Recevez chaque jour toute l'actualité du numérique

x

OSE, gestion des risques, signalements... Les ministres européens s'accordent sur la directive NIS 2

Le Conseil de l'UE a adopté une position commune sur la future directive NIS 2. L'objectif de ce texte est de réduire les différences entre les Etats membres en matière de gestion de la cybersécurité. Le Parlement européen et les ministres doivent désormais s'accorder. Une étape lors de laquelle la France aura une position importante puisqu'elle est présidera le Conseil à partir de janvier 2022.
Twitter Facebook Linkedin Flipboard Email
×

OSE, gestion des risques, signalements... Les ministres européens s'accordent sur la directive NIS 2
OSE, gestion des risques, signalements... Les ministres européens s'accordent sur la directive NIS 2 © Site du Conseil de l'UE

C'est une nouvelle étape vers la révision de la directive "Network and Information System Security" (NIS) sur la gestion de la cybersécurité à l'échelle européenne. Le vendredi 3 décembre 2021, les ministres européens du numérique réunis au sein du Conseil de l'Union européenne sont parvenus à un accord sur ce texte dont l'objectif est de "renforcer la sécurité des systèmes d'information et des réseaux", comme l'a expliqué Cédric O, secrétaire d'Etat chargé de la transition numérique et des communications électroniques. 

"Nous avons assisté à une augmentation rapide du nombre de cyberattaques visant le secteur public et le secteur privé mais aussi nos citoyens", a déclaré Boštjan Koritnik, ministre slovène de l'administration publique. "Les enjeux sont importants et la nouvelle directive NIS jouera un rôle tout à fait significatif dans le renforcement de notre cybersécurité", a-t-il ajouté. 

Première législation européenne
La directive NIS, adoptée en juillet 2016, a été la première législation à l'échelle de l'Union européenne à établir des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services essentiels (SE), dont l'interruption aurait un impact significatif sur l'économie ou la société.

Les entités visées par la directive NIS doivent garantir un socle minimal de garanties pour se protéger d'une cyberattaque. Ces règles touchent à la gouvernance, à la protection et à la défense. La France a transposé ce texte dans la loi du 26 février 2018, le décret du 23 mai 2018 et l'arrêté du 13 juin 2018.

Supprimer les divergences entre Etats
La nouvelle version de la directive NIS doit permettre de supprimer les divergences au niveau des exigences en matière de sécurité informatique et de la mise en oeuvre des mesures dans les différents Etats membres. Elle fixe donc les règles minimum d'un cadre réglementaire et définit les mécanismes d'une coopération efficace entre les autorités compétentes de chaque Etat; il s'agit de l'Agence nationale de la sécurité des systèmes d'information (Anssi) en France. 

Le texte révisé met également à jour la liste des secteurs et des activités soumis à des obligations en matière de cybersécurité. Pour rappel, en vertu de l'actuelle directive, il incombe aux Etats de déterminer quelles entités remplissent les critères pour être qualifiées "d'opérations de services essentiels" (OSE). La directive NIS 2 introduit un mécanisme de plafond selon lequel les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d'application.

La défense, la justice, la sécurité publique excluent
En revanche, ce texte ne s'appliquera pas aux entités exerçant des activités dans des domaines tels que la défense, la sécurité nationale, la sécurité publique, les services répressifs ou le pouvoir judiciaire. Les parlements et les banques centrales sont également exclus du champ d'application de la future directive. 

Une fois qu'une version définitive aura été arrêtée par le Parlement européen et le Conseil, les Etats auront deux ans à compter de l'entrée en vigueur de la directive pour transposer les nouvelles dispositions dans leur droit national. La France compte bien oeuvrer en faveur de l'adoption de ce texte lors de sa présidence au Conseil de l'UE à partir de janvier 2022. 

Fin octobre 2021, ce sont les eurodéputés de la Commission de l'industrie, de la recherche et de l'énergie du Parlement qui ont adopté une révision de la directive NIS

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.