Les ministres des Télécommunications des États membres de l’UE seront invités, vendredi 3 décembre, dans le cadre du Conseil ‘Télécommunications’, à arrêter leur position (‘orientation générale’) concernant les mesures destinées à garantir un niveau élevé commun de cybersécurité dans l'ensemble de l’UE (NIS 2) (EUROPE 12823/11).
Face aux préoccupations affichées de la part de plusieurs États membres au cours de l’élaboration des différentes versions du texte de compromis, plusieurs points ont été précisés.
Plusieurs États membres avaient fait part de leurs inquiétudes face à l’augmentation, jugée « significative », du nombre d’entités couvertes par le champ d’application de la directive NIS 2.
La règle générale, basée sur l’introduction du critère de taille pour les entités moyennes et grandes, a été conservée, mais des dispositions supplémentaires ont été introduites pour déterminer de manière plus claire quelles entités sont concernées par la directive.
En outre, l’inclusion de l’administration publique dans le champ d’application avait également été sujette à débat. En la matière, l’approche repose désormais, dans le texte, sur le fait que la directive NIS 2 s’appliquera aux entités faisant partie des gouvernements « centraux ». Il reviendra aux États membres de trancher quant au fait d’appliquer la directive aux administrations locales et régionales.
Suppression de l'obligation de déclaration des cybermenaces
La Présidence du Conseil de l’UE a également écouté les desiderata de plusieurs États membres concernant la clarification des clauses d’exclusion des entités actives dans le domaine de la défense ou de la sécurité nationale.
Ainsi, le texte indique que la directive ne s’applique pas aux entités qui exercent leurs activités - « exclusivement ou non » - dans les domaines de la défense ou de la sécurité nationale. Les entités actives dans les domaines de la sécurité nationale, du maintien de l’ordre, de la justice sont, elles aussi, exclues du champ d’application, tout comme les parlements et les banques centrales.
Face à l’opposition des États membres quant à la mise en place par la Commission européenne d’un examen obligatoire par les pairs, le texte, qui sera soumis aux ministres compétents le 3 décembre prochain, propose que ce procédé repose sur la « confiance mutuelle » et soit le fruit d’un « processus volontaire » de la part des gouvernements.
Enfin, l’obligation de déclaration des cybermenaces importantes a été exclue du texte de compromis, les États membres craignant que les entités concernées soient « surchargées ».
Du côté du Parlement européen, les membres de la commission de l'industrie, de la recherche et de l’énergie (ITRE), compétente sur le dossier, avaient adopté, le 28 octobre dernier, le texte porté par l’eurodéputé néerlandais Bart Groothuis (Renew Europe) (EUROPE 12822/11).
Les eurodéputés avaient également voté le même jour l'ouverture des négociations avec le Conseil de l'UE. Le mandat de négociation du Parlement européen avait été annoncé en session plénière le 10 novembre dernier.
Voir le document : https://bit.ly/3D1VhnR (Thomas Mangin)