Bruxelles, 08/12/2015 (Agence Europe) - L'Union européenne devrait être mieux préparée à affronter des cyber-attaques dès 2019. Après 2 ans et demi de négociations, les représentants du Parlement et du Conseil de l'UE ont conclu un accord temporaire, lundi 7 décembre, sur un projet de directive qui responsabilise les opérateurs de services essentiels et les fournisseurs de services numériques. Le texte doit encore être formellement validé par les deux institutions pour être réputé adopté.
Les services concernés. La nouvelle directive énonce les secteurs pour lesquels les fournisseurs de services devront garantir leur solidité afin de résister aux cyber-attaques. Il s'agit des secteurs de l'énergie, des transports, des banques, des marchés financiers, de la santé et de l'approvisionnement en eau. Le texte charge les États membres d'identifier, parmi ces secteurs, les « opérateurs de services essentiels » concrets en utilisant divers critères: si le service est indispensable pour la société et l'économie, s'il dépend des réseaux et des systèmes d'informations, si un incident peut avoir des perturbations importantes pour le service fourni et pour la sécurité publique. La directive couvre aussi certains fournisseurs de services Internet - comme les marchés en ligne (tels eBay, Amazon), les moteurs de recherche (tels que Google) et les nuages informatiques (clouds) - même si ces derniers seront soumis à des exigences et à une surveillance moins importantes . « Cela reflète le degré de risque que toute interruption de leurs services peut représenter pour la société et l'économie » justifient les co-législateurs. L'accord informel prévoit en outre une exemption pour les micro- et petites entreprises numériques.
Coopération entre les États membres. Le compromis crée un groupe de coopération stratégique pour échanger des informations et des meilleures pratiques, pour élaborer des lignes directrices et pour aider les États membres en termes de renforcement des capacités de cyber-sécurité. Chaque pays de l'UE devra désigner une ou plusieurs autorités nationales et définir une stratégie pour traiter des questions de cyber-sécurité. En outre, un réseau d'équipes d'intervention en cas d'incident lié à la sécurité informatique, établi dans chaque État membre pour gérer les incidents, devra être créé pour débattre des incidents de sécurité transfrontaliers et pour identifier des réponses coordonnées.
Une fois l'accord validé formellement par les co-législateurs, les États membres auront 21 mois pour transposer la directive dans leur droit national. Ils bénéficieront encore de 6 mois supplémentaires pour identifier leurs opérateurs de services considérés comme « essentiels ». (Sophie Petitjean)