Les ministres européens en charge des télécommunications et du numérique sont parvenus le 3 décembre 2021 à un accord sur la directive « NIS 2 » (Network and Information System Security), relative à la sécurité des réseaux et des systèmes d’information, qui vise à assurer un niveau commun élevé de cybersécurité au sein de l’Union européenne. La France aura pour charge dans les prochains mois, dans le cadre de sa présidence du Conseil, de négocier le texte avec le Parlement européen, sur la base de cette « orientation générale ».
Faire face à un risque accru
Adoptée en 2016, la directive NIS a été la première législation à l'échelle de l'Union européenne à établir des exigences minimales en matière de cybersécurité pour les entreprises et les organisations fournissant des services essentiels (SE), dont l'interruption aurait un impact significatif sur l'économie ou la société. Ces structures doivent garantir un socle minimal de garanties de sécurité au niveau de la gouvernance, de la protection et de la défense. Malgré cela, et notamment depuis le début de la pandémie de Covid-19, le risque va croissant. « Nous avons assisté à une augmentation rapide du nombre des cyberattaques visant le secteur public et le secteur privé mais aussi nos citoyens, et nous notons l'impact considérable de ces attaques sur notre société, notamment parce que nous vivons dans un monde de plus en plus numérisé. Les enjeux sont importants, et la nouvelle directive SRI jouera un rôle tout à fait significatif dans le renforcement de notre cybersécurité. Elle démontrera également que l'Europe est aux avant-postes de la législation en matière de cybersécurité », affirme Boštjan Koritnik, ministre slovène de l'administration publique.
