L’UE crée des règles plus strictes en matière de cybersécurité
Le Parlement européen exige de ses Etats membres des mesures de surveillance et des sanctions plus strictes dans le domaine de la cybersécurité. Une directive révisée, tout juste approuvée par le Parlement européen, s'applique à davantage de secteurs et définit des exigences en matière de divulgation des cyberincidents.
Les Etats membres de l'UE vont devoir renforcer leurs lois sur la cybersécurité. C'est ce que souhaite le Parlement européen, dont les députés ont adopté une directive sur la sécurité des réseaux et de l'information (NIS). Les règles qui y sont définies exigent des pays de l'UE des mesures plus strictes ainsi que l'harmonisation des sanctions, peut-on lire dans un communiqué du Parlement européen.
La législation, qui a déjà fait l'objet d'un accord entre le Parlement et le Conseil en mai 2022, prévoit des obligations plus strictes dans le secteur de la cybersécurité en termes de gestion des risques, de réalisation de rapports et de partage d’informations. Les exigences portent notamment sur la réponse aux incidents, la sécurité des chaînes d’approvisionnement, le cryptage et la divulgation de vulnérabilités, parmi d’autres dispositions.
En outre, la loi stipule que davantage d'entreprises et de secteurs doivent prendre des mesures de protection cyber. Le communiqué indique que les dispositions relatives à la sécurité s'appliquent en particulier aux «secteurs essentiels» tels que l’énergie, le transport, la banque, les infrastructures digitales, les administrations publiques et le secteur de l’espace. Les nouvelles règles protégeront également les secteurs qualifiés d’importants, tels que les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication de dispositifs médicaux, l’électronique, les machines, les moteurs de véhicules et les fournisseurs numériques. Toutes les moyennes et grandes entreprises des secteurs concernés seront soumises à la législation.
La directive européenne vise également à améliorer la coopération et l'échange d'informations entre les autorités et les Etats membres. Il est en outre prévu de créer une base de données européenne sur les vulnérabilités. «Les rançongiciels et autres cyber menaces ont beaucoup trop longtemps sévi en Europe. Nous devons agir pour rendre nos entreprises, nos gouvernements et notre société plus résilients à des opérations cyber hostiles. Si nous sommes attaqués à une échelle industrielle, nous devons réagir à une échelle industrielle», déclare le député Bart Groothuis (Pays-Bas).
Le Parlement européen précise que les députés ont adopté le texte par 577 voix pour, 6 contre et 31 abstentions. Après l'approbation du Parlement, le Conseil doit également adopter formellement la loi.