Infrastructures critiques : l'accent est désormais mis sur la résilience des opérateurs eux-mêmes

 

Le chantier de la directive sur les infrastructures critiques européennes, dite «directive sur les ICE» de 2008, est lancé! Le constat n'est pas nouveau. Dès son origine, le texte n'était pas assez ambitieux. Cette réforme vise donc à aller plus loin. Il faut dire que le contexte évolue. Si à l'époque, le terrorisme était un enjeu, c'est à présent des préoccupations technologiques qui sont au premier plan. Le texte s'articule avec la nouvelle stratégie relative à la cybersécurité et avec le directive dite "SRI 2". 

•  A lire sur securiteinterieure.fr :  Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
  

Autre fait notable; compte tenu de l’interconnexion croissante entre les infrastructures, les réseaux et les opérateurs fournissant des services essentiels dans le marché intérieur, la proposition sur la table entend modifier fondamentalement l’approche actuelle. Elle souhaite assurer le renforcement de la résilience des opérateurs critiques qui les exploitent ces structures.

De quoi parle-t-on ?

Cette proposition vise à améliorer la fourniture, dans le marché intérieur, de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales en renforçant la résilience des entités critiques qui fournissent de tels services.

Elle reflète les priorités exposées dans la stratégie de l’Union européenne pour l’union de la sécurité, qui préconise une nouvelle approche à l’égard de la résilience des infrastructures critiques.
Il s’agit de prendre en compte les interdépendances de plus en plus étroites entre les différents secteurs, ainsi que les relations de plus en plus interdépendantes entre les infrastructures physiques et numériques.

La directive proposée remplace la directive sur les ICE et tient compte d’autres instruments existants et envisagés et les développe. Elle constitue un changement considérable par rapport à la directive sur les ICE. Cette ancienne directive ne s’appliquait qu’aux secteurs de l’énergie et des transports.
Elle ne se concentrait que sur les mesures de protection et prévoit une procédure de recensement et de désignation des ICE dans le cadre du dialogue transfrontière.

Un souhait de modernisation et d’adaptation

Cette proposition reflète :

• les récents appels du Conseil et du Parlement européen, qui ont tous deux encouragé la Commission à revoir l’approche actuelle afin de mieux tenir compte des défis croissants auxquels sont confrontées les entités critiques ,
• les approches nationales adoptées dans un nombre croissant d’États membres.

A ce sujet, ces approches :

• tendent à mettre l’accent sur les interdépendances transsectorielles et transfrontières,
• sont de plus en plus guidées par la réflexion sur la résilience, dont la protection ne constitue que l’un des piliers, aux côtés de la prévention et de l’atténuation des risques, ainsi que de la continuité et de la reprise des activités.

Étant donné que les infrastructures critiques risquent également d’être des cibles potentielles des terroristes, les mesures visant à garantir la résilience des entités critiques contenues dans la présente proposition contribuent à la réalisation des objectifs du programme de lutte antiterroriste pour l’UE adopté récemment.

D’où vient-on ?

L’Union européenne (UE) reconnaît depuis longtemps l’importance paneuropéenne des infrastructures critiques. Elle a :

• établi le programme européen de protection des infrastructures critiques (EPCIP) en 2006,
• a adopté la directive sur les infrastructures critiques européennes (la «directive sur les ICE») en 2008.

La directive sur les ICE, qui ne s’applique qu’aux secteurs de l’énergie et des transports, prévoit une procédure de recensement et de désignation des ICE dont l’arrêt ou la destruction aurait un impact considérable sur deux États membres au moins. Elle définit également des exigences de protection spécifiques pour les opérateurs d’ICE et les autorités compétentes des États membres.

À ce jour, 94 ICE ont été désignées, dont les deux tiers sont situées dans trois États membres d’Europe centrale et orientale. Toutefois, la portée de l’action de l’UE en matière de résilience des infrastructures critiques va au-delà de ces mesures.
Elle comprend des mesures sectorielles et transsectorielles portant, entre autres, sur la résilience au changement climatique, la protection civile, les investissements directs étrangers et la cybersécurité. Parallèlement, les États membres ont adopté leurs propres mesures dans ce domaine, chacun à leur manière.

Pourquoi cette nouvelle directive ?

Il apparaît que le cadre actuel en matière de protection des infrastructures critiques n’est pas suffisant pour relever les défis auxquels sont actuellement confrontées les infrastructures critiques et les entités qui les exploitent.
Or, l’environnement opérationnel dans lequel s'inscrivent les entités critiques a considérablement évolué ces dernières années. Premièrement, le paysage des risques est plus complexe qu’en 2008 et inclut aujourd’hui des risques naturels (souvent exacerbés par le changement climatique), des actions hybrides soutenues par l’État, le terrorisme, des menaces internes, des pandémies et des accidents (tels que les accidents industriels).

Et quelles sont les autres raisons ?

Deuxièmement, les opérateurs sont confrontés à des difficultés lorsqu’ils doivent intégrer dans leurs activités de nouvelles technologies telles que la 5G et les véhicules autonomes, tout en tenant compte des vulnérabilités que ces technologies pourraient créer.

Troisièmement, ces technologies et d’autres tendances accroissent l’interdépendance des opérateurs. Les conséquences sont évidentes: une perturbation affectant la fourniture d’un service par un opérateur d’un secteur est susceptible de produire des effets en cascade sur la fourniture de services dans d’autres secteurs, ainsi que, potentiellement, dans d’autres États membres ou dans l’ensemble de l’Union.

Comme l’a montré l’évaluation de la directive sur les ICE réalisée en 2019, les mesures européennes et nationales existantes se heurtent à des limitations lorsqu’il s’agit d’aider les opérateurs à faire face aux défis opérationnels auxquels ils sont confrontés aujourd’hui et aux vulnérabilités liées à leur nature interdépendante. 

Plusieurs raisons expliquent cette situation.

• Premièrement, les opérateurs ne connaissent pas pleinement ou ne comprennent pas parfaitement les implications du paysage dynamique des risques dans lequel ils évoluent.
• Deuxièmement, les efforts en matière de résilience varient considérablement d’un État membre à l’autre et d’un secteur à l’autre.
• Troisièmement, des types d’entités similaires sont considérés comme critiques par certains États membres mais pas par d’autres, ce qui signifie que des entités comparables bénéficient de degrés divers d’aide publique au renforcement des capacités (sous la forme, par exemple, d’orientations, de formations et d’organisation d’exercices) en fonction de l’endroit où elles exercent leurs activités dans l’Union, et sont soumises à des exigences différentes.

Le fait que les exigences et le soutien public aux opérateurs varient d’un État membre à l’autre crée des obstacles pour les opérateurs dont les activités sont transfrontières, notamment pour les entités critiques actives dans des États membres appliquant des cadres plus stricts. 

Quelles sont les nouveautés de la directive ?

• Premièrement, la directive proposée aurait un champ d’application sectoriel beaucoup plus vaste, étant donné qu’elle couvrirait dix secteurs, à savoir l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, les infrastructures numériques, l’administration publique et l’espace.
• Deuxièmement, la directive prévoit une procédure qui permettra aux États membres de recenser les entités critiques en appliquant des critères communs sur la base d’une évaluation nationale des risques.
• Troisièmement, la proposition impose des obligations aux États membres et aux entités critiques qu’ils recensent, y compris celles qui revêtent une importance européenne particulière, c’est-à-dire les entités critiques qui fournissent des services essentiels à ou dans plus d’un tiers des États membres, qui feraient l’objet d’une surveillance spécifique.

Un lien étroit avec la directive SRI 2

Cette présente proposition s’articule  avec la proposition de la «directive SRI 2», qui remplacera la directive SRI, avec laquelle elle établit des synergies étroites.
Il s’agit de tenir compte de l’interconnexion accrue entre le monde physique et le monde numérique, en mettant en place un cadre législatif prévoyant des mesures solides à la fois en faveur de la cyber-résilience et de la résilience physique, comme prévu dans la stratégie pour l’union de la sécurité. 

A cet sujet, la proposition de directive SRI 2 vise à renforcer la résilience des technologies de l’information et de la communication (TIC) à l’égard de tous les risques dans les «entités essentielles» et les «entités importantes» qui atteignent des seuils spécifiques dans un grand nombre de secteurs. Quant à la proposition de directive sur la résilience des entités critiques, elle vise à faire en sorte que :

• les autorités désignées en vertu de cette directive et celles désignées en vertu de la proposition de directive SRI 2 prennent des mesures complémentaires et échangent si nécessaire des informations concernant la cyber-résilience et la résilience en dehors du cyberespace,
• les entités particulièrement critiques des secteurs considérés comme «essentiels» par la directive SRI 2 soient également soumises à des obligations plus générales visant à renforcer la résilience afin de faire face aux risques non liés au cyberespace.

synthèse du texte par Pierre Berthelet alias securiteinterieure.fr

• proposition de directive sur la résilience des entités critiques
  

 

A lire sur securiteinterieure.fr  :  

• Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber