La directive SRI 2 : élargissement du champ d’application et renforcement de la coopération en matière de cybersécurité

La cybersécurité, notamment des infrastructures essentielles, est primordiale compte tenu de l’augmentation des cyberattaques contre tous types d’entités. Une première directive SRI (sécurité des réseaux et des systèmes d’information, également appelée « NIS » pour l’acronyme anglais) avait été adoptée en 2016, et conformément à la clause de révision, celle-ci a été révisée pour laisser place à SRI 2 (dir. [UE] 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union). Cette nouvelle directive promeut des objectifs de coopération renforcée entre les États membres, met l’accent sur l’anticipation et la sensibilisation à la cybersécurité et élargit le champ d’application matériel. Les États membres disposent de vingt et un mois pour transposer la directive.

par Clara Saillant, Assistante de recherche à l’Université de Vienne, département d’innovation et de digitalisation en droitle 17 janvier 2023

Une révision prévue mais nécessaire de la directive SRI

La directive SRI adoptée le 16 juillet 2016 a fait l’objet d’une révision. La nouvelle directive pointe le nombre accru de cybermenaces et l’importance de la cybersécurité dans la continuité de la « transformation numérique » et la protection des secteurs « critiques ». L’article 23 de la directive SRI de 2016 imposait à la Commission européenne un réexamen de la directive. Conformément à cette obligation, une consultation avait été ouverte en juillet 2020, les résultats de cette dernière ont été pris en compte dans l’évaluation et l’analyse d’impact de la directive, menant ensuite à sa révision et l’adoption de SRI 2 le 14 décembre dernier. Le premier considérant rappelle l’objectif de la première directive SRI, qui est de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société ». La nouvelle directive reprend ces objectifs tout en y ajoutant une forte volonté de coopération et d’harmonisation au regard des divergences d’application entre les États membres. À ces objectifs s’ajoute également le besoin de renforcer le niveau de cyberrésilience des infrastructures critiques et d’anticipation des incidents, ainsi que la réponse à ces derniers dans la mesure où « le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information » (dir. [UE] 2022/2555, consid. 3). Le constat opéré est celui d’une divergence de l’application des obligations prévues qui a mené à une « fragmentation […] affectant plus particulièrement la fourniture transfrontière des services » (ibid. consid. 5). L’Union européenne s’inquiète que de telles divergences accentuent les vulnérabilités de certains États membres aux cybermenaces et que cela ait des répercussions à l’échelle européenne.

Pour pallier cette fragmentation européenne et assurer une meilleure protection des infrastructures ciblées, la nouvelle directive élargit son champ d’application.