N’y a-t-il pas de convergence des visions nationales des « opérateurs d’importance vitales » (OIV), ou les opérateurs de services essentiels (OES) dans le jargon européen ?
C’est ce qui semble ressortir d’un rapport chargé d’évaluer les approches adoptées par les États membres pour les identifier.
Certes, il apparaît que la directive sur laquelle se base un tel rapport – la directive sur la sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI) - a enclenché un processus crucial d'augmentation et d'amélioration des pratiques de gestion du risque des opérateurs dans les secteurs critiques.
Cependant, ce rapport souligne que l’identification des OES est encore considérablement fragmentée dans l’ensemble de l’Union.
Reste que ce document ne promeut pas une révision de la directive, mais seulement davantage de réunions de groupes de travail et l’instauration de lignes directrices afin de faire converger les approches nationales.
- A lire sur securiteinterieure.fr : La directive « sécurité des réseaux », des standards de cybersécurité à appliquer sans modération !
D’où vient-on ? La directive 2016/1148
La directive 2016/1148 du 6 juillet 2016 concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI). Après son entrée en vigueur, les États membres avaient jusqu’au 9 mai 2018 pour la transposer. S’appuyant sur l’article 114 du traité de fonctionnement de l’Union européenne, elle
- est le premier instrument du marché intérieur visant à améliorer la résilience de l’Union européenne contre les risques liés à la cybersécurité
- vise à garantir la continuité de services permettant le bon fonctionnement de l’économie de l’Union européenne et de la société.
- introduit à cet effet des mesures concrètes destinées à
- renforcer les capacités en matière de cybersécurité dans toute l’Union
- atténuer les menaces croissantes qui pèsent sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés.
De quoi parle-t-on ? Les opérateurs de services essentiels» ( «OES»)
La directive promeut une culture de gestion des risques dans les entreprises ou autres entités qui fournissent des services essentiels. Il s’agit des «opérateurs de services essentiels».
En raison du rôle important qu’ils jouent dans l’économie et la société dans son ensemble, ils doivent faire preuve d’un niveau particulièrement élevé de résilience contre les cyberincidents.
Ils sont tenus de :
- prendre des mesures techniques et organisationnelles afin de gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information
- signaler les incidents graves aux autorités compétentes.
La directive exige ainsi des États membres qu’ils communiquent les résultats de cette identification à la Commission.
Une liste des 7 secteurs (et de leurs sous-secteurs respectifs) figure en annexe de la directive SRI. Les États membres sont tenus d’établir une liste des services essentiels pour ces secteurs et sous-secteurs.
Le principe d’harmonisation minimale adopté par la directive permet aux États membres d’aller au-delà.
Pourquoi ce rapport sur les OES ?
Conformément à la directive, le présent rapport évalue la cohérence des approches adoptées par les États membres pour identifier les opérateurs de services essentiels.
La cohérence de l’identification des OES et le risque de fragmentation du marché intérieur dans ce domaine étant étroitement liés, ce rapport contribuera également à l’évaluation plus générale de la directive SRI qui prévoit que la Commission :
- réexamine périodiquement le fonctionnement global de la directive,
- évalue:
- la liste des secteurs et sous-secteurs dans lesquels sont identifiés des OES,
- les types de services numériques couverts par la directive.
Comment a été élaboré ce rapport et quelles sont les difficultés rencontrées ?
Les résultats du rapport se fondent sur une évaluation effectuée entre novembre 2018 et septembre 2019. De nombreux États membres n’avaient pas communiqué en temps voulu à la Commission les informations requises pour la préparation du présent rapport. Son adoption a donc dû être repoussée au-delà du 9 mai 2019, date initialement prévue la directive SRI. Les données ont été collectées par plusieurs canaux:
- informations communiquées par les États membres à partir d’un modèle standardisé préparé par l’ENISA,
- entretiens standardisés avec des autorités nationales sélectionnées,
- réunions du groupe de coopération, y compris un atelier consacré au sujet organisé le 19 mars 2019.
Ce groupe de coopération est composé d’États membres, de la Commission et de l’ENISA (Agence de l’Union européenne pour la cybersécurité). Il vise à échanger des informations et des bonnes pratiques relatives à l’identification des opérateurs entre les États membres.
En vertu des dispositions de la directive SRI, les États membres sont uniquement tenus de fournir un ensemble de données limité à la Commission.
Par exemple, les autorités nationales ne sont pas tenues de présenter les noms des opérateurs identifiés.
Il est donc difficile pour les services de la Commission de comparer les résultats des processus d’identification quant à l'exhaustivité de la liste et à l’incidence sur des entreprises de même taille actives dans le même secteur.
En principe, tous les États membres devaient avoir fourni les informations nécessaires à la préparation du présent rapport au plus tard le 9 novembre 2018.
Toutefois, seuls 15 pays avaient communiqué une quantité substantielle de données à cette date Après plusieurs rappels de la Commission, il manquait encore un nombre important de données.
À la date de publication du rapport, seuls 23 États membres avaient transmis l’ensemble des données dont la France. Les cinq autres États membres (Autriche, Belgique, Hongrie, Roumaine et Slovénie) ont présenté des données partielles sur l’identification des opérateurs de services essentiels.
Des résultats en demi-teinte
L’analyse montre que la directive SRI a servi de catalyseur dans de nombreux États membres où elle a ouvert la voie à un réel changement du cadre institutionnel et réglementaire concernant la cybersécurité.
En outre, l’obligation d’identifier les opérateurs de services essentiels a donné lieu à une évaluation globale des risques associés aux opérateurs dont les activités sont critiques et aux réseaux et aux systèmes d’information modernes dans presque tous les États membres.
Ce résultat peut être considéré comme une réussite pour l’ensemble de l’Union européenne au regard des objectifs de la directive.
Toutefois, le rapport identifie :
- Un risque de fragmentation du champ d’application de la directive,
- Un risque de distorsion de la concurrence
1ère critique : une diversité des approches
- les États membres ont élaboré diverses méthodes concernant l’approche générale de l’identification des OES mais également la définition des services essentiels et l’établissement des seuils.
Cette diversité peut avoir des répercussions négatives sur la mise en œuvre cohérente des dispositions de la directive SRI dans l’Union et éventuellement sur le bon fonctionnement du marché intérieur et la gestion efficace des cyberdépendances; - il semble que les interprétations quant à la nature d’un service essentiel au titre de la directive SRI divergent selon les États membres, certains appliquant des degrés de granularité plus ou moins élevés.
Il devient dès lors difficile de comparer les listes de services essentiels.
2e critique : des obligations à géométrie variable
Certains opérateurs sont soumis à des réglementations supplémentaires (parce qu’ils ont été identifiés par leur État membre respectif) tandis que d’autres, qui offrent des services similaires, sont exclus (parce qu’ils n’ont pas été identifiés).
En outre, certains pays ont recouru à la possibilité d’identifier des services essentiels dans des secteurs ou sous-secteurs supplémentaires qui ne figurent pas dans la directive ce qui montre bien que des secteurs autres que ceux pris en compte par cette directive sont potentiellement vulnérables à des cyber-incidents.
L’identification d’OES dans des secteurs tels que les infrastructures d’information et les services financiers, qui ne figurent pas parmi les entités énumérées dans la directive et par les gouvernements, peut améliorer la cyber-résilience des organisations dans ces secteurs.
Cependant, le marché intérieur et les conditions de concurrence équitables, censées être garanties par l’identification, pourraient en pâtir dans l’éventualité où seul un sous-ensemble d’États membres identifierait des OES dans ces secteurs.
7 recommandations du rapport à retenir
- les autorités compétentes devraient régulièrement réviser leurs listes de services essentiels et s’assurer que tous les services essentiels existants ont été identifiés afin de réduire le «manque de cohérence» concernant les services essentiels dans le marché intérieur;
- il convient que les États membres coopèrent plus activement afin d’aligner les seuils lorsque cela est possible, notamment dans les secteurs où la dimension transfrontalière est très présente, comme les transports ou l’énergie.
Pour ce faire, ils peuvent faire appel à la procédure de consultation transfrontalière prévue par la directive SRI, mais aussi mieux tirer parti des structures existantes du groupe de coopération; - le rôle du groupe de coopération SRI devrait être renforcé afin de promouvoir une compréhension commune de la façon d’appliquer la directive de manière plus cohérente.
À cet effet, la Commission proposera que le groupe de travail actuel consacré à l’identification des OES réexamine dans les plus brefs délais ses lignes directrices afin de mieux lutter contre les incohérences existantes. - le groupe de coopération devrait également se pencher sur la création de groupes de travail sectoriels supplémentaires.
Il s’agit d’améliorer la cohérence entre les États membres et sur l’utilisation d’un outil de communication sur mesure permettant d’améliorer la collaboration au sein du groupe; - pour améliorer l’échange d’informations, le groupe de coopération devrait réexaminer son document de référence sur les modalités du processus de consultation dans les cas où il existe une incidence transfrontalière et s’accorder sur une interprétation cohérente du champ d’application, des objectifs et des procédures d’un tel exercice.
- les autorités nationales devraient se consulter mutuellement pour veiller à ce que les opérateurs transfrontaliers soient soumis aux mêmes exigences en matière de sécurité et de notification des incidents dans le marché intérieur.
- les États membres devraient contacter ces opérateurs transfrontaliers pour collecter davantage d’informations sur les divergences réglementaires.
D’après le rapport, l’amélioration de la cyber-résilience ne devrait pas se faire au prix d’une fragmentation réglementaire.
Le cas échéant, les États membres devraient également ouvrir des discussions multilatérales, comme le prévoit la directive SRI.
synthèse du texte par Pierre Berthelet alias securiteinterieure.fr
A lire sur securiteinterieure.fr :
- La directive « sécurité des réseaux », des standards de cybersécurité à appliquer sans modération !
- Cybersécurité et vulnérabilités des infrastructures numériques : la 5G est au cœur des préoccupations européennes (18e rapport sur la sécurité)
- Rançonlogiciels, hameçonnage et attaques par ordinateurs zombie : 3 menaces sur le podium de la cybersécurité cette année (iOCTA2019)
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.