Parlement Européen : Cybersécurité: accord avec le Conseil sur les toutes premières règles de l'UE

Les entreprises de transport et d'énergie devront veiller à ce que l'infrastructure numérique qu'elles utilisent pour fournir des services essentiels, comme le contrôle du trafic ou la gestion des réseaux d'électricité, soit suffisamment solide pour résister aux cyberattaques, conformément aux nouvelles règles conclues lundi de manière provisoire entre les députés de la commission du marché intérieur et la présidence luxembourgeoise du Conseil des ministres de l'UE.

Les marchés en ligne comme eBay ou Amazon, les moteurs de recherche et les nuages informatiques (clouds) seront aussi tenus de garantir une infrastructure sûre.

'Aujourd'hui, nous avons franchi une étape: nous nous sommes mis d'accord sur les toutes premières règles européennes relatives à la cybersécurité, que le Parlement demande depuis des années', a affirmé le rapporteur Andreas Schwab (PPE, DE) après la conclusion de l'accord.

'Le Parlement s'est fermement battu pour une identification harmonisée des opérateurs importants en matière d'énergie, de santé ou du domaine bancaire, qui devront répondre à des mesures de sécurité et signaler les incidents informatiques importants. Les États membres devront davantage coopérer en termes de cybersécurité - ce qui est encore plus important au vu de la situation sécuritaire actuelle en Europe'.

'De plus, cette directive marque le début d'une réglementation des plateformes. Alors que la consultation de la Commission sur les plateformes en ligne se poursuit, les nouvelles dispositions prévoient déjà des définitions concrètes - une demande formulée par le Parlement depuis le début pour qu'il donne son approbation à l'inclusion des services numériques', a conclu le rapporteur.

Les services essentiels doivent être en mesure de résister aux cyberattaques

Les députés ont mis fin à la fragmentation actuelle des 28 systèmes de cybersécurité en mentionnant des secteurs - énergie, transports, banques, marchés financiers, santé et approvisionnement en eau - pour lesquels les fournisseurs de services devront garantir leur solidité afin de résister aux cyberattaques. De plus, ces entreprises doivent aussi être disposées à signaler aux autorités publiques les infractions graves à la sécurité.

Les États membres devront identifier les 'opérateurs de services essentiels' concrets de ces secteurs en utilisant divers critères: si le service est indispensable pour la société et l'économie, s'il dépend des réseaux et des systèmes d'informations, si un incident peut avoir des perturbations importantes pour le service fourni et pour la sécurité publique.

Par ailleurs, certains fournisseurs de services Internet, comme les marchés en ligne (tels eBay, Amazon), les moteurs de recherche (tels que Google) et les nuages informatiques (clouds) devront veiller à la sécurité de leur infrastructure et au signalement des incidents graves. Les micro- et petites entreprises numériques jouiront d'une exemption, selon l'accord.

Favoriser la coopération

Pour garantir un niveau de sécurité élevé dans l'ensemble de l'UE et établir la confiance entre les États membres, le projet de règles crée un groupe de coopération stratégique pour échanger des informations et les meilleures pratiques, pour élaborer des lignes directrices et pour aider les États membres en termes de renforcement des capacités de cybersécurité.

En outre, un réseau d'équipes d'intervention en cas d'incident lié à la sécurité informatique, établi dans chaque État membre pour gérer les incidents, devra être créé pour débattre des incidents de sécurité transfrontaliers et pour identifier des réponses coordonnées.

Prochaines étapes

Le texte conclu de manière provisoire doit encore être approuvé formellement par la commission du marché intérieur du Parlement et par le comité des représentants permanents du Conseil.

Note aux rédacteurs

Les systèmes d'informations, les réseaux et services essentiels, comme les services bancaires en ligne, les réseaux d'électricité ou les contrôle dans les aéroports, peuvent être touchés par des incidents de sécurité causés par des erreurs humaines, des problèmes techniques ou des attaques malveillantes. Alors que de tels incidents sont en hausse et devraient, selon les estimations de l'ENISA (Agence européenne chargée de la sécurité des réseaux et de l'information), déboucher sur des pertes annuelles de l'ordre de 260 à 340 milliards d'euros, aucune approche commune sur la sécurité et le signalement d'incidents n'existe aujourd'hui dans l'UE.

Les nouvelles règles renforceront la préparation de gestion de tels incidents et la coopération entre États membres ainsi que dans les secteurs public et privé.