Les négociateurs du Conseil de l’UE et du Parlement européen sont parvenus, après plusieurs heures de discussion lors d'un ultime volet de négociations interinstitutionnelles (‘trilogues’), jeudi 12 mai, à un accord politique provisoire concernant la révision de la directive 'NIS', qui vise à assurer un niveau élevé de cybersécurité dans l’ensemble de l’UE. La future directive 'NIS 2' (EUROPE 12903/18) devra, entre autres, permettre d’accroître les capacités de réaction aux incidents de cybersécurité dans les secteurs publics et privés.
« Les cybermenaces sont devenues plus audacieuses et plus complexes. Il était impératif d'adapter notre cadre de sécurité aux nouvelles réalités et de veiller à ce que nos citoyens et nos infrastructures soient protégés », a déclaré le commissaire chargé du marché intérieur, Thierry Breton.
« Il s'agit d'une autre percée importante de notre stratégie numérique européenne, cette fois pour garantir la protection des citoyens et des entreprises et la confiance dans les services essentiels », a complété la vice-présidente de la Commission européenne chargée de l'Europe adaptée à l’ère numérique, Margrethe Vestager.
Concrètement, l’accord provisoire sur la nouvelle directive 'NIS 2' élargit tout d'abord le champ d'application du texte. En effet, il revenait, jusqu’à maintenant, aux États membres de déterminer quelles entités doivent être qualifiées de services essentiels. À l’avenir, la directive introduira une règle signifiant que toutes les moyennes et grandes entités issues des secteurs couverts par le texte ou fournissant des services qui en relèvent tomberont dans le champ d’application de la directive.
Toutefois, le texte prévoit plusieurs exceptions, afin de garantir le principe de proportionnalité et le fait de mettre l’accent sur les entités critiques.
Longtemps débattue, la question de la non-application de la directive à certains secteurs a également été tranchée par les colégislateurs. Ainsi, les acteurs dans les domaines de la défense, de la sécurité nationale, de la sécurité publique, les services répressifs et les pouvoirs judiciaires ne seront pas contraints de se soumettre aux règles de la directive, tout comme les banques centrales et les parlements.
Le texte prévoit en revanche que les secteurs de l’énergie, de la santé, des transports, les infrastructures numériques ou les entreprises actives dans ce dernier secteur soient, comme initialement prévu, soumises aux règles de la directive 'NIS 2'.
Une marge de manœuvre pour les États membres dans certains domaines
Par ailleurs, la directive, précise le texte, s’appliquera dans les États membres à l’échelle nationale et régionale. Les États membres disposeront de marges de manœuvre et pourront choisir si la directive doit être appliquée au niveau local.
Outre la mise à jour des secteurs, activités et acteurs tombant dans son champ d’application, le nouveau texte instaure également un nouveau régime de recours et de sanctions en cas de non-respect de ses dispositions.
Par ailleurs, la mise en œuvre de la directive 'NIS 2' marquera également l’instauration officielle du réseau européen pour la préparation et la gestion de crises dans le cyberespace, qui devra servir à développer la coopération et la « gestion coordonnée » des incidents majeurs.
Enfin, plusieurs autres modifications ont été apportées par les colégislateurs au fil des trilogues. Ainsi, le texte intègre le mécanisme - volontaire - d’apprentissage par les pairs. Cet échange de bonnes pratiques et d’expériences devra permettre d’accroître la confiance mutuelle entre les États membres et les différentes parties prenantes.
Les obligations de signalement, telles que prévues dans la proposition initiale de la Commission, ont aussi été revues afin de ne pas provoquer d’effet de ‘sur-déclaration’, ce qui déboucherait de facto sur une charge importante de travail pour les entités concernées.
Enfin, le texte précise également le délai de transposition dans le droit national des États membres. Ce délai, lui aussi discuté, a été fixé à 21 mois à compter de l’entrée en vigueur du texte. (Thomas Mangin)