Les États membres n'appliquent pas la directive 2016/1148 sur la sécurité des réseaux d'information de façon unifiée, laissant craindre des risques de fragmentation. C'est le constat que tire la Commission européenne dans un rapport de suivi publié lundi 28 octobre.
Cette directive, adoptée en 2015, vise à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information d’intérêt général pour la sécurité publique, dans un contexte où les cyberattaques se multiplient. Ce 28 octobre encore, la banque italienne UniCredit a reconnu avoir été piratée, évoquant un incident de données (n'impliquant pas de données bancaires) avec un fichier datant de 2015. Elle charge les États membres d’établir une liste de services essentiels qui devront prendre des mesures pour gérer les risques sur leurs réseaux et rapporter les incidents aux autorités compétentes.
Le rapport de la Commission examine la liste établie par chaque État membre, en fonction des secteurs et sous secteurs identifiés à l’annexe II de la directive. Il note que 35 services en moyenne sont identifiés par État membre et leur nombre va de 12 à 87. De même, le nombre total d'opérateurs de services essentiels (OES) communiqués à la Commission par les États membres varie de 20 à 10 897, avec une moyenne de 633 OES par État membre. Ces résultats résultent d'une évaluation effectuée entre novembre 2018 et septembre 2019.
Manque de données et fragmentation
La Commission regrette toutefois que les États membres aient tardé à transposer la directive (elle a envoyé, à l'été 2019, une lettre de mise en demeure à 6 États membres). Elle souligne aussi qu'elle n'a reçu que des données partielles sur l’identification des opérateurs de services essentiels de 5 États membres : Autriche, Belgique, Hongrie, Roumanie et Slovénie.
En outre, la directive repose sur une harmonisation minimale, ce qui ne facilite pas la comparaison. Cette approche permet en effet aux États membres de dévier légèrement des secteurs, sous-secteurs et types d’entités identifiés par la directive, voire même d'en inclure de nouveaux. « Par exemple, la Bulgarie a dressé une liste extrêmement détaillée de services, qui inclut même un service ne figurant pas à l’annexe II (marchés de l’électricité) », note le rapport, qui souligne que cinq États membres ont aussi identifié les infrastructures d’information, quatre les services financiers et quatre les services publics. Le rapport peut être consulté à la page : http://bit.ly/2C12O9L (Sophie Petitjean)