Margaritis Schinas, vice-président de la Commission européenne, et Thierry Breton, commissaire au Marché intérieur, ont dévoilé les grandes lignes de la future politique européenne en matière de cybersécurité, politique qui s’appuiera en grande partie sur la directive NIS, dont la révision a été présentée mercredi.
L’UE est sur le front du numérique. Dans la foulée de la présentation de ses Digital Services Act et Digital Markets Act, la Commission européenne prépare sa nouvelle politique en matière de cybersécurité. Ou plus exactement la mise à jour de la stratégie actuelle. Dans une tribune publiée dans Sud-Ouest, Thierry Breton, commissaire au Marché intérieur, et Margaritis Schinas, vice-président de la Commission européenne, livrent leur vision de ce que doit être l’Europe de la cybersécurité, estimant tout d’abord que l’UE “a toujours été à la pointe de la cybersécurité : c’est le premier endroit dans le monde où 27 pays ont convenu ensemble d’une approche commune, d’un cadre réglementaire pour la cybersécurité, dite directive NIS, et même d’un plan directeur de riposte aux cyberattaques de grande ampleur en Europe”.
Toutefois, face à des menaces qui gagnent en puissance, notamment lors de la pandémie qui a vu les attaques contre les établissements de santé, les laboratoires et les organismes européens se multiplier, les deux Commissaires considèrent que l’Europe se doit de “renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur” et appellent à la mise en place d’un cyberbouclier, lequel s’incarne dans la stratégie européenne dévoilée mercredi.
Refonte de NIS
Celle-ci se concentre sur la révision de la directive NIS de 2016, qui a entre autres défini et harmonisé les obligations en termes de cybersécurité qui s’imposent aux opérateurs de services essentiels, équivalents européens de nos opérateurs d’importance vitale, les fameux OIV. NIS2 prévoit ainsi des mesures de surveillance plus strictes ainsi que des nouvelles sanctions administratives qui tomberaient en cas de manquement aux obligations de gestion des risques de cybersécurité et de déclaration, tandis que le champ des opérateurs essentiels est élargi à huit nouvelles catégories d’acteurs incluant les services postaux ou encore l’industrie pharmaceutique. “Nous proposons donc d’étendre et de renforcer les obligations des acteurs économiques autour de règles communes et harmonisées, en particulier pour assurer la sécurisation des chaînes de valeurs, comme celle par exemple de la fabrication des vaccins, des centres de données, ou des entreprises de télécoms” souligne le duo de commissaires.
Globalement, la refonte de la directive comprend des “exigences de sécurité renforcées avec une liste de mesures ciblées comprenant la réponse aux incidents et la gestion des crises, la gestion et la divulgation des vulnérabilités, les tests de cybersécurité et l'utilisation efficace du chiffrement” ainsi que la sécurisation des supply chains et de nouvelles obligations quant aux rapports d’incidents. Et, surtout, la direction d’une entreprise sera tenue pour responsable du respect des obligations de mise en place de mesures de gestion des risques.
Réseaux et coordination
En résumé, un tour de boulon dans le sens d’une responsabilisation des entreprises quant aux enjeux de cybersécurité. Outre NIS2, Margaritis Schinas et Thierry Breton insistent sur le rôle que l’intelligence artificielle doit jouer dans la détection en amont d’une attaque des signaux faibles, fixant un objectif : réduire à quelques minutes le temps de détection d’une intrusion. Ce pourquoi l’UE lancera “un réseau européen de centres opérationnels interconnectés (SOC)”, ou “gardes-frontières cyber” selon les commissaires.
Enfin tous deux appellent au renforcement de la coopération opérationnelle au niveau européen, déplorant des États qui avancent en ordre dispersé. Si l’Enisa est en charge de l’accompagnement des États sur les questions de cybersécurité, la directive NIS2 compte également s’appuyer sur la mise en place prochaine de CyClone, réseau des agences de cybersécurité européennes, qui aura pour mission de “soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau de l'UE”.