La Présidence portugaise du Conseil de l’UE a présenté aux États membres, le 21 juin dernier, son texte de compromis concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (EUROPE 12734/10).
En outre, le texte met l’accent sur la coopération entre l’UE et les autorités nationales. Ainsi, le document plaide en faveur de relations accrues entre le Computer Security Incident Response Team (CSIRT) et ses équivalents nationaux afin de favoriser les échanges d’informations.
Le document de la Présidence portugaise du Conseil de l’UE appelle également à la cohérence en matière d’approche concernant les liens entre cybersécurité et sécurité physique des entités. Ainsi, les États membres devraient veiller à ce que les entités critiques - et les entités équivalentes - soient considérées comme des entités essentielles.
Parmi elles figurent, entre autres, les entités financières ou les fournisseurs de services de technologies de l’information et de la communication. Les États membres devront veiller à ce que les autorités compétentes communiquent entre elles et soient informées des mesures prises en réponse aux incidents.
Toujours au chapitre de la coopération, le texte souhaite aller plus loin et pousser les États membres à prévoir « un cadre politique pour une coordination renforcée entre les autorités compétentes ».
L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) pourrait, pour sa part, également élaborer des documents d’orientation afin de faciliter l’harmonisation, la transition et éviter les perturbations.
Dans un souci de clarté, le document de la Présidence portugaise propose que les entités telles que les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de confiance soient inclus dans le champ de cette nouvelle directive. Cette procédure abrogerait le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (910/2014) et la directive portant sur le code des communications électroniques européen (2018/1972).
Par ailleurs, la nouvelle version du texte de compromis indique désormais que le transfert de données à caractère personnel vers un pays tiers ou une organisation internationale peut être nécessaire dans certains cas, comme lorsqu’une menace ou un incident serait susceptible d’avoir « un impact significatif sur la prestation de services ».
Voir le texte de compromis : https://bit.ly/3h2TTK6 (Thomas Mangin)