Le Conseil de l'UE adopte la directive NIS2
Alors que le Conseil de l'UE cherche à améliorer la résilience et les capacités de réponse aux incidents dans l'Union Européenne, la directive NIS2 remplace la directive NIS précédente.
PublicitéLa directive NIS2 sur la cybersécurité adoptée par le Conseil de l'Union européenne (UE) doit améliorer la résilience et les capacités de réponse aux incidents dans l'UE. Elle remplace la directive Network and Information Security (NIS) actuelle sur la sécurité des réseaux et des systèmes d'information. Outre qu'elle servira de base de référence aux mesures de gestion des risques de cybersécurité et des obligations de déclaration dans tous les secteurs, la directive NIS2 vise à harmoniser les exigences en matière de cybersécurité et la mise en oeuvre des mesures dans les différents États membres.
Renforcer la coopération de l'UE en matière de gestion des incidents
« NIS2 établira la base de référence pour les mesures de gestion des risques en matière de cybersécurité et les obligations de déclaration dans tous les secteurs couverts par la directive, comme l'énergie, les transports, la santé et les infrastructures numériques », peut-on lire dans un communiqué du Conseil de l'UE. « La directive révisée a pour objectif d'harmoniser les exigences et les mesures en matière de cybersécurité dans les États membres en établissant des règles minimales pour un cadre réglementaire et en définissant des mécanismes pour une coopération efficace entre les autorités compétentes », ajoute le communiqué. « Elle met à jour la liste des secteurs et des activités soumis à des obligations en matière de cybersécurité et prévoit des voies de recours et des sanctions pour en assurer l'application », poursuit le communiqué, qui mentionne également la création de l'European Cyber Crises Liaison Organization Network (EU-CyCLONe), un réseau européen d'organisations de liaison en cas de cyber-crises pour soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle.
Des règles pour identifier les entités réglementées
NIS2 introduit une « règle de taille » pour identifier les entités réglementées, ce qui signifie que « toutes les entités de taille moyenne et grande opérant dans les secteurs ou fournissant des services couverts par la directive entreront dans son champ d'application », a déclaré le Conseil de l'UE. « Son texte comprend des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques et des critères de criticité bien définis pour permettre aux autorités nationales de déterminer d'autres entités couvertes ». Le texte précise également que la directive ne s'appliquera pas aux entités exerçant des activités dans des domaines comme la défense ou la sécurité nationale, la sécurité publique et le maintien de l'ordre. « Le pouvoir judiciaire, les parlements et les banques centrales sont aussi exclus du champ d'application », indique encore le texte.
PublicitéRationaliser les obligations de déclaration
« En outre, la nouvelle directive a été alignée sur la législation sectorielle, en particulier la loi sur la résilience opérationnelle numérique Digital Operational Resilience Act (DORA) pour le secteur financier et le Center for European Reform (CER) - ce think tank basé à Londres a pour objectif d'améliorer la qualité du débat sur l'Union européenne - sur la résilience des entités critiques, afin de fournir une clarté juridique et d'assurer la cohérence entre la directive NIS2 et ces actes », a déclaré le Conseil de l'UE. « Un mécanisme volontaire d'apprentissage par les pairs renforcera la confiance mutuelle et l'apprentissage des bonnes pratiques et des expériences dans l'Union, contribuant ainsi à atteindre un niveau commun élevé de cybersécurité ». Cette législation rationalisera également les obligations de déclaration afin d'éviter de provoquer une surdéclaration et de créer une charge excessive pour les entités couvertes. La NIS2 devrait être publiée au Journal officiel de l'Union européenne dans les prochains jours et entrera en vigueur le 20e jour suivant cette publication. Les États membres disposeront de 21 mois à compter de l'entrée en vigueur de la directive pour en transposer les dispositions dans leur législation nationale.
Article rédigé par
Michael Hill, IDG NS (adapté par Jean Elyan)
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire