La Commission entreprend avec un an d'avance l'évaluation de la directive sur la sécurité des réseaux (SRI), applicable depuis le 9 mai 2018. Elle a publié le 25 juin une feuille de route combinée à une évaluation d'impact préliminaire, soumise pendant 7 semaines au mécanisme de retour d'information.
À peine 2 ans d'existence
Pour rappel, la directive sur la sécurité des réseaux 2016/1148 représente le premier instrument horizontal du marché intérieur qui vise à améliorer la résilience des réseaux et des systèmes dans l'UE contre les risques en matière de cybersécurité (EUROPE 11347/8). Elle charge les opérateurs de services dits essentiels (dans le domaine de la santé, des banques, des transports, etc.) ou clés (les moteurs de recherche, les places de marché en ligne, etc.) de faire rapport aux autorités compétentes nationales sur tout incident majeur de sécurité. Elle aurait dû faire l'objet d'une évaluation le 9 mai 2021.
Dans son programme de travail 2020 révisé, la Commission a toutefois choisi de hâter ses travaux, en particulier au regard de la crise du Covid-19 qui a mis en lumière la dépendance de l'UE de la technologie de l'information. Elle note par ailleurs dans la feuille de route que, si la directive de 2016 a eu des effets positifs, elle s'accompagne également d'une série de problèmes de mise en œuvre. « Les États membres ont opté pour des approches très différentes au moment de mettre en œuvre la directive en raison du niveau d'harmonisation minimum et de la procédure d'identification applicable aux opérateurs de services essentiels, qui laisse une large marge d'appréciation aux États membres », note le document de la Commission, qui fait donc état d'importantes « incohérences » et de « fragmentation » du paysage juridique.
Quatre options de travail
Dans sa feuille de route, la Commission met donc 4 options sur la table : (1) le statu quo, qui laisse aux États membres le soin de poursuivre la mise en œuvre de la directive en l'état ; (2) des mesures non législatives qui pourraient notamment prendre la forme de lignes directrices dans les domaines les moins harmonisés, comme l'identification des opérateurs de services essentiels ; (3) des changements législatifs ciblés à l'actuelle directive SRI en vue de clarifier certaines dispositions et d'améliorer l'harmonisation des règles actuelles. En particulier, la Commission pourrait proposer de modifier certaines définitions, d'introduire des éléments plus harmonisés dans le processus d'identification des opérateurs de services essentiels, ou encore d'élargir le champ d'application de la directive à d'autres services ou secteurs ; (4) l'abrogation de la directive de 2016 afin de proposer de nouvelles règles plus précises et détaillées. La législation qui la remplacerait pourrait rationaliser les procédures, inclure de nouveaux secteurs ou services ainsi que prévoir de nouvelles mesures pour le partage d'informations.
Le mécanisme de retour d'information est ouvert jusqu'au 13 août 2020.
Lien vers la feuille de route : https://bit.ly/3eK9MBs (Sophie Petitjean)