Fin décembre 2015, le Conseil et le Parlement européen sont parvenus à un accord sur le projet de directive dite "cyber-sécurité". Le texte final devrait être adopté vers la fin de ce premier trimestre. Suite à l'accord intervenu, le projet de directive ne peut plus être modifié. Il doit cependant encore être toiletté. Le but de cette directive est d'assurer un niveau élevé de sécurité des réseaux et systèmes d'information sur le territoire de l'Union européenne. En conséquence, la directive impose aux Etats membres de créer une stratégie en matière de cyber-sécurité, ceci avec le concours de l'Agence Européenne de cyber-sécurité (ENISA). Elle organise également un système de coopération entre des autorités nationales chargées de la cyber-sécurité et impose certaines obligations aux opérateurs considérés comme critiques en matière de cyber-sécurité.
Les opérateurs concernés
Cette régulation s'adresse à deux grandes familles d'opérateurs : certains opérateurs de services considérés comme essentiels (Opérateurs de Services Essentiels) et certains fournisseurs de services numériques.
Les Opérateurs de Services Essentiels concernés appartiennent à sept secteurs d'activités :
- L'énergie : c’est-à-dire notamment les entreprises de production, distribution et stockage d'électricité, produits pétroliers et gaz;
- Le transport : c'est-à-dire les entreprises qui assurent le transport aérien, ferroviaire, fluvial, maritime et routier ou qui en assurent la gestion (aéroports, ports, etc.);
- Les banques;
- Les infrastructures de marchés financiers : les bourses de valeurs et contrepartie centrale et les chambres de compensation;
- Le secteur de la santé : les établissements de soins de santé et autres entités fournissant des soins de santé;
- La production et la distribution d'eau potable (à l'exclusion des entreprises dont la distribution d'eau est une partie seulement de leur activité générale de distribution d'autres produits);
- Les infrastructures numériques : les points d'échange Internet (IXP), les fournisseurs de système de noms de domaine (DNS service providers), les organismes d'enregistrement des noms de domaine de premier niveau.
Il appartiendra toutefois aux autorités nationales de dresser la liste précise des entreprises concernées parmi ces sept secteurs. Cette liste sera établie compte tenu de certains critères, comme par exemple la part de marché, qui détermineront le niveau critique d'un Opérateur de Service Essentiel.
Trois types de fournisseurs de services numériques sont quant à eux concernés :
- Les plateformes de commerce électronique;
- Les moteurs de recherches;
- Les services de cloud computing.
Les petites ou micro-entreprises qui fournissent ces services numériques sont toutefois exclues du champ d'application de la directive.
Les obligations
En substance, les deux obligations essentielles qui s'imposeront aux opérateurs concernés par la directive sont:
- Le maintien d'un niveau de protection adéquat de leur réseau et système d'information;
- La notification, sans délai, à l'autorité nationale compétente de tout incident ayant un impact significatif sur la continuité des services offerts.
Concernant la seconde obligation, il est indifférent que l'incident concerne ou non des données personnelles. Le cas échéant, si l'incident concerne des données personnelles, une autre notification sera nécessaire sur base de la règlementation applicable en cette matière.
A défaut de remplir ces obligations, des sanctions effectives, proportionnées et dissuasives pourront s'appliquer. Il appartiendra à chaque Etat membre de décider de l'arsenal des sanctions.
Implémentations nationales
S'agissant d'une directive, celle-ci devra encore être transposée en droit national par chaque Etat membre. Pour ce faire, ceux-ci disposeront de 21 mois à compter de l'entrée en vigueur de la directive. A cet égard, rien n'empêche un Etat membre d'adopter ou de maintenir des règles plus strictes que celles de la directive.