Pages

mercredi 3 mars 2021

Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber

 


CyCLONe : c’est bien le petit nouveau dans le monde européen de la cybersécurité. Ce réseau  de gestion des crises cyber est envisagé par la récente proposition de directive dite « SRI 2 » et qui vise à remplacer la directive actuelle sur la sécurité (dite « SRI »). Une telle proposition entend moderniser et étendre les obligations réglementaires. L’objectif est de mieux se prémunir des cybermenaces, notamment celles visant les hôpitaux et structures de santé en ces temps de crise sanitaire.


Une directive intégrée dans le paquet « cybersécurité »

La Commission et le haut représentant de l'Union pour les affaires étrangères et la politique de sécurité a présenté une nouvelle stratégie de cybersécurité de l'UE. Cette stratégie constitue un élément clé :

  • de la stratégie «Façonner l'avenir numérique de l'Europe»,
  • du plan de relance pour l'Europe
  • de la stratégie de l'UE pour l'union de la sécurité.

Il s’agit de renforcer la résilience collective de l'Europe face aux cybermenaces et permettra de faire en sorte que tous les citoyens et toutes les entreprises puissent bénéficier pleinement de services et d'outils numériques sûrs et fiables.
Cette stratégie s’accompagne :

  • D’une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union (directive SRI révisée ou «SRI 2»)
  • D’une nouvelle directive sur la résilience des entités critiques.

Le but de cet ensemble de mesures est de renforcer l’autonomie stratégique de l’Union afin d’améliorer sa résilience et la réaction collective et de construire un internet ouvert et mondial.


D’où vient-on ?


Cette proposition de directive SRI 2 remplace la directive (UE) relative à la sécurité des réseaux et des systèmes d’information (ci-après la «directive SRI»).
Cette directive SRI était le premier acte législatif adopté à l’échelle de l’Union européenne dans le domaine de la cybersécurité. Elle :

  • a ouvert la voie à une évolution importante des mentalités en ce qui concerne l’approche institutionnelle et réglementaire de la cybersécurité dans de nombreux États membres ;
  • a contribué à améliorer les capacités nationales en matière de cybersécurité en exigeant des États membres qu’ils adoptent une stratégie de cybersécurité nationale et qu’ils désignent les autorités compétentes ;
  • a accru la coopération entre les États membres au niveau de l’Union en créant différents forums facilitant l’échange d’informations stratégiques et opérationnelles;
  • a amélioré la cyber-résilience des entités publiques et privées de 7 secteurs spécifiques (l’énergie, les transports, la banque, les infrastructures des marchés financiers, les soins de santé, la fourniture et la distribution d’eau potable et les infrastructures numériques) et/ou qui fournissent trois types de services numériques (les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage) ;
  • a exigé des États membres qu’ils veillent à ce que les opérateurs de services essentiels et les fournisseurs de services numériques mettent en place des exigences en matière de cybersécurité et signalent les incidents.


De quoi parle-t-on ?

Cette proposition fait partie d’un ensemble de mesures destinées à améliorer la résilience et les capacités de réaction aux incidents dans le domaine de la cybersécurité et de la protection des infrastructures critiques.
Elle modernise le cadre juridique existant en tenant compte :

  • de l’utilisation croissante de supports et formats numériques dans le marché intérieur ces dernières années ;
  • de l’évolution du paysage des menaces qui pèsent sur la cybersécurité, deux tendances qui se sont encore amplifiées depuis le début de la pandémie de COVID-19.

Le nombre de cyberattaques continue d’augmenter, les attaques, toujours plus sophistiquées, provenant d’un large éventail de sources à l’intérieur et à l’extérieur de l’Union. 
Or, malgré ses accomplissements notables, la directive SRI a montré ses limites.  Cette proposition comble plusieurs lacunes qui empêchaient d’exploiter pleinement le potentiel de la directive SRI.


Pourquoi une nouvelle proposition ?


L’évaluation du fonctionnement de la directive SRI, réalisée aux fins de l’analyse d’impact, a relevé les problèmes suivants:

  • le faible niveau de cyber-résilience des entreprises établies dans l’Union;
  • un degré de résilience variable en fonction des États membres et des secteurs concernés; 
  • le faible niveau de prise de conscience conjointe de la situation et l’absence de réponse conjointe à la crise.

Par exemple, dans un État membre, certains grands hôpitaux ne relèvent pas du champ d’application de la directive SRI et ne sont donc pas tenus de mettre en œuvre les mesures de sécurité qui en découlent, tandis que dans un autre État membre, la quasi-totalité des fournisseurs de soins de santé du pays sont couverts par les exigences en matière de sécurité des réseaux et des systèmes d’information.


Que prévoit la directive SRI 2 ?


Cette proposition :

  • renforce les exigences de sécurité imposées aux entreprises, traite de la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs,
  • rationalise les obligations de déclaration,
  • introduit des mesures de surveillance plus strictes pour les autorités nationales,
  • renforce les exigences relatives à l'application de la législation et vise à harmoniser les régimes de sanctions dans tous les États membres.


Une extension du filet réglementaire

La directive SRI 2 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union couvrira les grandes et moyennes entités d'un plus grand nombre de secteurs selon leur importance critique pour l'économie et la société.
Plus particulièrement, cette directive:

  • s’applique à certaines entités essentielles publiques ou privées actives dans les secteurs énumérés à l’annexe I (énergie; transports; secteur bancaire; infrastructures des marchés financiers; santé; eau potable; eaux usées; infrastructure numérique; administration publique et espace) ;
  • s’applique à certaines entités essentielles publiques ou privées actives à certaines entités importantes actives dans les secteurs énumérés à l’annexe II (services postaux et de courrier; gestion des déchets; fabrication, production et distribution de produits chimiques; production, transformation et distribution des denrées alimentaires; fabrication et fournisseurs numériques).

Les microentités et les entités de petite taille au sens de la recommandation de la Commission du 6 mai 2003 sont exclues du champ d’application de la directive. Elle le sont à l’exception :

  • des fournisseurs de réseaux de communications électroniques,
  • des prestataires de services de confiance,
  • des registres des noms de domaines de premier niveau (top level domain(s), TLD),
  • de l’administration publique de ces types de domaines, ainsi que de certaines autres entités, comme le fournisseur exclusif d’un service dans un État membre.


Un resserrement des cadres nationaux de cybersécurité

Les États membres sont tenus d’adopter une stratégie nationale en matière de cybersécurité qui définit les objectifs stratégiques et les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir.
La directive créé également un cadre pour la divulgation coordonnée des vulnérabilités et impose aux États membres de désigner des CSIRT (ou CERT) qui agiront en tant qu’intermédiaires de confiance et faciliteront les interactions entre les entités effectuant le signalement et les fabricants ou les fournisseurs de produits TIC et de services TIC. L’ENISA est tenue de produire et de tenir à jour un registre européen des vulnérabilités recensant les vulnérabilités constatées.
Les États membres sont tenus de :

  • désigner des CSIRT ;
  • mettre en place des cadres nationaux de gestion de crise dans le domaine de la cybersécurité, notamment en désignant les autorités nationales compétentes chargées de gérer les incidents et crises de grande ampleur en matière de cybersécurité ;
  • désigner une autorité nationale compétente en matière de cybersécurité, auxquelles seront confiées des missions de surveillance au titre cette directive ainsi qu’un point de contact national unique pour toutes les questions de cybersécurité, qui exercera une fonction de liaison pour assurer la coopération transfrontalière entre les autorités compétentes des États membres.



La création du CyCLONe


La directive crée :

  • un groupe de coopération afin de soutenir et faciliter la coopération stratégique et l’échange d’informations entre les États membres ;
  • un réseau des CSIRT afin de promouvoir une coopération opérationnelle rapide et effective.

Un réseau européen pour la préparation et la gestion des crises cyber par les États membres (UE-CyCLONe – Cyber Crises Liaison Organisation Network) est institué afin de contribuer à la gestion coordonnée des incidents et crises de grande ampleur en matière de cybersécurité, et de garantir l’échange régulier d’informations entre les États membres et les institutions, organes et agences de l’Union.

L’ENISA est tenue de produire, en coopération avec la Commission, un rapport bisannuel sur l’état de la cybersécurité dans l’Union.
La Commission est tenue de mettre en place un système d’évaluation par les pairs, permettant de soumettre les politiques de cybersécurité des États membres à un examen collégial périodique pour en contrôler l’efficacité.


Un renforcement des obligations en matière de gestion et de signalement des risques de cybersécurité 


La directive impose aux États membres de s’assurer que :

  • les organes de direction de les organismes relevant de son champ d’application approuvent les mesures de gestion des risques en matière de cybersécurité adoptées respectivement par ces entités,
  • ces organes suivent une formation aux questions de cybersécurité spécifiquement.

Les États membres sont tenus de veiller à ce que ces organismes :

  • prennent les mesures techniques et organisationnelles nécessaires pour gérer les risques de cybersécurité qui menacent la sécurité des réseaux et des systèmes d’information.
  • veillent à ce que de telles organismes notifient aux autorités nationales compétentes ou aux CSIRT les incidents de cybersécurité qui ont des effets significatifs sur la prestation des services qu’ils fournissent.



Une extension des obligations des organismes assujettis


Les entités essentielles et importantes sont réputées relever de la compétence de l’État membre dans lequel elles fournissent leurs services. Cependant, certains types d’entités sont réputés relever la compétence de l’État membre dans lequel se trouve leur établissement principal dans l’Union.
C’est le cas des:

  • fournisseurs de services DNS,
  • registres de noms de domaines de premier niveau,
  • fournisseurs de services d’informatique en nuage,
  • fournisseurs de services de centres de données
  • fournisseurs de réseaux de diffusion de contenu, ainsi que certains fournisseurs numériques.

Cela permet de garantir que ces entités ne se retrouvent pas confrontées à une multitude d’exigences juridiques différentes alors qu’elles fournissent des services transfrontières dans une mesure particulièrement importante.
L’ENISA est tenue de créer et de tenir à jour un registre de ces entités.


Un régime pour les entités essentielles et un pour les entités importantes


Les autorités compétentes sont tenues de :

  • surveiller les entités qui relèvent du champ d’application de la directive,
  • s’assurer qu’elles respectent les exigences en matière de sécurité et de notification des incidents.

La directive établit une distinction entre un régime de surveillance ex ante pour les entités essentielles et un régime de surveillance ex post pour les entités importantes.
Ce second régime nécessite que les autorités compétentes adoptent des mesures lorsque, selon les éléments de preuve ou les indications qui leur sont communiqués, une entité importante ne respecte pas les exigences en matière de sécurité et de notification des incidents.

La directive demande également aux États membres d’imposer des amendes administratives aux entités essentielles et importantes et définit le montant maximal de certaines amendes.
Les États membres sont tenus de coopérer et de se prêter mutuellement assistance si nécessaire lorsque :

  • des entités fournissent des services dans plusieurs États membres,
  • l’établissement principal ou le représentant d’une entité se trouve dans un certain État membre alors que ses réseaux et systèmes d’information sont situés dans un ou plusieurs autres États membres.


synthèse du texte par Pierre Berthelet alias securiteinterieure.fr


 

A lire sur securiteinterieure.fr  : 

 

 

Aucun commentaire:

Enregistrer un commentaire

remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr

Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.