La directive 2016/1148/UE concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne a été publiée, le 19 juillet dernier, au Journal officiel de l’Union européenne. Celle-ci prévoit, tout d’abord, d’améliorer les moyens nationaux en matière de cybersécurité, en imposant aux Etats membres d’adopter une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information définissant des objectifs stratégiques et les mesures politiques et réglementaires appropriées en matière de cybersécurité. A cet égard, les Etats membres devront désigner une autorité nationale compétente pour la mise en œuvre de la directive et des centres de réponse aux incidents de sécurité informatique (« CSIRT »). La directive prévoit, ensuite, de renforcer la coopération et l’échange d’informations entre les Etats membres par la mise en place d’un groupe de coopération et la mise en réseau des CSIRT. La directive impose, enfin, des exigences aux opérateurs fournissant des services essentiels, qui seront tenus de prendre des mesures de sécurité appropriées, ainsi que de notifier les incidents graves aux autorités nationales compétentes. Les secteurs concernés sont l’énergie, les transports, les services bancaires, les infrastructures de marchés financiers, la santé, l’eau et les infrastructures numériques. Les Etats membres seront chargés d’identifier les opérateurs concernés selon des critères définis par la directive. De plus, des exigences harmonisées seront applicables aux fournisseurs de services numériques qui seront tenus de prendre des mesures de sécurité appropriées et de notifier à l’autorité compétente tout incident ayant un impact significatif sur la fourniture de services. Les fournisseurs concernés sont les marchés en ligne, les services informatiques en nuage et les moteurs de recherche. Cette directive s’inscrit dans le cadre de la communication intitulée « Stratégie de cybersécurité de l’Union européenne : un cyberespace ouvert, sûr et sécurisé », présentée le 7 février 2013. La directive entrera en vigueur le 8 août 2016 et les Etats membres sont tenus de la transposer dans leur ordre juridique avant le 9 mai 2018 au plus tard. (MS)
