Les ministres des Télécommunications des États membres de l’UE ont arrêté une position commune ('orientation générale'), vendredi 3 décembre, concernant la révision de la directive portant sur un niveau commun élevé de cybersécurité au sein de l’UE (NIS 2) (EUROPE 12842/3).
« Les enjeux sont élevés, et la nouvelle directive NIS2 jouera un rôle très important dans le renforcement de notre cybersécurité. Elle montrera également que l'Europe est un leader en matière de législation sur la cybersécurité », a déclaré le ministre slovène de l’administration publique, Boštjan Koritnik.
Ce texte, auquel une très large majorité des États membres a affiché son soutien, doit permettre, en misant sur la coopération, d’améliorer la capacité de l’UE à faire face aux incidents de cybersécurité et à améliorer la résilience.
Dans le détail, la liste des entités entrant dans le champ d’application du texte a été revue à la hausse pour inclure certains domaines, comme le transport, qui n’étaient pas couverts jusque là. En outre, le texte prévoit également qu’un critère de taille serve de plafond pour définir quelles entités entreront dans le champ d'application. Cette charge revient, dans les règles européennes actuelles, aux États membres.
Par ailleurs, certaines entités seront exclues du champ d’application, à l’image de celles actives dans les domaines de la défense ou de la sécurité nationale. Les administrations publiques seront couvertes à l’échelle nationale. Il reviendra aux États membres de décider de l’application - ou non - du texte pour les administrations locales et régionales.
Néanmoins, certains points devront encore être précisés lors des futures négociations interinstitutionnelles.
« Notre système de santé a été attaqué en mai 2021, nous avons rapidement compris que la coopération était vitale. Mais nous devons peaufiner le libellé. La directive NIS2 doit fonctionner sur le terrain et ne pas être une source de friction à l’avenir », a résumé le ministre irlandais chargé de l’Administration en ligne, Ossian Smyth.
Éviter les surcharges administratives
Lors des échanges publics entre les ministres, la question de la surcharge administrative - et des coûts potentiels - est également souvent revenue.
« Élargir le champ d’application représente une charge supplémentaire pour les États membres. Quand on pèse le pour et le contre, on se rend compte qu’il va falloir chiffrer les coûts », a déclaré la secrétaire d’État allemande chargée du Numérique et de l’innovation, Elisabeth Winkelmeier-Becker.
« Dans le cadre des futures discussions, il sera important de ne pas imposer de charges administratives disproportionnées aux États membres. Je pense notamment aux plus petits, avec des ressources limitées », a abondé le ministre letton du Développement régional, Artūrs Toms Plešs.
À ce titre, certains pays, comme la Pologne, ont appelé à une réflexion sur la mise en œuvre d’un « mécanisme financier » pour « soutenir les efforts » nationaux. « Sans les financements requis, la directive NIS 2 ne fonctionnera pas. Il revient aux États membres d’assurer la sécurité, mais c’est une question paneuropéenne », a souligné le sous-secrétaire d’État polonais chargé du Numérique, Janusz Cieszyński.
Par ailleurs, une très large majorité d'États membres ont insisté sur la nécessité, pour eux, de conserver une importante marge de manœuvre pour tenir compte des spécificités et des cadres nationaux existants.
« La directive ne doit pas empêcher les États membres de prendre certaines mesures nécessaires, pour protéger leur sécurité nationale, par exemple », a insisté le ministre suédois du Numérique, Khashayar Farmanbar.
Du côté du Parlement européen, les membres de la commission de l'industrie, de la recherche et de l’énergie (ITRE) avaient adopté, le 28 octobre, le projet de rapport de Bart Groothuis (Renew Europe, néerlandais) sur le niveau commun élevé de cybersécurité (EUROPE 12822/11). Le mandat du PE en vue des négociations avait également été adopté le même jour. (Thomas Mangin)