La Commission a proposé, le 16 décembre, de ‘dépoussiérer’ son cadre règlementaire visant à protéger les infrastructures critiques non seulement des cyberattaques, mais aussi de tout autre type d'aléas, comme les pandémies et autres catastrophes naturelles.
Alors que son cadre date de plusieurs années, voire remonte aux attentats du 11 septembre 2001 aux États-Unis et ne couvre que les menaces de nature terroriste, elle a aussi proposé d’étendre la liste des infrastructures physiques devant être protégées aux seuls secteurs des transports et de l’énergie. Elle a ainsi proposé d’ajouter des domaines comme les hôpitaux, les administrations publiques ou le secteur financier.
La Commission a détecté 450 incidents de cybersécurité en 2019 ayant notamment touché la finance et l’énergie ; la semaine dernière c’est l’Agence européenne des médicaments qui a été ciblée par des cyberpirates cherchant visiblement des informations sur les autorisations du vaccin contre la Covid-19.
Récemment, c’est un hôpital de Düsseldorf qui a encore fait l’objet d’une cyberattaque, a expliqué le vice-président chargé de la promotion du Mode de vie européen, Margarítis Schinás ; ses services ayant été paralysés un moment, une femme qui devait être prise en charge rapidement par cet hôpital a trouvé la mort à cause de cette attaque, a dit le vice-président.
La proposition de directive sur la résilience des entités critiques (CER) élargit plus précisément le champ d'application de la directive de 2008 sur les infrastructures critiques européennes, laquelle ne traite que des attaques terroristes.
Dix secteurs seraient couverts par la nouvelle directive : l'énergie, les transports, les services bancaires, les infrastructures de marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, l'administration publique et l'espace.
Concrètement, chaque État membre sera appelé à mettre en place une stratégie nationale visant à garantir la résilience des entités critiques et devra procéder régulièrement à des évaluations des risques.
Les entités critiques concernées auraient aussi à faire leur propre évaluation de risques, à communiquer aux pouvoirs publics les problèmes identifiés, et devraient adopter des mesures techniques et organisationnelles pour y remédier, la directive ne précisant pas quel type de mesures.
Un groupe de résilience des entités critiques réunissant les États membres et la Commission évaluera ensuite les stratégies nationales et facilitera la coopération et l'échange de bonnes pratiques.
Les États membres devraient aussi faire en sorte que les autorités nationales disposent des pouvoirs et moyens de mener des inspections sur place. Ils devraient également prévoir des sanctions en cas de non-respect des stratégies nationales, mais la directive ne précise pas le type de sanctions.
Lien vers la directive : https://bit.ly/2Wk7SQx (Solenn Paulic)