Dans un communiqué commun publié le 13 mai 2022, le Conseil de l’Union européenne et le Parlement européen on dévoilé les contours d’un nouvel accord (le SRI 2) sur des mesures destinées à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union.

La directive SRI 2 doit permettre de faire face à l’exposition croissante de l’Europe aux cybermenaces

Avec cette nouvelle directive, les deux institutions espèrent améliorer encore un peu plus la résilience et les capacités de réaction des entités européennes, aux incidents du secteur public comme du secteur privé et de l’Union dans son ensemble. Ce texte baptisé « SRI 2 », remplacera l’actuelle directive sur la sécurité des réseaux et des systèmes d’information (la directive SRI). Selon le communiqué de presse du Conseil et du Parlement européen, « la directive révisée concourt à la réduction des divergences au niveau des exigences en matière de cybersécurité ».

Concrètement, cette nouvelle version de la directive SRI va permettra une mise à jour de la liste des secteurs et des activités encadrées. Elle prévoit également « des voies de recours et des sanctions pour assurer sa bonne mise en œuvre ». L’idée est que l’ensemble des États membres soient sur le même niveau de protection, en fixant des règles minimales en matière de réglementation et en renforçant les mécanismes d’une coopération efficace entre les autorités nationales compétentes. Le texte doit également permettre l’instauration du réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe).

Une nouvelle avancée importante pour la stratégie numérique européenne

Selon Margrethe Vestager, Commissaire européen à la Concurrence et spécialiste des questions liées a numérique, « nous avons travaillé sans relâche à la transformation numérique de notre société. Au cours des derniers mois, nous avons mis en place un certain nombre d’éléments fondamentaux, tels que la législation sur les marchés numériques et la législation sur les services numériques. Et aujourd’hui, les États membres et le Parlement européen sont parvenus à un accord sur la directive SRI 2. Il s’agit d’une nouvelle avancée importante de notre stratégie numérique européenne, qui garantira la protection des citoyens et des entreprises et renforcera leur confiance dans des services essentiels ».

Avec l’ancienne directive SRI, les États membres étaient chargés de déterminer « quelles entités remplissaient les critères pour être qualifiées d’opérateurs de services essentiels ». Cette nouvelle version va permettre une évolution importante : la nouvelle directive SRI 2 introduit une règle associée à un plafond. Selon le communiqué de presse, cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive (comme l’énergie, les transports, la santé, les infrastructures numériques ou encore les entreprises de la tech), ou fournissant des services qui en relèvent entreront dans son champ d’application.

Ce texte ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, les services répressifs et le pouvoir judiciaire. Il semblerait que les banques centrales soient également exclues du champ d’application de la directive SRI 2. En revanche, les administrations publiques, souvent prises pour cible pour les groupes de cybercriminels (comme c’est actuellement le cas au Costa Rica), sont concernées par la mise à jour de la directive. Une fois approuvée, les États membres disposeront d’un délai de 21 mois pour en intégrer les dispositions dans leur droit national.