Le 7 décembre 2015, la présidence luxembourgeoise du Conseil est parvenue à un accord informel avec le Parlement européen sur des règles communes visant à renforcer la sécurité des réseaux et de l'information (SRI) au sein de l'UE.
La nouvelle directive définira des obligations en matière de cybersécurité pour les opérateurs de services essentiels et les fournisseurs de services numériques. Il sera demandé à ces opérateurs de prendre des mesures pour gérer les cyber-risques et signaler les principaux incidents de sécurité, mais des régimes différents s'appliqueront aux deux catégories d'opérateurs.
Xavier Bettel, le Premier ministre et ministre des communications et des médias du Luxembourg et président du Conseil a déclaré: "C'est un pas important vers une approche plus coordonnée de la cybersécurité en Europe. Tous les acteurs, publics et privés, devront augmenter leurs efforts, ce qui passe notamment par une coopération accrue entre les États membres et par des exigences de sécurité renforcées à l'égard des opérateurs d'infrastructures et des services numériques".
Des règles plus strictes pour les opérateurs essentiels
La directive énumère un certain nombre de secteurs critiques dans lesquels les opérateurs de services essentiels exercent leur activité, tels que l'énergie, les transports, les services financiers et la santé. Dans ces secteurs, les États membres identifieront, sur la base de critères clairs énoncés dans la directive, les opérateurs qui fournissent des services essentiels. Ces opérateurs seront soumis à des exigences et à une surveillance plus importantes que les fournisseurs de services numériques. Cela s'explique par le niveau de risque qu'est susceptible d'occasionner pour la société et pour l'économie toute interruption de leurs services.
Un régime plus uniforme pour les fournisseurs de services numériques
Les services numériques ci-après seront concernés par la directive: les plateformes de commerce électronique, les moteurs de recherche et les services en nuage.
En règle générale, les fournisseurs de services numériques exercent leurs activités dans de nombreux États membres. Afin de leur garantir un traitement similaire dans l'ensemble de l'UE, les règles s'appliqueront à tous les opérateurs fournissant ce type de services, à l'exception des petites entreprises.
Cadres au niveau national et de l'UE pour lutter contre les cybermenaces
Chaque pays de l'UE devra désigner une ou plusieurs autorités nationales et élaborer une stratégie pour traiter des questions liées au cyberespace.
En outre, les États membres intensifieront leur coopération en matière de cybersécurité. Un groupe de coopération sera créé au niveau de l'UE pour favoriser la coopération stratégique et l'échange de bonnes pratiques entre les États membres. Un réseau d'équipes nationales de réaction aux incidents touchant la sécurité informatique (CSIRT) sera mis en place pour promouvoir la coopération opérationnelle. Tous deux devraient également contribuer à renforcer la confiance entre les États membres.
Délais
Les États membres disposeront d'un délai de 21 mois à compter de l'entrée en vigueur de la directive pour adopter les dispositions nationales nécessaires. À l'issue de cette période, ils auront six mois supplémentaires pour identifier leurs opérateurs de services essentiels.
Comment la proposition aura-t-elle force légale?
Au niveau du Conseil, l'accord doit encore être confirmé par les États membres. La présidence soumettra le texte aux ambassadeurs des États membres, pour approbation lors de la réunion du Comité des représentants permanents (Coreper) le 18 décembre. Pour conclure la procédure, le Conseil et le Parlement doivent encore procéder à son adoption formelle.