On se dirige vers une entrée en vigueur au mois d’août pour la directive NIS.
Une étape supplémentaire a été franchie cette semaine avec l’adoption, en première lecture au Conseil de l’Europe, de ce texte qui doit participer à la construction d’un marché unique du numérique dans l’UE.
Troisième volet de la stratégie « Europe 2020 » aux côtés de l’accès Internet (très) haut débit, de l’éducation des citoyens aux nouvelles technologies ou encore de l’interopérabilité par les standards, cette directive « Network and information security » avait émergé début 2013 à l’issue d’une consultation publique.
Elle a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.
Outre la mise en place d’un réseau paneuropéen de CERTs (« Computer Emergency Response Teams, c’est-à-dire des centres d’alerte et de réaction aux attaques informatiques), il est question d’obliger certaines organisation du privé et du public à signaler aux autorités nationales compétentes les incidents de sécurité majeures dont elles sont victimes.
Sont concernés, en premier lieu, les secteurs considérés comme « critiques » : énergie, transport, banque, santé, marchés financiers… Il appartiendra à chaque École de déterminer quels acteurs entreront dans cette catégorie des OIV (opérateurs d’importance vitale).
Tomberont aussi sous le coup de la NIS – avec néanmoins des obligations moins lourdes – les « plates-formes de contenus et services » que sont les moteurs de recherche, les fournisseurs cloud et les sites e-commerce.
Les TPE et les micro-entreprises de ce secteur en sont exemptées… au même titre que les réseaux sociaux, dont Facebook et Twitter.
Le texte va être transmis au Parlement européen, qui devrait l’examiner à l’occasion de sa session plénière du 4 au 7 juillet prochains.
Les États membres auront 21 mois à compter de l’entrée en vigueur du texte pour le transposer dans leur législation nationale. Six mois supplémentaires leur sont accordés pour désigner les OIV (concernant les sociétés du numérique, le droit qui s’appliquera sera celui du pays où se trouve leur siège européen).
La Commission européenne a préparé le terrain : une première réunion informelle avec les représentants des États membres et l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) est prévue pour le 14 juin.
Crédit photo : Dreamstudios – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…