Le Conseil de l’UE, qui représente les États membres, a arrêté jeudi sa position sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, afin d'améliorer encore la résilience et les capacités de réaction aux incidents du secteur public comme du secteur privé et de l'UE dans son ensemble.
Une fois adoptée, la nouvelle directive, appelée SRI 2, remplacera l'actuelle directive sur la sécurité des réseaux et des systèmes d'information (directive SRI).
La directive révisée a pour objectif de "supprimer les divergences au niveau des exigences en matière de cybersécurité et de la mise en œuvre des mesures de cybersécurité dans les différents États membres".
À cette fin, elle fixe les règles minimums d'un cadre réglementaire et définit les mécanismes d'une coopération "efficace" entre les autorités compétentes de chaque État membre. Elle met à jour la liste des secteurs et des activités soumis à des obligations en termes de cybersécurité et prévoit des voies de recours et des sanctions pour assurer le respect de la législation.
La directive instaurera officiellement le réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), qui soutiendra la gestion coordonnée des incidents de cybersécurité majeurs.
Le texte du Conseil précise également que la directive ne s'appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, les services répressifs et le pouvoir judiciaire. Les parlements et les banques centrales sont également exclus du champ d'application.
Les États membres disposeraient d'un délai de deux ans à compter de l'entrée en vigueur de la directive pour en intégrer les dispositions dans leur droit national.
Pour les prochaines étapes, l'orientation générale dégagée jeudi permettra à la présidence du Conseil d'entamer des négociations avec le Parlement européen (PE). Le Conseil et le Parlement européen devront tous deux se mettre d'accord sur le texte final.