Le Parlement européen a annoncé un « accord provisoire » visant à améliorer la cybersécurité et la résilience des entités des secteurs public et privé de l’Union européenne.
La directive révisée, intitulée « NIS2 » (abréviation de réseaux et systèmes d’information), devrait remplacer le législation existante sur la cybersécurité qui a été créé en juillet 2016.
La refonte établit des règles de base, obligeant les entreprises des secteurs de l’énergie, des transports, des marchés financiers, de la santé et des infrastructures numériques à respecter les mesures de gestion des risques et les obligations de déclaration.
Parmi les dispositions de la nouvelle législation figurent le signalement des incidents de cybersécurité aux autorités dans les 24 heures, la correction des vulnérabilités logicielles et la préparation de mesures de gestion des risques pour sécuriser les réseaux, faute de quoi des sanctions pécuniaires peuvent être encourues.
« La directive établira officiellement le réseau européen d’organisations de liaison pour les crises cybernétiques, EU-CyCLONe, qui soutiendra la gestion coordonnée des incidents de cybersécurité à grande échelle », a déclaré le Conseil de l’Union européenne. mentionné dans un communiqué la semaine dernière.
Le développement suit de près les plans de la Commission européenne visant à « détecter, signaler, bloquer et supprimer » les images et vidéos d’abus sexuels sur des enfants des fournisseurs de services en ligne, y compris les applications de messagerie, ce qui fait craindre qu’il ne sape les protections de chiffrement de bout en bout (E2EE) .
Le projet de version de NIS2 précise explicitement que l’utilisation d’E2EE « devrait être conciliée avec les pouvoirs des États membres d’assurer la protection de leurs intérêts essentiels de sécurité et de la sécurité publique, et de permettre la recherche, la détection et la poursuite d’infractions pénales dans le respect avec le droit de l’Union. »
Il a également souligné que « les solutions d’accès légal aux informations dans les communications cryptées de bout en bout devraient maintenir l’efficacité du cryptage dans la protection de la confidentialité et de la sécurité des communications, tout en offrant une réponse efficace à la criminalité ».
Cela dit, la directive ne s’appliquera pas aux organisations dans des secteurs verticaux tels que la défense, la sécurité nationale, la sécurité publique, l’application de la loi, la justice, les parlements et les banques centrales.
Dans le cadre de l’accord proposé, les États membres de l’Union européenne sont mandatés pour intégrer les dispositions dans leur législation nationale dans un délai de 21 mois à compter de l’entrée en vigueur de la directive.
« Le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents de cybersécurité augmentent et représentent une menace majeure pour le fonctionnement des réseaux et des systèmes d’information », a noté le Conseil dans le projet.
« La préparation et l’efficacité de la cybersécurité sont donc plus que jamais essentielles au bon fonctionnement du marché intérieur. »