Margaritis Schinas, vice-président de la Commission européenne, et Thierry Breton, commissaire au Marché intérieur, ont dévoilé les grandes lignes de la future politique européenne en matière de cybersécurité, politique qui s’appuiera en grande partie sur la directive NIS, dont la révision a été présentée mercredi.
L’UE est sur le front du numérique. Dans la foulée de la présentation de ses Digital Services Act et Digital Markets Act, la Commission européenne prépare sa nouvelle politique en matière de cybersécurité. Ou plus exactement la mise à jour de la stratégie actuelle. Dans une tribune publiée dans Sud-Ouest, Thierry Breton, commissaire au Marché Intérieur, et Margaritis Schinas, vice-président de la Commission européenne, livrent leur vision de ce que doit être l’Europe de la cybersécurité, estimant tout d’abord que l’UE “a toujours été à la pointe de la cybersécurité : c’est le premier endroit dans le monde où 27 pays ont convenu ensemble d’une approche commune, d’un cadre réglementaire pour la cybersécurité, dite directive NIS, et même d’un plan directeur de riposte aux cyberattaques de grande ampleur en Europe”
Toutefois, face à des menaces qui gagnent en puissance, notamment lors de la pandémie qui a vu les attaques contre les établissements de santé, les laboratoires et les organismes européens se multiplier, les deux Commissaires considèrent que l’Europe se doit de “renforcer ses moyens technologiques, opérationnels et politiques lui permettant de faire face à une cyberattaque d’ampleur” et appellent à la mise en place d’un cyberbouclier, lequel s’incarne dans la stratégie européenne dévoilée mercredi.
Refonte de NIS
Celle-ci se concentre sur la révision de la directive NIS de 2016, qui a entre autres défini et harmonisé les obligations en termes de cybersécurité qui s’imposent aux opérateurs de services essentiels, équivalents européens de nos opérateurs d’importance vitale, les fameux OIV. NIS2 prévoit ainsi des mesures de surveillance plus strictes ainsi que des nouvelles sanctions administratives qui tomberaient en cas de manquement aux obligations de gestion des risques de cybersécurité et de déclaration, tandis que le champ des opérateurs essentiels est élargi à huit [...]