionnement des réseaux et des systèmes informatiques. Ces incidents peuvent nuire à l'exercice d'activités économiques, entraîner des pertes financières importantes, entamer la confiance des utilisateurs, porter un grand préjudice à l'économie de l'UE dans son ensemble et, en fin de compte, mettre en péril le bien-être des citoyens de l'Union ainsi que la capacité des États membres à se protéger et à assurer la sécurité des infrastructures critiques. |
Amendement 3 Proposition de directive Considérant 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(2 bis) La clause de solidarité, instituée par l'article 222 du traité FUE, représente le cadre approprié pour une entraide et une action concertée entre États membres de l'Union en cas d'attaque terroriste ou d'activité criminelle mettant en péril la sécurité des réseaux et de l'information. De la même manière, la clause de défense mutuelle, établie à l'article 42, paragraphe 7, du traité UE, constitue le cadre d'action au sein de l'Union au cas où un État membre serait l'objet d'une agression armée portant atteinte à la sécurité des réseaux et de l'information. Le cas échéant, il convient d'appliquer de manière complémentaire l'article 222 du traité FUE et l'article 42, paragraphe 7, du traité UE. |
Amendement 4 Proposition de directive Considérant 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(2 bis) Un grand nombre d'incidents informatiques sont imputables à un défaut de résistance et de robustesse des infrastructures de réseau privées et publiques, à des bases de données mal protégées ou sécurisées et à d'autres failles dans les infrastructures d'information critiques. Seuls quelques États membres considèrent la protection de leurs réseaux et systèmes d'information, ainsi que des données associées, comme faisant partie de leurs obligations respectives de vigilance, ce qui explique le manque d'investissements dans des technologies de pointe en matière de sécurité, mais aussi dans la formation et dans l'élaboration de lignes directrices appropriées. |
Amendement 5 Proposition de directive Considérant 3 | |
Texte proposé par la Commission |
Amendement |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur. |
(3) Les systèmes d'information numériques, et notamment l'internet, sont des instruments de communication sans frontières qui revêtent une importance essentielle pour la circulation transfrontières des biens, des services et des personnes. En raison de ce caractère transnational, toute perturbation importante de ces systèmes dans un État membre peut avoir une incidence sur d'autres États membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles au fonctionnement harmonieux du marché intérieur, et capitales pour la sécurité intérieure et extérieure de l'Union. Il conviendrait dès lors d'insister, tant dans le cadre de la stratégie de sécurité intérieure de l'Union européenne que de la stratégie européenne de sécurité, sur la nécessité d'améliorer la sécurité des réseaux et de l'information, en particulier dans la perspective de la révision de ces documents. |
Amendement 6 Proposition de directive Considérant 3 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(3 bis) La sensibilisation et la formation des utilisateurs des technologies de l'information et de la communication aux bonnes pratiques relatives à la sécurisation des données à caractère personnel et au maintien durable des services de communication devraient constituer la base de toute stratégie globale de cybersécurité. |
Amendement 7 Proposition de directive Considérant 4 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 bis) La coopération et la coordination entre les autorités européennes compétentes et le HR/VP, chargé de la politique étrangère et de sécurité commune et de la politique de sécurité et de défense commune, ainsi qu'avec le coordinateur de l'UE pour la lutte contre le terrorisme, devraient être garanties dans tous les cas où les risques peuvent apparaître comme étant de nature extérieure et terroriste. |
Amendement 8 Proposition de directive Considérant 4 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 ter) L'échange de renseignements et d'informations sensibles entre les États membres ainsi qu'entre ces derniers et les autorités compétentes de l'Union devrait être renforcé et s'ancrer dans les principes de confiance, de solidarité et de coopération. Tout plan d'action visant à améliorer la sécurité des réseaux et des systèmes devrait dès lors avoir pleinement recours aux structures existantes de l'Union, telles que le Centre de situation (SITCEN) et le Centre d'analyse du renseignement (INTCEN), et veiller à une bonne coordination entre toutes les structures concernées par la sécurité des informations présentant un caractère sensible pour la sécurité intérieure et extérieure de l'Union. |
Amendement 9 Proposition de directive Considérant 4 quater (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(4 quater) La coopération et l'échange d'informations, au niveau mondial, avec les partenaires internationaux appropriés, sont cruciaux pour assurer l'efficacité de la stratégie de cybersécurité et la pertinence des actions destinées à améliorer la sécurité des réseaux et de l'information au sein de l'Union, eu égard au caractère transnational de la menace. |
Amendement 10 Proposition de directive Considérant 8 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(8 bis) Les mesures de sécurité doivent respecter les droits fondamentaux auxquels souscrivent l'Union européenne et ses États membres conformément aux articles 2, 6 et 21 du traité FUE, tels que la liberté d'expression, la protection des données et la protection de la vie privée. Les droits à la vie privée et à la protection des données sont inscrits dans la charte de l'Union européenne et à l'article 16 du traité FUE. |
Amendement 11 Proposition de directive Considérant 11 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(11 bis) Tous les États membres doivent axer les stratégies nationales de sécurité du cyberespace sur la protection des systèmes d'information et de données connexes et considérer que la protection de cette infrastructure critique fait partie de leur obligation de vigilance respective. Tous les États membres devraient adopter et mettre en œuvre des stratégies, des lignes directrices et des instruments garantissant des niveaux raisonnables de protection contre des niveaux raisonnablement identifiables de menaces, les coûts et les charges liés à cette protection étant proportionnés aux dommages probables subis par les parties concernées. Tous les États membres devraient prendre des mesures appropriées pour obliger les personnes morales relevant de leur compétence à protéger les données à caractère personnel dont elles ont la charge. |
Amendement 12 Proposition de directive Considérant 16 | |
Texte proposé par la Commission |
Amendement |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication d'informations non confidentielles sur les incidents et les risques. |
(16) Pour garantir la transparence et informer correctement la population et les acteurs du marché de l'UE, les autorités compétentes devraient créer un site web commun destiné à la publication d'informations non confidentielles sur les incidents et les risques. Toute publication de données à caractère personnel sur ce site web devrait être limitée au strict nécessaire et être aussi anonyme que possible. |
Amendement 13 Proposition de directive Considérant 30 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(30 bis) La présente directive est sans préjudice de l'acquis de l'Union relatif à la protection des données. Les données à caractère personnel utilisées en application des dispositions de la présente directive devraient être strictement limitées aux seules données personnelles minimales nécessaires, n'être communiquées qu'aux acteurs strictement nécessaires et être aussi anonymes que possible, voire totalement anonymes. |
Amendement 14 Proposition de directive Considérant 32 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(32 bis) La présente directive (directive sur la SRI) s'applique sans préjudice de l'adoption nécessaire d'une législation sur les principes généraux de protection des données au niveau de l'Union. |
Amendement 15 Proposition de directive Considérant 34 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(34 bis) Il est nécessaire de réglementer au niveau de l'Union européenne la vente, la fourniture, le transfert ou l'exportation à destination de pays tiers d'équipements ou de logiciels destinés essentiellement à la surveillance ou à l'interception des communications internet et téléphoniques sur des réseaux mobiles ou fixes, et la fourniture d'une assistance pour installer, exploiter ou mettre à jour un tel équipement ou logiciel. Il est impératif que la Commission élabore dans les meilleurs délais des dispositions législatives empêchant les entreprises européennes d'exporter de tels biens à double usage vers des régimes non démocratiques, autoritaires et répressifs. |
Amendement 16 Proposition de directive Article 1 – paragraphe 2 – point b | |
Texte proposé par la Commission |
Amendement |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques; |
(b) elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l'Union et, le cas échéant, un traitement et une intervention coordonnés, efficients et efficaces en cas de risques et d'incidents touchant les réseaux et systèmes informatiques; |
Amendement 17 Proposition de directive Article 3 – paragraphe 1 – point b | |
Texte proposé par la Commission |
Amendement |
(b) tout dispositif isolé ou tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques, ainsi que |
(b) tout ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données informatiques, ainsi que |
Amendement 18 Proposition de directive Article 3 – paragraphe 2 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(2 bis) "résilience d'un système", la capacité d'un réseau et d'un système informatique à résister à un incident et à retrouver sa pleine capacité opérationnelle après celui-ci, que l'incident relève du dysfonctionnement technique, de la coupure de courant, de l'incident de sécurité ou d'une autre catégorie encore; |
Amendement 19 Proposition de directive Article 3 – paragraphe 8 – point b | |
Texte proposé par la Commission |
Amendement |
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs et de la santé, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
(b) un opérateur d'infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales dans le domaine de l'énergie, des transports, des services bancaires, des bourses de valeurs, de la santé, de la sécurité et de la défense, énumérées dans une liste non exhaustive qui figure à l'annexe II. |
Amendement 20 Proposition de directive Article 3 – paragraphe 8 – point b bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(b bis) un fournisseur de dispositifs, de réseaux et de systèmes informatiques tels que définis au paragraphe 1, ou de leurs composants, qui sont vitaux pour le maintien d'un niveau élevé commun de sécurité des réseaux et de l'information. |
Amendement 21 Proposition de directive Article 6 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre désigne une autorité nationale civile compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
1. Chaque État membre désigne une autorité nationale civile compétente en matière de sécurité des réseaux et systèmes informatiques (l'"autorité compétente"). |
Amendement 22 Proposition de directive Article 7 – paragraphe 1 | |
Texte proposé par la Commission |
Amendement |
1. Chaque État membre met en place une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
1. Chaque État membre met en place au moins une équipe d'intervention en cas d'urgence informatique (ci-après "CERT") chargée de la gestion des incidents et des risques selon un processus bien défini, et qui se conforme aux exigences énumérées au point (1) de l'annexe I. Une CERT peut être établie au sein de l'autorité compétente. |
Amendement 23 Proposition de directive Article 8 – paragraphe 3 – point f bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(f bis) informent, lorsque la nature du risque ou de la menace concernés le justifient, le coordinateur de l'UE pour la lutte contre le terrorisme sous forme de rapports, et peuvent lui demander qu'il prête assistance en produisant une analyse des travaux préparatoires et des actions du réseau de coopération; |
Amendement 24 Proposition de directive Article 9 – paragraphe 1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(1 bis) Les données à caractère personnel sont communiquées aux seuls destinataires qui ont besoin de les traiter pour mener à bien leurs tâches, conformément à une base juridique appropriée. Les données communiquées se limitent à celles nécessaires à l'accomplissement de ces missions. Le respect du principe de limitation de la finalité est garanti. Le délai de conservation de ces données est spécifié pour les objectifs fixés dans la présente directive. |
Amendement 25 Proposition de directive Article 10 – paragraphe 3 | |
Texte proposé par la Commission |
Amendement |
3. La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information pertinente concernant un risque ou un incident particulier. |
3. La Commission peut, à la demande d'un État membre ou de sa propre initiative, demander à un État membre de fournir toute information pertinente concernant un risque ou un incident particulier, conformément aux dispositions du règlement général sur la protection des données. |
Amendement 26 Proposition de directive Article 13 – alinéa -1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(-1 bis) Le HR/VP veille à l'intégration, dans les actions extérieures de l'Union (en particulier dans les relations avec les pays tiers), des aspects liés à la cybersécurité. L'objectif d'une telle démarche est d'intensifier l'échange des enseignements tirés de l'expérience et la coopération en matière de cybersécurité. |
Amendement 27 Proposition de directive Article 13 – alinéa -1 ter (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(-1 ter) Le Conseil et la Commission, dans le cadre de leurs relations avec les pays tiers et des accords de coopération conclus avec eux, en particulier lorsque la coopération porte sur les technologies, insistent sur le respect d'un socle minimum de normes quant à la sécurité des systèmes informatiques. |
Amendement 28 Proposition de directive Article 20 – titre | |
Texte proposé par la Commission |
Amendement |
Examen |
Rapports et examen |
Amendement 29 Proposition de directive Article 20 – alinéa -1 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(-1 bis)La Commission présente au Parlement européen et au Conseil un rapport annuel concernant les incidents et les mesures qui ont été portés à sa connaissance en application de la présente directive. |
Amendement 30 Proposition de directive Annexe I – point 1 – sous‑point b | |
Texte proposé par la Commission |
Amendement |
(b) La CERT doit appliquer et gérer des mesures de sécurité pour assurer la confidentialité, l'intégrité, la disponibilité et l'authenticité des informations qu'elle reçoit et qu'elle traite. |
(b) La CERT doit appliquer et gérer des mesures de sécurité pour assurer la confidentialité, l'intégrité, la disponibilité et l'authenticité des informations qu'elle reçoit et qu'elle traite, dans le respect des exigences en matière de protection des données. |
Amendement 31 Proposition de directive Annexe II – sous-titre 2 (visés à l'article 3, paragraphe 8, point b) – paragraphe 5 bis (nouveau) | |
Texte proposé par la Commission |
Amendement |
|
(5 bis) Secteur de la sécurité et de la défense: opérateurs économiques prestataires de travaux ou de services visés par la directive 2009/81/CE, en particulier à son article 46. |
PROCÉDURE
Titre |
Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union |
||||
Références |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
Commission compétente au fond Date de l'annonce en séance |
IMCO 15.4.2013 |
|
|
|
|
Avis émis par Date de l'annonce en séance |
AFET 15.4.2013 |
||||
Rapporteur(e) pour avis Date de la nomination |
Ana Gomes 19.2.2013 |
||||
Examen en commission |
18.9.2013 |
|
|
|
|
Date de l'adoption |
5.12.2013 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
31 3 8 |
|||
Membres présents au moment du vote final |
Elmar Brok, Jerzy Buzek, Mark Demesmaeker, Marietta Giannakou, Ana Gomes, Andrzej Grzyb, Anna Ibrisagic, Jelko Kacin, Tunne Kelam, Nicole Kiil-Nielsen, Andrey Kovatchev, Eduard Kukan, Marusya Lyubcheva, Annemie Neyts-Uyttebroeck, Norica Nicolai, Raimon Obiols, Kristiina Ojuland, Ria Oomen-Ruijten, Ioan Mircea Paşcu, Alojz Peterle, Mirosław Piotrowski, Bernd Posselt, Hans-Gert Pöttering, Cristian Dan Preda, Libor Rouček, Tokia Saïfi, José Ignacio Salafranca Sánchez-Neyra, György Schöpflin, Werner Schulz, Marek Siwiec, Charles Tannock, Geoffrey Van Orden, Nikola Vuljanić, Boris Zala |
||||
Suppléant(s) présent(s) au moment du vote final |
Marije Cornelissen, Barbara Lochbihler, Doris Pack, Marietje Schaake, Indrek Tarand, Ivo Vajgl, Paweł Zalewski |
||||
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Hiltrud Breyer |
||||
PROCÉDURE
Titre |
Niveau élevé commun de sécurité des réseaux et de l'information dans l'Union |
||||
Références |
COM(2013)0048 – C7-0035/2013 – 2013/0027(COD) |
||||
Date de la présentation au PE |
5.2.2013 |
|
|
|
|
Commission compétente au fond Date de l'annonce en séance |
IMCO 15.4.2013 |
|
|
|
|
Commission(s) saisie(s) pour avis Date de l'annonce en séance |
AFET 15.4.2013 |
INTA 15.4.2013 |
BUDG 15.4.2013 |
ECON 15.4.2013 |
|
|
ENVI 15.4.2013 |
ITRE 15.4.2013 |
TRAN 15.4.2013 |
JURI 15.4.2013 |
|
|
LIBE 15.4.2013 |
|
|
|
|
Avis non émis Date de la décision |
INTA 20.3.2013 |
BUDG 21.2.2013 |
ECON 18.6.2013 |
ENVI 19.2.2013 |
|
|
TRAN 18.3.2013 |
JURI 20.2.2013 |
|
|
|
Commission(s) associée(s) Date de l'annonce en séance |
ITRE 12.9.2013 |
LIBE 12.9.2013 |
|
|
|
Rapporteur(s) Date de la nomination |
Andreas Schwab 20.3.2013 |
|
|
|
|
Examen en commission |
25.4.2013 |
18.6.2013 |
5.9.2013 |
4.11.2013 |
|
|
9.1.2014 |
|
|
|
|
Date de l'adoption |
23.1.2014 |
|
|
|
|
Résultat du vote final |
+: –: 0: |
33 1 1 |
|||
Membres présents au moment du vote final |
Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Sergio Gaetano Cofferati, Lara Comi, Anna Maria Corazza Bildt, Christian Engström, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Eduard-Raul Hellvig, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Franz Obermayr, Sirpa Pietikäinen, Zuzana Roithová, Heide Rühle, Andreas Schwab, Róża Gräfin von Thun und Hohenstein, Bernadette Vergnaud, Barbara Weiler |
||||
Suppléant(s) présent(s) au moment du vote final |
Regina Bastos, Ashley Fox, María Irigoyen Pérez, Morten Løkkegaard, Tadeusz Ross, Marc Tarabella, Patricia van der Kammen, Sabine Verheyen, Josef Weidenholzer |
||||
Suppléant(s) (art. 187, par. 2) présent(s) au moment du vote final |
Vital Moreira, Oreste Rossi |
||||
Date du dépôt |
12.2.2014 |
||||