La Commission a adopté ce 17 octobre 2024 les premières règles d'exécution en matière de cybersécurité des entités et réseaux critiques au titre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (directive SRI 2).
À compter du 18 octobre 2024, tous les États membres doivent appliquer les mesures nécessaires pour se conformer aux règles de cybersécurité de la directive SRI 2, y compris les mesures de surveillance et d'exécution.
Le présent acte d'exécution détaille les mesures de gestion des risques en matière de cybersécurité ainsi que les cas dans lesquels un incident devrait être considéré comme important et les entreprises fournissant des infrastructures et des services numériques devraient le signaler aux autorités nationales. Il s'agit d'une nouvelle étape majeure dans le renforcement de la cyberrésilience des infrastructures numériques critiques de l'Europe.
Le règlement d'exécution adopté s'appliquera à des catégories spécifiques d'entreprises fournissant des services numériques, telles que les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de données, les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux, pour n'en nommer que quelques-uns.
Pour chaque catégorie de prestataires de services, l'acte d'exécution précise également quand un incident est considéré comme important.*
L'adoption aujourd'hui du règlement d'application coïncide avec le délai imparti aux États membres pour transposer la directive SRI 2 en droit national.
À compter du 18 octobre 2024, tous les États membres doivent appliquer les mesures nécessaires pour se conformer aux règles de cybersécurité de la directive SRI 2, y compris les mesures de surveillance et d'exécution.
Le règlement d'application sera publié au Journal officiel en temps utile et entrera en vigueur 20 jours après.
La première loi à l'échelle de l'UE sur la cybersécurité, la directive SRI, est entrée en vigueur en 2016 et a contribué à atteindre un niveau commun de sécurité des réseaux et des systèmes d'information dans l'ensemble de l'UE. Dans le cadre de son objectif stratégique essentiel consistant à adapter l'Europe à l'ère numérique, la Commission a proposé la révision de la directive SRI en décembre 2020. Après son entrée en vigueur en janvier 2023, les États membres devaient transposer la directive SRI 2 en droit national au plus tard le 17 octobre 2024.
La directive SRI 2 vise à garantir un niveau élevé de cybersécurité dans l'ensemble de l'Union. Il couvre les entités opérant dans des secteurs critiques pour l'économie et la société, y compris les fournisseurs de services publics de communications électroniques, la gestion des services TIC, les services numériques, la gestion des eaux usées et des déchets, l'espace, la santé, l'énergie, les transports, la fabrication de produits critiques, les services postaux et de messagerie et l'administration publique.
La directive renforce les exigences de sécurité imposées aux entreprises et traite de la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs. Elle rationalise les obligations de déclaration, introduit des mesures de surveillance plus strictes pour les autorités nationales, ainsi que des exigences d'exécution plus strictes, et vise à harmoniser les régimes de sanctions entre les États membres. Il contribuera à accroître le partage d'informations et la coopération en matière de gestion des crises informatiques aux niveaux national et de l'UE.