You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
Fin de ce mois de novembre, le Conseil de l’Union Européenne a adopté la nouvelle directive SRI 2 (ou NIS 2 en anglais) renforçant les exigences de résilience en matière de cybersécurité.
La directive SRI 2 vient remplacer l‘actuelle directive sur la sécurité des réseaux et des systèmes d’information (SRI 1).
Les objectifs de cette nouvelle directive sont nombreux à commencer par le renfort de la gestion des risques, des incidents et de la coopération. En effet, la directive prévoit les mesures de base de gestion des risques en cybersécurité et la liste des secteurs pour lesquels les signalements d’incidents seront une obligation.
La directive définit également les mécanismes d’une coopération efficace entre les autorités nationales compétentes de chaque État membre.
La directive instaure également le réseau européen d’organisation de liaison en cas de crises de cybersécurité (UE-CyCLONE).
La directive prévoit un élargissement du champ d’application de la directive. Là où auparavant les États membres devaient eux-mêmes qualifier les opérateurs de services essentiels, la nouvelle directive guide plus encore les États membres : « Cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d’application ».
Concrètement, la directive propose des dispositions supplémentaires pour une meilleure proportionnalité et un niveau plus élevé de gestion des risques. Le champ d’application exclut néanmoins les domaines de la défense ou sécurité nationale, la sécurité publique, l’application des lois ainsi que les parlements et les banques centrales.
A noter attentivement que cette directive s’aligne sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) pour une cohérence textuelle importante au sein de l’Union.
SRI 2 prévoit enfin un mécanisme d’apprentissage volontaire par les pairs afin d’augmenter de manière commune la résilience en cybersécurité des divers acteurs dans l’Union.
Prochaines étapes ? La publication au JO de l’Union Européenne, l’entrée en vigueur officielle du texte (20 jours après la publication au JO) puis les États membres auront 21 mois pour intégrer les dispositions dans le droit national.
Consultez ici le communiqué du Conseil de l’UE : L’UE décide de renforcer la cybersécurité et la résilience dans l’ensemble de l’Union: adoption d’une nouvelle directive par le Conseil ; Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre
You need to be logged in to view this content. Veuillez Log In. Not a Member? Nous Rejoindre