L’activité des sociétés Internet dans l’Union européenne pourrait bientôt être soumise à de nouvelles règles en matière de sécurité informatique.
Ces dispositions devraient être inscrites dans la directive NIS (« Network and Information Security »), proposée en février 2013 à l’issue d’une consultation publique. Son objectif : renforcer la réactivité des 28 États membres et stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.
La directive NIS doit participer à la construction d’un marché unique du numérique dans l’UE. Elle constitue le troisième volet de la stratégie « Europe 2020 » au côté de l’accès Internet (très) haut débit, de l’éducation des citoyens aux nouvelles technologies ou encore de l’interopérabilité par les standards.
Les problématiques de coopération ont été abordées dès 2013 avec le lancement de l’EC3 (European Crime Centre), dans les locaux d’Europol. Il est également question de créer un Forum européen pour motiver les partenariats entre secteurs public et privé.
Parmi les autres mesures adoptées ou proposées par Bruxelles, la mise en place d’un réseau paneuropéen de CERT (Computer Emergency Response Teams), c’est-à-dire de centres d’alerte et de réaction aux attaques informatiques. Mais aussi la simulation de cyberattaques ou encore diverses initiatives pour les plus jeunes citoyens.
Essentiellement destinée à maintenir la confiance du public envers les entreprises du numérique, la NIS fait l’objet de désaccords entre États membres et autorités régulatrices sur des enjeux comme l’inclusion des plates-formes de services que sont les moteurs de recherche, les réseaux sociaux, les sites e-commerce et les fournisseurs cloud.
Le Parlement européen a suggéré d’en limiter la portée aux secteurs considérés « critiques » : énergie, transport, finance, santé, marchés financiers…
Mais après des mois de négociations, il a été décidé d’englober les plates-formes de contenus. Avec toutefois des obligations moins lourdes sur le plan financier, tout particulièrement pour celles qui n’ont « pas de lien direct avec une infrastructure physique », selon un document auquel Reuters a pu accéder et signé de Luxembourg, qui tient la présidence tournante de l’UE.
Une plate-forme fournissant un service pour le compte d’un opérateur d’infrastructure sera en revanche assujettie aux mêmes règles que cet opérateur.
Concernant le signalement des failles aux autorités compétentes, le caractère obligatoire ou facultatif de le démarche n’est pas encore défini. Les États membres auraient été conviés à une réunion en septembre pour en discuter, avant que ne commence la rédaction du texte.
Crédit photo : YAKOBCHUK VASYL – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…