chronique

L'Europe se dote d'un nouvel outil pour assurer la cybersécurité

Partner - Avocat McGuireWoods LLP

Le projet de directive dite "cybersécurité" a pour but d'assurer un niveau élevé de sécurité des réseaux et des systèmes d'information sur le territoire de l'union européenne.

Fin décembre 2015, le Conseil et le Parlement européens sont parvenus à un accord sur le projet de directive dite "cybersécurité". Le texte final devrait être adopté vers la fin de ce premier trimestre. Suite à l’accord intervenu, le projet de directive ne peut plus être modifié. Il doit cependant encore être toiletté.

Le but de cette directive est d’assurer un niveau élevé de sécurité des réseaux et des systèmes d’information sur le territoire de l’Union européenne. En conséquence, la directive impose aux États membres de créer une stratégie en matière de cybersécurité, ceci avec le concours de l’Agence européenne de cybersécurité (Enisa).

©Reuters

Elle organise également un système de coopération entre des autorités nationales chargées de la cybersécurité et impose certaines obligations aux opérateurs considérés comme critiques en matière de cybersécurité.

Les opérateurs concernés

Cette régulation s’adresse à deux grandes familles d’opérateurs: certains opérateurs de services considérés comme essentiels (Opérateurs de services essentiels) et certains fournisseurs de services numériques.

Les Opérateurs de services essentiels concernés appartiennent à sept secteurs d’activités:

- L’énergie: c’est-à-dire notamment les entreprises de production, distribution et stockage d’électricité, produits pétroliers et gaz;

- Le transport: c’est-à-dire les entreprises qui assurent le transport aérien, ferroviaire, fluvial, maritime et routier ou qui en assurent la gestion (aéroports, ports, etc.);

- Les banques;

- Les infrastructures de marchés financiers: les Bourses de valeurs, les contreparties centrales et les chambres de compensation;

- Le secteur de la santé: les établissements de soins de santé et autres entités fournissant des soins de santé;

- La production et la distribution d’eau potable (à l’exclusion des entreprises dont la distribution d’eau est une partie seulement de leur activité générale de distribution d’autres produits);

- Les infrastructures numériques: les points d’échange Internet (IXP), les fournisseurs de système de noms de domaine (DNS service providers), les organismes d’enregistrement des noms de domaine de premier niveau.

Le projet de directive dite "cybersécurité" a pour but d'assurer un niveau élevé de sécurité des réseaux et des systèmes d'information sur le territoire de l'Union européenne.

Il appartiendra toutefois aux autorités nationales de dresser la liste précise des entreprises concernées parmi ces sept secteurs. Cette liste sera établie compte tenu de certains critères, comme par exemple la part de marché, qui détermineront le niveau critique d’un Opérateur de service essentiel.

Trois types de fournisseurs de services numériques sont quant à eux concernés:

- Les plateformes de commerce électronique;

- Les moteurs de recherche;

- Les services de cloud computing.

Les petites ou micro-entreprises qui fournissent ces services numériques sont toutefois exclues du champ d’application de la directive.

Quelles obligations?

En substance, les deux obligations essentielles qui s’imposeront aux opérateurs concernés par la directive sont:

- Le maintien d’un niveau de protection adéquat de leur réseau et système d’information;

- La notification, sans délai, à l’autorité nationale compétente de tout incident ayant un impact significatif sur la continuité des services offerts.

Concernant la seconde obligation, il est indifférent que l’incident concerne ou non des données personnelles. Le cas échéant, si l’incident concerne des données personnelles, une autre notification sera nécessaire sur la base de la réglementation applicable en cette matière.

©REUTERS

À défaut de remplir ces obligations, des sanctions effectives, proportionnées et dissuasives pourront s’appliquer. Il appartiendra à chaque État membre de décider de l’arsenal des sanctions.

S’agissant d’une directive, celle-ci devra encore être transposée en droit national par chaque État membre. Pour ce faire, ceux-ci disposeront de 21 mois à compter de l’entrée en vigueur de la directive.

À cet égard, rien n’empêche un État membre d’adopter ou de maintenir des règles plus strictes que celles de la directive.

Par Paul Van den Bulck
Avocat aux barreaux de Bruxelles et Paris, associé McGuireWoods

Lire également

Messages sponsorisés