Cybersécurité : les règles obligeant les pays de l'UE à respecter des mesures de contrôle et d'application plus strictes et à harmoniser leurs sanctions ont été approuvées par les députés jeudi.
La législation, déjà convenue entre les députés et le Conseil en mai, fixera des obligations de cybersécurité plus strictes pour la gestion des risques, les obligations de déclaration et le partage d'informations. Les exigences couvrent la réponse aux incidents, la sécurité de la chaîne d'approvisionnement, le chiffrement et la divulgation des vulnérabilités, entre autres dispositions.
Davantage d'entités et de secteurs devront prendre des mesures pour se protéger. Les "secteurs essentiels" tels que les secteurs de l'énergie, des transports, de la banque, de la santé, des infrastructures numériques, de l'administration publique et de l'espace seront couverts par les nouvelles dispositions de sécurité.
Lors des négociations, les eurodéputés ont insisté sur la nécessité de règles claires et précises pour les entreprises et ont plaidé pour l'inclusion du plus grand nombre possible d'organismes gouvernementaux et publics dans le champ d'application de la directive.
Les nouvelles règles protégeront également les soi-disant «secteurs importants» tels que les services postaux, la gestion des déchets, les produits chimiques, l'alimentation, la fabrication de dispositifs médicaux, l'électronique, les machines, les véhicules à moteur et les fournisseurs numériques. Toutes les moyennes et grandes entreprises de certains secteurs seraient visées par la législation.
Il établit également un cadre pour une meilleure coopération et un meilleur partage d'informations entre les différentes autorités et États membres et crée une base de données européenne sur la vulnérabilité.
Soumission
"Les ransomwares et autres cybermenaces ont attaqué Europe durant beaucoup trop longtemps. Nous devons agir pour rendre nos entreprises, nos gouvernements et notre société plus résilients aux cyberopérations hostiles », a déclaré le député européen principal. Bart Groothuis (Renew, T.-N.-L.).
« Cette directive européenne va aider environ 160,000 XNUMX entités à renforcer leur emprise sur la sécurité et à faire de l'Europe un lieu sûr où vivre et travailler. Il permettra également le partage d'informations avec le secteur privé et les partenaires du monde entier. Si nous sommes attaqués à l'échelle industrielle, nous devons réagir à l'échelle industrielle », a-t-il déclaré.
"Il s'agit de la meilleure législation sur la cybersécurité que ce continent ait jamais vue, car elle transformera l'Europe en une gestion proactive et orientée vers les services", a-t-il ajouté.
Prochaines étapes
Les députés ont adopté le texte par 577 voix contre 6 et 31 abstentions. Après l'approbation du Parlement, le Conseil doit également adopter formellement la loi avant qu'elle ne soit publiée au Journal officiel de l'UE.
Contexte
La directive sur la sécurité des réseaux et de l'information (NIS) a été le premier élément de EUune législation globale sur la cybersécurité, et son objectif spécifique était d'atteindre un niveau commun élevé de cybersécurité dans tous les États membres. Bien qu'elle ait renforcé les capacités des États membres en matière de cybersécurité, sa mise en œuvre s'est avérée difficile, entraînant une fragmentation à différents niveaux du marché intérieur.
Pour répondre aux menaces croissantes posées par la numérisation et la recrudescence des cyberattaques, la Commission a présenté une proposition visant à remplacer la directive SRI et à renforcer ainsi les exigences de sécurité, à assurer la sécurité des chaînes d'approvisionnement, à rationaliser les obligations de déclaration et à introduire des mesures plus strictes des mesures de surveillance et des exigences d'exécution plus strictes, y compris des sanctions harmonisées dans l'ensemble de l'UE.
