L’importance des réseaux et des systèmes informatiques pour assurer une circulation transfrontière efficace des biens, des services et des personnes n’échappe plus à personne. Dans ce contexte et compte tenu du fait qu’un incident peut rapidement se propager d’un Etat membre à un autre, le législateur européen a justement fait de la fiabilité des réseaux un enjeu majeur. Pourtant, il n’existe aucun cadre juridique au sein de l’Union. Afin de rencontrer ce besoin, la Commission européenne a donc présenté, en date du 7 février 2013, une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union.
Le texte proposé exige de tous les États membres qu’ils mettent en place un minimum de moyens au niveau national en adoptant des stratégies nationales et des plans de coopération (article 5), en établissant des autorités compétentes dans le domaine de la sécurité des réseaux (article 6), et en mettant sur pied des équipes d’intervention en cas d’urgence informatique (article 7).
Il convient en outre de réaliser une coopération entre Etats membres, afin que ces moyens minimums nationaux soient déployés d’une manière cohérente à l’échelle de l’Union. La proposition de directive prévoit donc la mise en place d’un réseau de coopération entre les autorités mises en place au niveau des Etats (article 8).
Une infrastructure sécurisée d’échange d’information serait déployée afin de faciliter et sécuriser la coopération (article 9).
Le texte prévoit en outre qu’un mécanisme d’alerte rapide serait créé par rapport à certains types de risques ou incidents, dans le but de favoriser des réactions rapides et coordonnées en présence de menaces susceptibles de s’étendre à plusieurs Etats membres (article 10).
La Commission serait de son côté chargée de mettre en place un plan de coopération au sein de l’Union (article 12).
Le texte envisage pour le surplus la faculté pour l’Union de conclure des partenariats ou accords au niveau international (Etats tiers ou organisations internationales), ce qui est indispensable, dans la mesure où les menaces ne s’arrêtent pas aux frontières de l’Union (article 13).
La directive insiste en outre sur la nécessaire conscientisation aux questions de sécurité des administrations publiques nationales et des acteurs de marché (définis à l’article 3 comme relevant du secteur des services IT de type infrastructure/hébergement ou relevant de secteurs liés aux infrastructures critiques essentielles au maintien des fonctions économiques et sociétales vitales tels que banque, bourses de valeurs, transport et distribution d’énergie, transports (aérien, ferroviaire, maritime), santé – voir annexe II de la directive).
L’article 14 prévoit également une obligation pour ces acteurs de notifier à l’autorité nationale compétente tout incident qui a un impact significatif sur la sécurité des services essentiels qu’ils fournissent.
Afin de renforcer cette protection des secteurs sensibles, l’article 15 impose que les autorités nationales puissent enquêter (au moyen d’audit si nécessaire) sur le respect par les acteurs de marché et les administrations publiques de leurs obligations en termes de sécurité des réseaux et systèmes informatiques. Si nécessaire, l’autorité nationale doit être habilitée à donner des instructions contraignantes. Afin de contrebalancer ce pouvoir de contrainte, un contrôle juridictionnel doit être aménagé par les Etats membres.
Notre conseil :
Le processus décisionnel européen est long, mais la trajectoire est déjà clairement indiquée. Il est donc dans l’intérêt des entreprises et des administrations publiques d’envisager les questions de sécurité dans leur organisation interne et leur processus de gestion de l’information, afin de mieux se protéger et de déjà cultiver de bonnes pratiques qui faciliteront la mise en œuvre des contraintes réglementaires qui verront prochainement jour. Dans cette démarche proactive, il est utile de prendre en compte les grands principes de la proposition de directive.