Adoption de la législation européenne « SRI II » concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union
Directive n° 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)
Directive n° 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil
Communiqué du Conseil de l’UE du 28 novembre 2022
En parallèle de l'adoption de l’outil sectoriel de résilience numérique des entités de la finance (le Règlement DORA), un paquet de deux directives destinées à compléter et harmoniser les règles de cybersécurité à de nombreux secteurs privés comme publics a été adopté à la fin de l’année 2022. Le texte principal, la Directive dite « SRI 2 », dispose d'un cadre d'application beaucoup plus général que le Règlement DORA (focalisé sur les institutions et opérateurs du secteur financier). Celle-ci remplacera l’actuelle directive sur la sécurité des réseaux et des systèmes d'information.
Le texte pose notamment les bases des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans des domaines aussi divers que l'énergie, les transports, la santé et l'infrastructure numérique. Parmi les innovations proposées, la directive prévoit que les entités réglementées seront identifiées au moyen de plafonds parmi les secteurs couverts, contrairement à la règle antérieure qui assurait une liberté aux États de désigner des opérateurs essentiels. Des règles minimales fixant les obligations des opérateurs concernés seront accompagnées de voies de recours et de sanction.
En outre, la Directive SRI II est complétée d’un second texte destiné à aménager des règles spécifiques de cybersécurité aux « entités critiques ». qui délivrent des « services qui sont essentiels au maintien de fonctions sociétales ou d’activités économiques vitales », de sorte que ces services soient toujours assurés, y compris dans l’hypothèse d’une cyberattaque.
Chacun de ces textes prévoit un délai de transposition au plus tard le 17 octobre 2024, les États membres étant dans l'obligation d'appliquer les dispositions qu’ils auront introduites dans leurs législations nationales à partir du 18 octobre 2024.
Directive n° 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil
Communiqué du Conseil de l’UE du 28 novembre 2022
En parallèle de l'adoption de l’outil sectoriel de résilience numérique des entités de la finance (le Règlement DORA), un paquet de deux directives destinées à compléter et harmoniser les règles de cybersécurité à de nombreux secteurs privés comme publics a été adopté à la fin de l’année 2022. Le texte principal, la Directive dite « SRI 2 », dispose d'un cadre d'application beaucoup plus général que le Règlement DORA (focalisé sur les institutions et opérateurs du secteur financier). Celle-ci remplacera l’actuelle directive sur la sécurité des réseaux et des systèmes d'information.
Le texte pose notamment les bases des mesures de gestion des risques en matière de cybersécurité et des obligations en matière de signalement dans des domaines aussi divers que l'énergie, les transports, la santé et l'infrastructure numérique. Parmi les innovations proposées, la directive prévoit que les entités réglementées seront identifiées au moyen de plafonds parmi les secteurs couverts, contrairement à la règle antérieure qui assurait une liberté aux États de désigner des opérateurs essentiels. Des règles minimales fixant les obligations des opérateurs concernés seront accompagnées de voies de recours et de sanction.
En outre, la Directive SRI II est complétée d’un second texte destiné à aménager des règles spécifiques de cybersécurité aux « entités critiques ». qui délivrent des « services qui sont essentiels au maintien de fonctions sociétales ou d’activités économiques vitales », de sorte que ces services soient toujours assurés, y compris dans l’hypothèse d’une cyberattaque.
Chacun de ces textes prévoit un délai de transposition au plus tard le 17 octobre 2024, les États membres étant dans l'obligation d'appliquer les dispositions qu’ils auront introduites dans leurs législations nationales à partir du 18 octobre 2024.
