Quel est le futur des législations belges et européennes en matière de cybersécurité? Comment la législation européenne s’adapte–elle aux évolutions de la cybersécurité? Quels seront les secteurs touchés par la révision de la directive NIS?
Le 16 décembre 2020, la Commission européenne a rendu publique la nouvelle stratégie de cybersécurité de l’Union européenne. Un des points majeurs de cette nouvelle stratégie étant notamment la révision de la directive 2016/1148 du 6 juillet 2016 relative à la sécurité des réseaux et des systèmes d’information (Network and Information Security – NIS). Cette révision apparaît comme primordiale dans la mesure où la sécurité des réseaux et des systèmes d’information est intimement liée à la protection des données à caractère personnel.
Gros plan sur les points essentiels de cette révision
Élargissement du champ d’application et modification de l’identification des opérateurs concernés
Dans un premier temps, cette révision prévoit que le nombre de secteurs critiques compris dans la directive NIS 1 soit élargi. En plus de ces ajouts à cette classification vient s’ajouter une autre subdivision celle des opérateurs qualifiés “d’essentiels” et celle des opérateurs “importants”. La qualification d’opérateurs essentiels faisant tomber sur ces derniers un régime plus complet comparé à la seconde catégorie présentée ci-dessus. Le troisième critère qui est important à souligner est la soumission par principe à la directive des grandes et moyennes entreprises, lorsque les petites structures seront exclues de cette application. Si le champ d’application de cette directive sera alors plus large avec cette révision, on notera que son application n’est pas encore universelle.
Les modifications apportées par la modification de la directive NIS 1 quant à la notification d’incidents
Dans l’éventualité ou l’opérateur de service essentiel subirait un incident, ce dernier doit sous le régime de l’Article 24 §3 de la directive NIS 1 notifier tous les incidents survenant au sein de son organisation dès que l’incident à un impact sur la “disponibilité, la confidentialité, l’intégrité ou l’authenticité des réseaux et des systems d’information dont sont tributaires le ou les services essentiels qu’il fournit”. Sous l’empire de NIS 2 la notification devra se faire dès la survenance d’un incident ayant un impact signifiant sur la réalisation des services de l’opérateur de service essentiel, mais également à la suite de toute survenance d’une cyber menace qui serait détectée dans le cadre de la réalisation des services de l’opérateur de service essentiel.