Cybersécurité: le Parlement adopte une nouvelle loi pour renforcer la résilience à l’échelle européenne 

Communiqué de presse 
 
 

Partager cette page: 

Le secteur de la santé devra renforcer sa résilience en matière de cybersécurité © WavebreakMediaMicro / Adobe Stock  
  • La nouvelle législation fixe des exigences plus strictes pour les entreprises, les administrations et les infrastructures 
  • Les différences entre les mesures nationales sur la cybersécurité rendent l’UE plus vulnérable 
  • De nouveaux “secteurs essentiels” sont concernés comme l’énergie, le transport, la banque, la santé 

Jeudi, les députés ont approuvé des règles plus strictes en matière de cybersécurité dans les États membres, qui devront par ailleurs harmoniser leurs sanctions.

La législation, qui a fait l'objet d'un accord entre le Parlement et le Conseil en mai, définit des obligations plus strictes dans le secteur de la cybersécurité en termes de gestion des risques, de réalisation de rapports et de partage d’informations. Ces obligations incluent la réponse aux incidents, la sécurité des chaînes d’approvisionnement, le cryptage et la divulgation de vulnérabilités, parmi d’autres dispositions.

Un plus grand nombre d’entités et de secteurs devront prendre des mesures de protection. Des “secteurs essentiels” comme l’énergie, le transport, la banque, les infrastructures digitales, les administrations publiques et le secteur de l’espace seront couverts par les nouvelles dispositions de sécurité.

Au cours des négociations, les députés ont insisté sur le besoin de règles claires et précises pour les entreprises, et pour l’inclusion du plus grand nombre possible d’entités publiques et gouvernementales dans le champ d’application de la directive.

Les nouvelles règles protègeront également des secteurs dits “importants” comme les services postaux, la gestion des déchets, les produits chimiques, l’alimentation, la fabrication de dispositifs médicaux, l’électronique, les machines, les moteurs de véhicules et les fournisseurs numériques. Toutes les entreprises de moyenne et grande taille seront soumises à cette législation.

Le texte établit également un cadre pour une meilleure coopération et un partage d’informations entre les différentes autorités et les États membres et crée une base de données européenne sur les vulnérabilités.

Citation

“Les rançongiciels et autres cyber menaces ont beaucoup trop longtemps sévi en Europe. Nous devons agir pour rendre nos entreprises, nos gouvernements et notre société plus résilients à des opérations cyber hostiles”, a déclaré le député Bart Groothuis (Renew, NL).

“Cette directive européenne va aider environ 160 000 entités à renforcer leur sécurité et à faire de l'Europe un endroit sûr où vivre et travailler. Elle permettra également le partage d'informations avec le secteur privé et les partenaires du monde entier. Si nous sommes attaqués à une échelle industrielle, nous devons réagir à une échelle industrielle”, a-t-il ajouté.

“C’est la meilleure législation en matière de sécurité adoptée sur ce continent, car elle transformera l’Europe pour lui permettre de répondre aux cyber incidents de manière proactive et orientée sur le service,” a-t-il conclu.

Prochaines étapes

Après l’approbation par le Parlement par 577 voix pour, 6 contre et 31 abstensions, le Conseil doit également adopter formellement la loi avant qu’elle ne soit publiée au Journal officiel de l’Union européenne.

Contexte

La directive sur la sécurité des réseaux et de l'information (NIS) a été le premier texte législatif de l'UE sur la cybersécurité, avec pour objectif spécifique d'atteindre un niveau commun élevé de cybersécurité dans les États membres.
Si elle a permis d'accroître les capacités des États membres en matière de cybersécurité, sa mise en œuvre s'est avérée difficile, entraînant une fragmentation à différents niveaux du marché intérieur.
Pour répondre aux menaces croissantes que représentent la numérisation et la multiplication des cyberattaques, la Commission a présenté une proposition visant à remplacer la directive NIS et à renforcer ainsi les exigences en matière de sécurité, à traiter la sécurité des chaînes d'approvisionnement, à rationaliser les obligations de déclaration et à introduire des mesures de surveillance et des exigences d'application plus strictes, y compris des sanctions harmonisées dans toute l'UE.