Cybersécurité des réseaux et des systèmes d’information

SYNTHÈSE DU DOCUMENT:

Directive (UE) 2016/1148 — Cybersécurité des réseaux et des systèmes d’information

QUEL EST L’OBJET DE CETTE DIRECTIVE?

Elle propose un large éventail de mesures visant à accroître le niveau de sécurité des réseaux et des systèmes d’information (Cybersécurité *) en vue de sécuriser les services essentiels à la société et à l’économie de l’Union européenne (UE). Elle vise à garantir que les pays de l’UE sont bien préparés et prêts à gérer les attaques informatiques et à y répondre par:

la désignation des autorités compétentes,
la mise en place de centres de réponse aux incidents de sécurité informatique (CSIRT), et
l’adoption de stratégies nationales en matière de cybersécurité.

Elle établit également une coopération à la fois stratégique et technique à l’échelle de l’UE.

Enfin, elle introduit l’obligation pour les opérateurs de services essentiels et les fournisseurs de service numérique de prendre les mesures de sécurité appropriées et de notifier les incidents graves aux autorités nationales compétentes.

POINTS CLÉS

Amélioration des capacités nationales en matière de cybersécurité

Les pays de l’UE doivent:

désigner une ou plusieurs autorités nationales compétentes et des CSIRT, et déterminer un point de contact unique (lorsque plusieurs autorités compétentes sont désignées);
déterminer les opérateurs de services essentiels dans les secteurs critiques tels que l’énergie, les transports, la finance, l’activité bancaire, la santé, l’eau et l’infrastructure numérique, où une attaque informatique pourrait perturber un service essentiel.

Les pays de l’UE doivent également mettre en place une stratégie nationale en matière de cybersécurité pour les réseaux et les systèmes d’information *portant sur les questions suivantes:

la préparation, la gestion et la réponse aux attaques informatiques;
les rôles, les responsabilités et la coopération du gouvernement et des autres parties;
les programmes d’éducation, de sensibilisation et de formation;
les plans de recherche et de développement;
un plan d’identification des risques.

Les autorités nationales compétentes contrôlent l’application de la présente directive en:

évaluant les politiques de cybersécurité et de sécurité des opérateurs de services essentiels;
surveillant les fournisseurs de service numérique;
participant aux travaux du groupe de coopération [comprenant les autorités compétentes en matière de sécurité des réseaux et de l’information (SRI) de chacun des pays de l’UE, la Commission européenne et l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA)];
informant le public lorsque cela est nécessaire pour prévenir un incident ou pour gérer un incident en cours, tout en respectant la confidentialité;
donnant des instructions contraignantes pour remédier aux défaillances de cybersécurité.

Les CSIRT sont chargés de:

suivre les incidents de cybersécurité et intervenir le cas échéant;
fournir une analyse des risques et incidents et une conscience situationnelle;
participer au réseau des CSIRT;
coopérer avec le secteur privé;
promouvoir l’utilisation de pratiques normalisées pour la gestion des risques et incidents et pour la classification des informations.

Exigences en matière de sécurité et de notification

Cette directive vise à promouvoir une culture de la gestion des risques. Les entreprises qui opèrent dans des secteurs clés doivent évaluer les risques auxquels elles sont exposées et adopter des mesures afin de garantir la cybersécurité. Ces sociétés doivent informer les autorités compétentes ou les CSIRT de tout incident pertinent, tel que le piratage ou le vol de données, qui compromet gravement la cybersécurité et a un effet disruptif important sur la continuité des services majeurs et sur l’approvisionnement des biens.

Afin de déterminer les incidents à notifier par les opérateurs de services essentiels *, les pays de l’UE doivent prendre en compte la durée d’un incident et sa portée géographique ainsi que d’autres facteurs tels que le nombre d’utilisateurs dépendant de ce service.

Les fournisseurs de service numérique clés (moteurs de recherche, services d’informatique en nuage et places de marché en ligne) devront également se conformer aux exigences en matière de sécurité et de notification.

Amélioration de la coopération à l’échelle de l’UE

La présente directive établit le groupe de coopération dont les tâches incluent:

fournir des orientations au réseau des CSIRT;
échanger les bonnes pratiques concernant l’identification des opérateurs de services essentiels;
aider les pays de l’UE à renforcer leurs capacités en matière de cybersécurité;
échanger informations et bonnes pratiques en matière de sensibilisation et de formation, de recherche et de développement;
échanger des informations et recueillir les bonnes pratiques en matière de risques et d’incidents;
discuter des modalités de notification d’incident.

Elle établit également le réseau de CSIRT comprenant des représentants des CSIRT des pays de l’UE et du centre de réponse aux urgences informatiques (CERT-UE). Parmi ses missions figurent:

partager des informations sur les services du CSIRT;
partager des informations sur les incidents de cybersécurité;
aider les pays de l’UE à faire face à des incidents transfrontaliers;
discuter et, si possible, déterminer une réponse coordonnée à un incident identifié par un pays de l’UE;
débattre, étudier et identifier d’autres formes de coopération opérationnelle, notamment en rapport avec:
- les catégories de risques et d’incidents,
- les alertes précoces,
- l’assistance mutuelle,
- la coordination entre les pays qui réagissent à des risques et incidents touchant plus d’un pays de l’UE;
informer le groupe de coopération de ses activités et demander des orientations;
étudier les enseignements tirés des exercices relatifs à la cybersécurité;
étudier les capacités d’un CSIRT donné, à la demande de celui-ci;
l’émission de lignes directrices relatives à la coopération opérationnelle.

Sanctions

Les pays de l’UE doivent appliquer des sanctions efficaces, proportionnées et dissuasives afin de garantir l’application des conditions de cette directive.

DEPUIS QUAND CETTE DIRECTIVE S’APPLIQUE-T-ELLE?

Elle s’applique depuis le 8 août 2016. Les pays de l’UE doivent l’intégrer dans leur droit national au plus tard le 9 mai 2018 et déterminer les opérateurs de services essentiels au plus tard le 9 novembre 2018.

CONTEXTE

Cybersécurité (Commission européenne)
Cybersécurité: la Commission renforce sa capacité de réaction face aux cyberattaques — communiqué de presse (Commission européenne)
Directive relative à la sécurité des réseaux et des systèmes d’information — communiqué de presse (Commission européenne)
Résilience, dissuasion et défense: doter l’UE d’une cybersécurité solide — fiche d’information (Commission européenne).

TERMES CLÉS

Cybersécurité: la capacité des réseaux et des systèmes d’information à résister aux actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données numériques ou des services fournis par ces systèmes.

Réseau et système d’information: un réseau de communications électronique ou tout appareil ou groupe d’appareils interconnectés qui traitent les données numériques ainsi que les données numériques stockées, traitées, récupérées ou transmises.

Services essentiels: les entreprises privées ou les organismes publics jouant un rôle important dans la société et dans l’économie, par exemple les services de distribution de l’eau, d’approvisionnement en électricité, etc.

DOCUMENT PRINCIPAL

Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1-30)

DOCUMENTS LIÉS

Règlement d’exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif (JO L 26 du 31.1.2018, p. 48-51)

Décision d’exécution (UE) 2017/179 de la Commission du 1er février 2017 fixant les modalités de procédure nécessaires au fonctionnement du groupe de coopération conformément à l’article 11, paragraphe 5, de la directive (UE) 2016/1148 du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 28 du 2.2.2017, p. 73-77)

Communication de la Commission au Parlement européen et au Conseil — Exploiter tout le potentiel de la directive SRI — Vers la mise en œuvre effective de la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union [COM(2017) 476 final 2, 4.10.2017]

Recommandation (UE) 2017/1584 de la Commission du 13 septembre 2017 sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs (JO L 239 du 19.9.2017, p. 36-58)

Communication conjointe au Parlement européen et au Conseil — Résilience, dissuasion et défense: doter l’UE d’une cybersécurité solide [JOIN(2017) 450 final, 13.9.2017]

Document de travail des services de la Commission — Évaluation de la stratégie de cybersécurité de l’Union européenne en 2013 [SWD(2017) 295 final, 13.9.2017]

Règlement (UE) n^o 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73-114)

Décision 2013/488/UE du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (JO L 274 du 15.10.2013, p. 1-50).

Les modifications successives de la décision 2013/488/UE ont été intégrées au document original. Cette version consolidée n’a qu’une valeur documentaire.

Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil (JO L 218 du 14.8.2013, p. 8-14)

Règlement (UE) n^o 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n^o 460/2004 (JO L 165 du 18.6.2013, p. 41-58)

Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions — Stratégie de cybersécurité de l’Union européenne: un cyberespace ouvert, sûr et sécurisé [JOIN(2013) 1 final, 7.2.2013]

dernière modification 01.03.2018