Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : Le Parlement européen approuve une nouvelle version de la directive NIS

Une commission du Parlement européen a approuvé une nouvelle version de la directive NIS qui encadre la cybersécurité au sein de l'Union européenne. Elle élargit le champ d'application de ce texte pour inclure de nouveaux secteurs et propose des obligations plus strictes. L'objectif est de créer une Europe résiliente face à l'augmentation des cyberattaques. 
Twitter Facebook Linkedin Flipboard Email
×

Cybersécurité : Le Parlement européen approuve une nouvelle version de la directive NIS
Cybersécurité : Le Parlement européen approuve une nouvelle version de la directive NIS © Cnil

Les députés de la Commission de l'industrie, de la recherche et de l'énergie du Parlement européen ont adopté la révision de la directive "Network and Information System Security" (NIS) le 28 octobre 2021. Elle fixe des exigences plus strictes en matière de sécurité informatique pour les entreprises, les administrations et les Etats.

Avant de devenir définitif, ce texte devra être négocié et approuvé au sein du trilogue, c'est-à-dire entre des représentants du Parlement, du Conseil et de la Commission.

Mieux se protéger contre les cybermenaces
Comme l'a expliqué l'eurodéputé Bart Groothuis, rapporteur du texte, l'objectif de ce texte est de "renforcer la cybersécurité dans l'Union et créer les outils pour gérer ensemble les cyberincidents lorsqu'ils se produisent". "Nous ne pouvons pas prévenir toute cybercriminalité mais nous devons nous protéger mieux qu'avant et mieux que les autres", a-t-il ajouté.

La directive NIS, adoptée en juillet 2016, a été la première législation à l'échelle de l'Union européenne à établir des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services essentiels (SE), dont l'interruption aurait un impact significatif sur l'économie ou la société.

Les entités visées par la directive NIS doivent garantir un socle minimal de garanties pour se protéger d'une cyberattaque. Ces règles touchent à la gouvernance, à la protection et à la défense. La France a transposé la directive NIS dans la loi du 26 février 2018, le décret du 23 mai 2018 et l'arrêté du 13 juin 2018.

Une application fragmentation de la directive NIS
Or, le paysage des cybermenaces s'étant noirci depuis quelques années, certains Etats membres souhaitaient réviser cette directive pour étendre son champ d'application et inscrire de nouvelles obligations. Autre problème : s'agissant d'une directive dont la transposition dépend du bon vouloir de chaque signataire, le texte est appliqué différemment en fonction des Etats membres.

Ainsi, les "secteurs essentiels" tels que ceux de l’énergie, des transports, bancaire, de la santé, des infrastructures numériques, de l’administration publique et de l’espace seraient couverts par les nouvelles dispositions de sécurité. De plus, les nouvelles règles protégeraient les secteurs dits "importants" comme les services postaux, la gestion des déchets, les produits chimiques, le secteur alimentaire, la fabrication des dispositifs médicaux, l’électronique, les machines, les véhicules à moteur et les fournisseurs numériques.

Les exigences imposées à ces acteurs – publics et privés – incluent la réponse aux incidents, la divulgation des vulnérabilités, la sécurité de la chaîne alimentaire ainsi que le chiffrement. Le texte révisé établit également un cadre favorisant une meilleure coopération et un meilleur partage des informations entre les différentes autorités et les Etats membres. Il crée également une base de données européennes de vulnérabilités.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.