Navigation path

Left navigation

Additional tools

Other available languages: EN DE

Commission européenne - Communiqué de presse

La Commission se félicite de l’accord visant à rendre plus sûr l'environnement en ligne dans l'Union européenne

Bruxelles, le 8 décembre 2015

Les négociateurs du Parlement européen, du Conseil et de la Commission se sont mis d'accord sur le premier acte législatif à l'échelle de l'Union en matière de cybersécurité.

Les systèmes informatiques – c'est-à-dire les ressources telles que les réseaux et les bases de données qui permettent le fonctionnement des services essentiels, des entreprises et de l’internet – sont touchés par un nombre croissant d’incidents de sécurité. Ces incidents peuvent avoir des causes diverses, notamment des défaillances techniques, des erreurs involontaires, des catastrophes naturelles ou des actes de malveillance. Ils pourraient perturber la prestation de services essentiels que nous tenons pour acquis, tels que la fourniture d'électricité, d'eau, de soins de santé ou de services de transport.

Il est prioritaire pour la Commission de contribuer à la prévention de ces incidents et, s'ils se produisent, d'y apporter la réponse la plus efficace. C’est pourquoi la Commission a présenté en 2013 une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI) dans l’Union. Le Parlement européen et la présidence luxembourgeoise du Conseil des ministres de l’Union sont parvenus, la nuit dernière, à un accord sur des règles qui:

  • améliorent les moyens disponibles en matière de cybersécurité dans les États membres;
  • renforcent la coopération des États membres en ce qui concerne la cybersécurité;
  • obligent les opérateurs qui fournissent des services essentiels dans les secteurs de l’énergie, des transports, de la banque et des soins de santé, ainsi que les fournisseurs des principaux services numériques, tels que les moteurs de recherche et les services informatiques en nuage, à prendre des mesures de sécurité appropriées et à signaler les incidents aux autorités nationales.

Andrus Ansip, vice-président de la Commission européenne pour le marché unique numérique, s'est félicité de l'accord en ces termes: «La confiance et la sécurité sont les fondements mêmes d'un marché unique numérique. Si nous voulons que les particuliers et les entreprises utilisent les services numériques connectés et en tirent le meilleur parti, il faut qu'ils puissent compter sur la sécurité de ces services en cas d’attaque ou de panne. L’internet ne connaît pas de frontières et un problème dans un pays peut avoir des répercussions dans le reste de l’Europe. C’est pourquoi nous avons besoin de solutions à l’échelle de l’Union en matière de cybersécurité. L'accord de la nuit dernière constitue un pas important dans cette direction, mais nous ne pouvons en rester là: nous prévoyons d'établir un partenariat ambitieux avec les entreprises dans les mois à venir, afin de mettre au point des produits et des services plus sûrs.»

Günther H. Oettinger, commissaire pour l'économie et la société numériques, a déclaré: «Félicitations à l'équipe de négociation du Parlement ainsi qu'à la présidence luxembourgeoise du Conseil. L'accord constitue une étape importante du processus d’amélioration de la résilience de nos réseaux et systèmes informatiques en Europe, qui est l’un des objectifs de la stratégie de l’Union en matière de cybersécurité et une priorité des efforts que nous déployons en vue de créer un marché unique numérique. Le fait de renforcer la coopération et l’échange d’informations entre les États membres est un élément clé des règles convenues et nous aidera à lutter contre le nombre croissant de cyberattaques. La cybersécurité est indispensable à l’économie et à la société numériques d'aujourd'hui en Europe, et elle reste un défi permanent. Nous continuerons à œuvrer dans ce domaine et présenterons, au cours du premier semestre de l'année 2016, une proposition visant à instaurer un partenariat public-privé en matière de cybersécurité, dans le domaine des technologies et solutions concernant la sécurité des réseaux en ligne.»

Prochaines étapes

À la suite de cet accord politique, le texte devra être formellement approuvé par le Parlement européen et le Conseil. Il sera ensuite publié au Journal officiel de l'Union européenne et entrera officiellement en vigueur. Les États membres disposeront de 21 mois pour mettre en œuvre la directive dans leur droit national et de 6 mois supplémentaires pour recenser les opérateurs fournissant des services essentiels.

La Commission exploitera ce résultat pour lancer un partenariat public-privé en matière de cybersécurité en 2016, ainsi que cela a été annoncé dans la stratégie pour un marché unique numérique en mai.

Éléments essentiels de la directive SRI

Amélioration des moyens nationaux en matière de cybersécurité

Les États membres seront tenus d’adopter une stratégie nationale en matière de SRI qui définisse les objectifs stratégiques et les mesures politiques et réglementaires appropriées en ce qui concerne la cybersécurité. Les États membres seront également tenus de désigner une autorité nationale compétente pour la mise en œuvre et l’exécution de la directive, ainsi que des équipes de réaction aux incidents touchant la sécurité informatique (CSIRT), chargées de la gestion des incidents et des risques.

Renforcement de la coopération

La directive permettra de créer un «groupe de coopération» entre les États membres afin de favoriser et de faciliter la coopération stratégique et l’échange d’informations entre les États membres et de développer la confiance entre eux. La Commission assurera le secrétariat du groupe de coopération. La directive instituera également un réseau d’équipes de réaction aux incidents touchant la sécurité informatique, dit «réseau CSIRT», afin de promouvoir une coopération opérationnelle rapide et efficace sur les incidents concrets liés à la cybersécurité et de partager les informations sur les risques. L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) assurera le secrétariat du réseau CSIRT.

L’ENISA jouera un rôle essentiel dans de nombreux aspects de la directive, notamment en ce qui concerne la coopération.

Exigences en matière de sécurité et de notification pour les opérateurs fournissant des services essentiels

Les entreprises qui jouent un rôle important pour la société et l’économie, dénommées dans la directive «opérateurs fournissant des services essentiels», seront tenues de prendre des mesures de sécurité appropriées et de notifier les incidents graves aux autorités nationales compétentes.

La directive s'appliquera aux opérateurs de ce type dans les secteurs suivants:

  • l'énergie: électricité, pétrole et gaz,
  • les transports: aérien, ferroviaire, par voie d’eau et routier,
  • les services bancaires: établissements de crédit,
  • les infrastructures de marchés financiers: plateformes de négociation, contreparties centrales,
  • la santé: prestataires de soins de santé,
  • l'eau: fourniture et distribution d’eau potable,
  • l'infrastructure numérique: points d’échange internet (qui permettent l'interconnexion entre les différents réseaux internet), prestataires de services relatifs au système des noms de domaine, registres de noms de domaine de premier niveau.

Les États membres désigneront ces opérateurs selon des critères comme le caractère essentiel du service pour le maintien de fonctions sociétales ou économiques critiques.

Exigences en matière de sécurité et de notification pour les fournisseurs de services numériques

Les entreprises importantes du secteur numérique, dénommées dans la directive «fournisseurs de services numériques», seront également tenues de prendre des mesures de sécurité appropriées et de notifier les incidents à l’autorité compétente. La directive s'appliquera aux fournisseurs suivants:

  • les marchés en ligne (qui permettent aux entreprises de créer des boutiques afin de proposer leurs produits et services en ligne),
  • les services informatiques en nuage,
  • les moteurs de recherche.

Conformément aux objectifs de la stratégie pour un marché unique numérique, la directive vise à mettre en place un ensemble d'exigences harmonisées pour les fournisseurs de services numériques, de sorte qu’ils puissent s’attendre à des règles similaires quel que soit le lieu où ils exercent leurs activités dans l’Union.

Contexte

La directive concernant la sécurité des réseaux et de l'information (SRI) était la principale proposition législative présentée dans le cadre de la stratégie de cybersécurité de l’Union de 2013 (lire le communiqué de presse et les questions et réponses lors de son annonce).

Le Parlement européen s’est prononcé en première lecture sur la proposition législative en mars 2014 (voir déclaration). Le Conseil a adopté son mandat de négociation dans le cadre de l’actuelle présidence luxembourgeoise, le 4 décembre 2015, à la suite des progrès réalisés dans le cadre de la présidence lettone (voir le communiqué de presse du Conseil). Les négociations entre les institutions ont abouti à un accord la nuit dernière.

IP/15/6270


Side Bar