Le Parlement européen adopte la première loi européenne sur la cybersécurité

Le Parlement européen (PE), réuni en session plénière à Strasbourg, a approuvé mercredi la Directive sur la sécurité des réseaux et de l'information destinée à renforcer la coopération entre les Etats membres de l'Union européenne (UE) afin de faire cause commune pour combattre tous les types de menace informatique.

"Des incidents de cybersécurité possèdent très souvent un aspect transfrontalier et concernent donc plus d'un Etat membre de l'UE. Une protection fragmentaire de la cybersécurité nous rend tous vulnérables et pose un risque de sécurité important pour l'Europe dans son ensemble", a déclaré le rapporteur du PE, l'Allemand Andreas Schwab (Parti populaire européen/PPE), devant l'hémicycle.

L'Agence européenne chargée de la sécurité des réseaux et de l'information estime en effet que les incidents et les attaques des systèmes d'information des entreprises et des citoyens représentent un coût de 260 à 340 milliards d'euros par an et font peser des dangers croissants sur le fonctionnement des sociétés européennes à l'ère du numérique.

"Cette directive établira un niveau commun de sécurité de réseau et d'information et renforcera la coopération entre les Etats membres. Cela contribuera à prévenir à l'avenir les cyberattaques sur les infrastructures interconnectées européennes importantes", a plaidé le rapporteur Andreas Schwab.

Cette directive, première loi européenne sur la cybersécurité qui valide l'accord conclu en décembre dernier entre le PE et le Conseil européen en matière de cybersécurité, concerne prioritairement des secteurs clés comme l'énergie, les transports et le secteur bancaire.

Les Etats membres de l'UE seront désormais tenus d'identifier les "opérateurs de services essentiels" concrets de ces secteurs en utilisant divers critères: si le service est indispensable pour la société et l'économie, s'il dépend des réseaux et des systèmes d'information, si un incident peut avoir des perturbations importantes pour le service fourni et pour la sécurité publique.

Certains fournisseurs de services Internet, comme les marchés en ligne (eBay, Amazon...), les moteurs de recherche (tels que Google) et les nuages informatiques (clouds) devront veiller à la sécurité de leur infrastructure et au signalement des incidents graves. Les micro et petites entreprises numériques en seront par contre exemptées.

Un réseau d'équipes d'intervention en cas d'incident lié à la sécurité informatique, établi dans chaque Etat membre pour gérer les incidents, devra également être créé pour débattre des incidents de sécurité transfrontaliers et pour identifier des réponses coordonnées.

Mardi, la Commission européenne a par ailleurs annoncé un "nouveau partenariat public-privé sur la cybersécurité qui devrait générer 1,8 milliard d'euros d'investissements d'ici à 2020". Le Commissaire européen pour l'économie et la société numériques, Günther Oettinger, a exhorté les Etats membres de l'UE et tous les organismes de cybersécurité à mettre en commun leurs connaissances, leurs informations et leur expertise afin d'améliorer la cyber-résilience de l'Europe.

La Directive sera publiée prochainement au journal officiel de l'UE et entrera en vigueur 20 jours après sa publication. Les Etats membres auront alors 21 mois pour transposer la directive dans leur législation nationale et six mois supplémentaires pour identifier les opérateurs de services essentiels.