De nouvelles règles en matière de cybersécurité des réseaux et des systèmes d’information au niveau européen

22 juin 2022 - 17:51

Un accord politique est intervenu en mai dernier entre le Parlement européen et les États membres de l’UE sur la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Pour faire face à l’exposition croissante de l’Europe aux cybermenaces, la directive renforce les exigences en matière de cybersécurité imposées aux entreprises, traite de la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs et introduit le concept de responsabilisation des dirigeants en cas de non-respect des obligations en matière de cybersécurité.

Elle rationalise les obligations de signalement, introduit des mesures de surveillance plus rigoureuses pour les autorités nationales, ainsi que des exigences d’exécution plus strictes, et vise à harmoniser les régimes de sanction dans tous les États membres.

Par rapport à la directive actuellement en vigueur, elle couvre un champs plus large d’organismes : les entités de taille moyenne et de grande taille d’un plus grand nombre de secteurs cruciaux pour l’économie et la société, notamment les fournisseurs de services de communications électroniques accessibles au public, les services numériques, le traitement des eaux usées et la gestion des déchets, la fabrication de produits critiques, les services postaux et de courrier et l’administration publique, aux niveaux central et régional.

Elle couvre aussi plus largement le secteur des soins de santé (son champ d’application s’étendant, par exemple, aux fabricants de dispositifs médicaux), compte tenu de l’aggravation des menaces en matière de sécurité pendant la pandémie de COVID-19