Les députés européens ont adopté une directive sur la sécurité des réseaux et systèmes d'information

La cybersécurité au niveau européen est en marche. Les députés du Parlement européen ont en effet adopté une directive qui établit un niveau commun de sécurité des réseaux et des systèmes d'information. En France, l'Anssi recherche un chef de projet pour piloter la transposition de ce nouveau texte législatif.

Début juillet, les députés du Parlement européen ont adopté une directive concernant "des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne" (lire ci-contre), également appelée directive cybersécurité ou directive Nis (pour security of network and information systems). Celle-ci entre en vigueur ce mois-ci. Les États membres ont désormais vingt-et-un mois pour la transposer dans leur législation nationale et six mois supplémentaires "pour identifier les opérateurs de services essentiels". Le gouvernement français a d'ores et déjà pris le sujet à bras le corps puisque l'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié une offre d'emploi pour recruter un chef de projet "transition directive Nis". Sa mission sera de piloter cette transposition en droit français, "en prenant en compte l'existant national, notamment l'expérience déjà acquise en matière de régulation de la cybersécurité d'opérateurs privés et publics". Il devra en outre articuler les débats interministériels "intenses" que risque de générer cette directive.

Les établissements de santé concernés

En effet, celle-ci établit un niveau commun de sécurité de réseau et d'information mais renforce aussi la coopération entre les États membres. Le but, indique Andreas Schwab, rapporteur au Parlement européen cité dans un communiqué de presse, est de "contribuer à prévenir à l'avenir les cyberattaques sur les infrastructures interconnectées européennes importantes". Ces attaques ne s'arrêtant pas aux frontières d'un pays. Par ailleurs, elle est l'un des premiers cadres législatifs qui s'applique aux plateformes. Dans le cadre du marché unique numérique, la directive établit en effet des "exigences harmonisées" pour ces plateformes et "veille à ce qu'elles puissent observer des règles similaires quel que soit l'endroit de l'Union européenne où elles opèrent".

Cette nouvelle législation européenne prévoit donc des obligations en matière de sécurité et de suivi pour les opérateurs de services essentiels dans des secteurs tels que celui de la santé. Les États membres devront identifier les entités dans ces domaines en utilisant des critères spécifiques comme savoir si le service est essentiel pour la société et l'économie. Les établissements de soins de santé, dont les hôpitaux et les cliniques privées, sont concernés, est-il spécifié dans la directive. De plus, afin de déterminer si un incident "est susceptible d'avoir un effet disruptif important sur la fourniture d'un service essentiel, il convient, outre les facteurs trans-sectoriels, de prendre également en compte des facteurs sectoriels". Ces facteurs pourraient inclure, pour la santé, "le nombre annuel de patients pris en charge par le prestataire".

Les nouvelles règles prévoient aussi un groupe de coopération stratégique pour échanger l'information et aider les États membres à renforcer leurs capacités en matière de cybersécurité. Ils devront aussi mettre en place un centre de réponse aux incidents de sécurité informatique (CSIRT) pour gérer incidents et risques, discuter des questions de sécurité transfrontalière et identifier des réponses coordonnées.

Géraldine Tribault