La directive sur la sécurité des réseaux et des systèmes d’information (SRI) a été votée par le Parlement européen ce 6 juillet 2016. A compter du mois d’août, les Etats membres auront 21 mois pour mettre leur législation nationale en conformité à cette directive.

vulnérabilité-©-Pavel-Ignatov-shutterstock-684x513

Les entreprises concernées par la directive

Cette directive est le point central de la stratégie européenne en matière de cybersécurité fixée en 2013. Elle vise à assurer un cadre commun européen avec un haut niveau de sécurité des réseaux et systèmes d’information et particulièrement d’imposer aux structures importantes et aux fournisseurs de services numériques de mettre en place des mesures appropriées pour gérer les risques de sécurité et de signaler aux autorités nationales tout incident grave.

Elle va concerner deux catégories d’acteurs du marché différentes. D’un côté les entreprises de taille très importante des secteurs de l’énergie, banque, transports, eau, santé, infrastructures numériques. De l’autre, les entreprises numériques (DSP : digital service providers) qui sont considérées comme importantes en ce qui concerne les questions de cybersécurité : place de marché en ligne, services de cloud computing, moteurs de recherche. 

Toutes les entreprises de ces secteurs, identifiées comme des entreprises qui fournissent des services essentiels selon les critères de la directive, devront prendre des mesures de sécurité appropriées et notifier les autorités en cas d’incidents importants. Toutes les entreprises de ces secteurs, identifiés comme des entreprises qui fournissent des services essentiels selon les critères de la directive, devront prendre des mesures de sécurité appropriées et notifier les autorités en cas d’incidents importants.

Mesures à mettre en place et signalement des incidents 

Ces entreprises vont ainsi devoir mettre en place un certain nombre de mesures, notamment des mesures techniques et organisationnelles adaptées au risque. Mais elles devront également prendre des mesures assurant un niveau de sécurité des systèmes d’information et des réseaux appropriés aux risques, et des mesures qui devraient prévenir et minimiser l’impact des incidents sur les systèmes informatiques utilisés pour fournir les services.

Lors de la mise en œuvre de ces mesures, les entreprises numériques vont devoir prendre en compte un certain nombre de facteurs comme la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, la surveillance ou encore le respect des normes internationales.

Les entreprises auront également l’obligation de signaler les incidents graves aux autorités nationales de leur Etat. Le seuil qui va permettre de déterminer si un incident est grave ou non n’a pas encore été déterminé, mais la directive fournit certains paramètres à prendre en compte : le nombre d’utilisateurs touchés, la durée de l’incident, la répartition géographique, l’ampleur de la perturbation du service, l’impact sur les activités économiques et sociales.
Le cadre procédural pour soutenir une notification devra être établi par les Etats membres.

Perspectives

Les Etats membres devront définir leur propre stratégie de cybersécurité en définissant des objectifs stratégiques et des politiques appropriées et en désignant quelle autorité sera compétente pour surveiller l’application de la directive.

Pour assurer une bonne coopération transfrontière entre les différentes autorités des Etats membres, un point de contact unique devra être désigné.

Ils devront également désigner un ou plusieurs centres de réponse aux incidents de sécurité informatique (CSIRT) qui sera responsable pour traiter les incidents et risques. En établissant un réseau de CSIRT, la directive entend favoriser la coopération opérationnelle rapide et efficace en matière de cybersécurité et de partage d’information des risques.

Les Etats membres ont ainsi 21 mois pour mettre leur législation nationale en conformité à cette directive. Pour que cette directive fonctionne, il faudra vérifier comment elle est mise en œuvre au niveau national et quelles sont les exigences légales existantes : dans cette perspective, l’Allemagne a déjà adopté un IT-Security Act qui reprend les exigences de la directive.

La directive va imposer un certain nombre de nouvelles obligations aux grandes entreprises et aux  entreprises numériques qui va sans doute nécessiter une adaptation de leurs systèmes et traitements existants.

DSC_0016
 
Mehdi Taieb,

Etudiant en master 2 Droit de l’économie numérique à l’Université de Strasbourg

A propos de Mehdi Taieb