La Présidence slovène du Conseil de l’Union européenne a bouclé, lundi 13 septembre, la nouvelle version du texte de compromis concernant le champ d’application de la directive 'NIS2' (EUROPE 12752/4), qui doit servir à promouvoir une harmonisation accrue et un niveau plus élevé de cybersécurité dans l’Union.
La Présidence du Conseil met notamment l'accent sur la notion de taille, dans ce document dont EUROPE a obtenu copie. Si rien ne change en termes de plafond de taille pour les grandes entités, différentes modifications ont été introduites concernant les entités de taille moyenne.
Le texte propose que toutes les grandes entités, les entités ayant été identifiées comme critiques ainsi que les réseaux de communication publics, les prestataires de services de confiance ou encore les entités en situation de monopole et fournissant des services essentiels dans un État membre soient considérés comme essentiels.
Les États pourraient, sur base de différents critères comme les risques systémiques ou l’impact qu’une perturbation pourrait avoir sur la sécurité ou la santé publique, considérer de moyennes, petites ou micro-entités comme essentielles.
Pour que les petites et micro-entités répondant à certains critères indiquant un rôle clé pour l’économie ou la société soient couvertes par la directive, la Présidence slovène émet l’idée d’une liste établie par les États membres et transmise à la Commission européenne, dans laquelle seraient spécifiés leur type, leur taille et, lorsque ceci est conforme aux règles de sécurité nationale, leur nom.
De manière plus large, la Présidence du Conseil propose également que les États membres mettent en place des mécanismes d’enregistrement nationaux des entités afin de garantir « une vue d’ensemble claire ».
« Ces registres devraient également inclure les entités de l'administration publique auxquelles la présente directive s’applique », précise le document de compromis.
Enfin, si les principes de surveillance ex ante et ex post des entités importantes et essentielles ont été conservés en l’état, l’approche du Conseil introduit une surveillance basée sur la priorisation et le risque.
Cela permettrait aux autorités compétentes de hiérarchiser et de sélectionner les actions et moyens de surveillance dont elles disposent, tels que le nombre, la fréquence ou le type d'inspections ou d’audits réalisés sur site.
Les différentes méthodes de surveillance définies pourraient faire l'objet d’évaluations et de réexamens réguliers, notamment en ce qui concerne l'affectation des ressources et les besoins.
Voir le texte de compromis : https://bit.ly/3loQyWw (Thomas Mangin)