Le Parlement européen et le Conseil de l’Union européenne (UE) ont adopté le 6 juillet 2016 la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ». Celle-ci positionne l’UE en pointe en matière de cybersécurité, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi).
La directive prévoit:
– le renforcement des capacités nationales de cybersécurité. Les État membres devront notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. En France, il s’agit de l’Anssi, du Cert-FR, de la stratégie nationale pour la sécurité numérique;
– l’établissement d’un cadre de coopération volontaire entre États membres de l’UE via la création d’un « groupe de coopération » des États membres sur les aspects politiques de la cybersécurité; d’un « réseau européen des CSIRT » des États membres pour faciliter le partage d’informations techniques sur les risques, vulnérabilités;
– le renforcement par chaque État de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société via la définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer; l’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels;
– l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.
