Fin de ce mois de novembre, le Conseil de l’Union Européenne a adopté la nouvelle directive SRI 2 (ou NIS 2 en anglais) renforçant les exigences de résilience en matière de cybersécurité.
La directive SRI 2 vient remplacer l‘actuelle directive sur la sécurité des réseaux et des systèmes d’information (SRI 1).
Les objectifs de cette nouvelle directive sont nombreux à commencer par le renfort de la gestion des risques, des incidents et de la coopération. En effet, la directive prévoit les mesures de base de gestion des risques en cybersécurité et la liste des secteurs pour lesquels les signalements d’incidents seront une obligation.
La directive définit également les mécanismes d’une coopération efficace entre les autorités nationales compétentes de chaque État membre.
La directive instaure également le réseau européen d’organisation de liaison en cas de crises de cybersécurité (UE-CyCLONE).
La directive prévoit un élargissement du champ d’application de la directive. Là où auparavant les États membres devaient eux-mêmes qualifier les opérateurs de services essentiels, la nouvelle directive guide plus encore les États membres : « Cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d’application ».
Concrètement, la directive propose des dispositions supplémentaires pour une meilleure proportionnalité et un niveau plus élevé de gestion des risques. Le champ d’application exclut néanmoins les domaines de la défense ou sécurité nationale, la sécurité publique, l’application des lois ainsi que les parlements et les banques centrales.
A noter attentivement que cette directive s’aligne sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) pour une cohérence textuelle importante au sein de l’Union.
SRI 2 prévoit enfin un mécanisme d’apprentissage volontaire par les pairs afin d’augmenter de manière commune la résilience en cybersécurité des divers acteurs dans l’Union.
Prochaines étapes ? La publication au JO de l’Union Européenne, l’entrée en vigueur officielle du texte (20 jours après la publication au JO) puis les États membres auront 21 mois pour intégrer les dispositions dans le droit national.
Consultez ici le communiqué du Conseil de l’UE : L’UE décide de renforcer la cybersécurité et la résilience dans l’ensemble de l’Union: adoption d’une nouvelle directive par le Conseil ; Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148
La proposition de remboursement par les assureurs des pertes et dommages résultant des cyberattaques, introduite par le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOMPI) a été à nouveau modifiée par les députés en procédure accélérée !
Les conditions d’octroi de garantie, qui seront imposées par le nouvel article L. 12-10-1 du Code des assurances, se trouvent ainsi allégées et clarifiées par rapport à celles qui avaient été adoptées par le Sénat en octobre dernier.
En effet, le remboursement visera tout d’abord à indemniser les assurés victimes, personnes physiques ou morales agissant dans le cadre de leur activité professionnelle, suite à une atteinte à un système de traitement automatisé de données qualifié ainsi par le Code pénal.
Il sera subordonné ensuite :
Une commission mixte paritaire doit à présent se réunir pour tenter de trouver un compromis sur le projet de texte.
Les dispositions du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOMPI) visant à encadrer les conditions de remboursement par les assureurs de risques cyber des rançons payées par leurs assurés à l’occasion d’une cyberattaque (article 4) ont été adoptées le 18 octobre dernier en première lecture du texte au Sénat.
A noter que ces dispositions ont connu de vives oppositions, fondées essentiellement sur la politique traditionnellement adoptée par les autorités, de refuser le paiement des rançons à des cyber attaquants, afin de ne pas encourager le développement de tout un système parallèle de criminalité.
Ainsi, à ce stade, en l’état des amendements qui ont été adoptées au Sénat sur ces dispositions, le remboursement des rançons des cyberattaques par les organismes assurant ce risque ne sera servi à la victime assurée que sous la condition du dépôt par cette dernière d’une pré-plainte auprès des autorités compétentes au plus tard dans le délai de 24 heures suivant l’attaque et avant tout paiement de la rançon.
A l’origine, il était envisagé que ce remboursement n’intervienne que sous conditions du dépôt d’une plainte dans les 48 heures au plus tard après le paiement de la rançon.
Consultez ici l’intégralité du document : Projet de loi d’orientation et de programmation du ministère de l’intérieur adopté en première lecture au Sénat (18 oct. 2022)
La nouvelle est presque passée inaperçue… Depuis le 2 juin 2022, notre arsenal juridique est doté d’un Code de la cybersécurité.
Cet ouvrage concentre ainsi à lui seul l’ensemble des textes nationaux, européens et internationaux applicables en la matière, articulés autour des 3 axes suivants :
Le 15 septembre, la Commission Européenne a officiellement présenté un nouvel acte législatif. Celui, traitant de la cyber-résilience, a pour objectif de protéger les consommateurs mais aussi les entreprises qui investissent dans des produits et logiciels, sans garanties de sécurité suffisantes.
En effet, les produits numériques et connectés se multiplient, augmentant par conséquent, la vulnérabilité de nos entreprises. Un incident de sécurité atteignant un produit peut avoir de graves conséquences sur toute une chaîne d’approvisionnement.
Pour ces raisons, il est naturel que les acteurs européens (consommateurs comme entreprises) réclament des normes et des exigences adaptées au marché unique européen afin d’être plus sûrs des produits et services numériques présent sur notre marché européen.
Ce futur texte permettrait de rendre obligatoire certaines exigences de cybersécurité applicables aux produits comportant des éléments numériques et ce, sur l’ensemble de son cycle de vie. Il permettra également de responsabiliser les fabricants qui devront répondre à ces normes avant et pendant la mise sur le marché, de leurs produits.
Cela revient à exiger, dès la conception d’un produit numérique, la prise en compte automatique de la cyber-résilience et donc la mise en place de mesures de sécurité robustes et adéquates. Certains appellent déjà cela « cyber by design » ou « security by design ».
Prochaines étapes ? L’examen du texte par le Parlement et le Conseil européen afin d’adopter ou de modifier le texte avant sa rédaction définitive. Après son adoption, les acteurs économiques et les états membres auront deux ans pour se mettre en conformité, tandis que les fabricants seront tenus à des délais plus courts.
Consultez ici l’intégralité du communiqué : Etat de l’Union, de nouvelles règles en matière de cybersécurité pour des produits matériels et logiciels plus sécurisés
Le PLF présenté lundi 26 septembre, reprend de manière importante le projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) de mars dernier.
En effet, un des objectifs principaux était de moderniser les moyens de lutte contre la cybercriminalité. Il prévoyait également la dématérialisation totale des procurations électorales ainsi que de nouveaux outils numériques pour les forces de l’ordre.
Il prévoyait également, d’encadrer le versement des rançons aux cybercriminels. Pour que l’assurance rembourse l’entreprise victime d’une cyberattaque, celle-ci devra porter plainte dans les 48 heures. Proposition qui semble ne pas avoir été reprise dans le projet de loi.
Le projet de loi prévoit également une nouvelle agence du numérique des forces de sécurité serait mise en place début 2023 et sera en charge du pilotage des moyens de communication des forces de l’ordre.
Enfin, le budget 2023 prévoit également la mise en place de moyens pour faire appliquer le Digital Service Act (DSA) en augmentant les moyens de l’ARCOM, en créant de nouveaux postes pour le Comité Consultatif National d’Ethique (CCNE) qui va créer un comité relatif à l’éthique du numérique de l’IA. La CNIL, elle sera gratifiée d’emplois supplémentaires au regard de sa croissance.
Consultez l’article et le communiqué : Budget 2023 : la cybersécurité au cœur des investissements numériques de l’État
