Cybersécurité : l’Europe élargit ses exigences à plus de secteurs

Les députés européens et le Conseil des ministres de l’Union viennent de se mettre d’accord sur les secteurs où le Vieux Continent imposera ses exigences en matière de sécurité informatique, la fameuse future directive NIS (Network and Information Security). Et celle-ci a de quoi rappeler largement l’approche adoptée par la France en matière de de cybersécurité pour les opérateurs d’infrastructures vitales (OIV).

De fait, s’il n’est pas question d’OIV à l’échelle européenne, le sujet touche les « opérateurs de services essentiels ». Sans surprise, les secteurs de l’énergie et des transports ou encore de l’approvisionnement en eau sont concernés. Mais, comme le laisse imaginer une terminologie relativement large – et laissant d’ailleurs latitude aux Etats membres de définir quels sont les opérateurs concernés –, d’autres secteurs le sont aussi : banques, marchés financiers, santé, mais également certains services en ligne, comme les places de marché, les moteurs de recherche ou encore les Cloud. eBay, Amazon et Google sont explicitement mentionnés.

Tous les acteurs concernés « devront veiller à la sécurité de leur infrastructure et au signalement des incidents graves ». Toutefois, « les micro- et petites entreprises numériques jouiront d’une exemption ».

Le projet de directive prévoit en outre la création d’un groupe de coopération stratégique entre Etats membres pour l’échange d’informations et de pratiques de référence, mais également l’élaboration de « lignes directrices ». Au programme également, la mise en place d’un « réseau d’équipes d’intervention en cas d’incident lié à la sécurité informatique », dans chacun des Etats membres.

Le projet de directive doit encore passer entre les mains de la commission du marché intérieur du Parlement et celles du comité des représentants permanents du Conseil.