Nouvelle stratégie de cybersécurité de l'UE et nouvelles règles pour rendre les entités critiques physiques et numériques plus résilientes

Aujourd'hui (16 décembre), la Commission et le haut représentant de l'Union pour les affaires étrangères et la politique de sécurité présentent une nouvelle stratégie de cybersécurité de l'UE. En tant qu'élément clé de Façonner l'avenir numérique de l'Europe, du plan de relance pour l'Europe et de la stratégie de l'Union de la sécurité de l'UE, la stratégie renforcera la résilience collective de l'Europe contre les cybermenaces et contribuera à faire en sorte que tous les citoyens et les entreprises puissent pleinement bénéficier de services dignes de confiance et fiables. outils numériques. Qu'il s'agisse des appareils connectés, du réseau électrique ou des banques, des avions, des administrations publiques et des hôpitaux que les Européens utilisent ou fréquentent, ils méritent de le faire avec l'assurance d'être à l'abri des cybermenaces.

La nouvelle stratégie de cybersécurité permet également à l'UE de renforcer son leadership en matière de normes et standards internationaux dans le cyberespace, et de renforcer la coopération avec des partenaires du monde entier pour promouvoir un cyberespace mondial, ouvert, stable et sécurisé, fondé sur l'état de droit et les droits de l'homme. , libertés fondamentales et valeurs démocratiques. En outre, la Commission présente des propositions visant à aborder à la fois la résilience cybernétique et physique des entités et des réseaux critiques: une directive sur des mesures pour un niveau commun élevé de cybersécurité dans toute l'Union (directive NIS révisée ou `` NIS 2 ''), et une nouvelle directive sur le la résilience des entités critiques.

Ils couvrent un large éventail de secteurs et visent à faire face aux risques actuels et futurs en ligne et hors ligne, des cyberattaques à la criminalité ou aux catastrophes naturelles, de manière cohérente et complémentaire. La confiance et la sécurité au cœur de la décennie numérique de l'UE La nouvelle stratégie de cybersécurité vise à sauvegarder un Internet mondial et ouvert, tout en offrant des garanties, non seulement pour assurer la sécurité, mais aussi pour protéger les valeurs européennes et les droits fondamentaux de tous.

S'appuyant sur les réalisations des mois et des années passés, il contient des propositions concrètes d'initiatives réglementaires, d'investissement et politiques, dans trois domaines d'action de l'UE: 1. Résilience, souveraineté technologique et leadership
Dans le cadre de ce volet d'action, la Commission propose de réformer les règles relatives à la sécurité des réseaux et des systèmes d'information, dans le cadre d'une directive sur des mesures pour un niveau commun élevé de cybersécurité dans l'Union (directive NIS révisée ou `` NIS 2 ''), afin d'augmenter le niveau de cyber-résilience des secteurs publics et privés critiques: les hôpitaux, les réseaux énergétiques, les chemins de fer, mais aussi les centres de données, les administrations publiques, les laboratoires de recherche et la fabrication de dispositifs médicaux et de médicaments critiques, ainsi que d'autres infrastructures et services critiques, doivent rester imperméables , dans un environnement de menaces de plus en plus rapide et complexe. La Commission propose également de lancer un réseau de centres d'opérations de sécurité dans toute l'UE, alimentés par l'intelligence artificielle (IA), qui constituera un véritable `` bouclier de cybersécurité '' pour l'UE, capable de détecter suffisamment tôt les signes d'une cyberattaque et de permettre une action proactive action, avant que les dommages ne surviennent. Des mesures supplémentaires comprendront un soutien dédié aux petites et moyennes entreprises (PME), dans le cadre des pôles d'innovation numérique, ainsi que des efforts accrus pour renforcer les compétences de la main-d'œuvre, attirer et retenir les meilleurs talents en cybersécurité et investir dans la recherche et l'innovation ouvertes, compétitif et basé sur l'excellence.
2. Renforcement des capacités opérationnelles pour prévenir, dissuader et réagir
La Commission prépare, dans le cadre d'un processus progressif et inclusif avec les États membres, une nouvelle cyberunité commune, afin de renforcer la coopération entre les organes de l'UE et les autorités des États membres chargés de prévenir, de dissuader et de répondre aux cyberattaques, y compris civiles, répressives, communautés diplomatiques et de cyberdéfense. La haute représentante présente des propositions visant à renforcer la boîte à outils de cyberdiplomatie de l'UE afin de prévenir, décourager, dissuader et réagir efficacement contre les cyberactivités malveillantes, notamment celles qui affectent nos infrastructures critiques, nos chaînes d'approvisionnement, nos institutions et processus démocratiques. L'UE visera également à renforcer encore la coopération en matière de cyberdéfense et à développer des capacités de cyberdéfense de pointe, en s'appuyant sur les travaux de l'Agence européenne de défense et en encourageant les États membres à tirer pleinement parti de la coopération structurée permanente et de la défense européenne. Fonds.
3. Faire progresser un cyberespace mondial et ouvert grâce à une coopération accrue
L'UE intensifiera son travail avec ses partenaires internationaux pour renforcer l'ordre mondial fondé sur des règles, promouvoir la sécurité et la stabilité internationales dans le cyberespace et protéger les droits de l'homme et les libertés fondamentales en ligne. Il fera progresser les normes et standards internationaux qui reflètent ces valeurs fondamentales de l'UE, en travaillant avec ses partenaires internationaux aux Nations Unies et dans d'autres enceintes pertinentes. L'UE renforcera encore sa boîte à outils de cyberdiplomatie de l'UE et intensifiera les efforts de renforcement des cybercapacités dans les pays tiers en élaborant un programme de renforcement des capacités externes de l'UE en matière de cyber-capacités. Les cyber-dialogues avec les pays tiers, les organisations régionales et internationales ainsi qu'avec la communauté multipartite seront intensifiés.

L'UE formera également un réseau européen de cyberdiplomatie dans le monde entier pour promouvoir sa vision du cyberespace. L'UE s'est engagée à soutenir la nouvelle stratégie de cybersécurité avec un niveau d'investissement sans précédent dans la transition numérique de l'UE au cours des sept prochaines années, par le biais du prochain budget à long terme de l'UE, notamment le programme pour l'Europe numérique et Horizon Europe, ainsi que la relance. Planifiez l'Europe. Les États membres sont donc encouragés à utiliser pleinement la facilité de relance et de résilience de l'UE pour stimuler la cybersécurité et faire correspondre les investissements au niveau de l'UE.

L'objectif est d'atteindre jusqu'à 4.5 milliards d'euros d'investissements combinés de la part de l'UE, des États membres et de l'industrie, notamment dans le cadre du centre de compétences en cybersécurité et du réseau de centres de coordination, et de veiller à ce qu'une part importante soit versée aux PME. La Commission vise également à renforcer les capacités industrielles et technologiques de l'UE en matière de cybersécurité, y compris par le biais de projets soutenus conjointement par les budgets de l'UE et nationaux. L'UE a l'opportunité unique de mettre en commun ses atouts pour renforcer son autonomie stratégique et propulser son leadership en cybersécurité sur l'ensemble de la chaîne d'approvisionnement numérique (y compris les données et le cloud, les technologies de processeur de nouvelle génération, la connectivité ultra-sécurisée et les réseaux 6G), conformément à ses valeurs et priorités.

Cyber ​​et résilience physique du réseau, des systèmes d'information et des entités critiques Les mesures existantes au niveau de l'UE visant à protéger les services et infrastructures clés contre les risques cyber et physiques doivent être mises à jour. Les risques de cybersécurité continuent d'évoluer avec la numérisation et l'interconnexion croissantes. Les risques physiques sont également devenus plus complexes depuis l'adoption des règles de l'UE de 2008 sur les infrastructures critiques, qui ne couvrent actuellement que les secteurs de l'énergie et des transports. Les révisions visent à mettre à jour les règles selon la logique de la stratégie de l'Union de la sécurité de l'UE, à surmonter la fausse dichotomie entre en ligne et hors ligne et à briser l'approche du silo.

Publicité

Pour répondre aux menaces croissantes liées à la numérisation et à l'interconnexion, la proposition de directive relative aux mesures visant un niveau commun élevé de cybersécurité dans toute l'Union (directive SRI révisée ou `` NIS 2 '') couvrira les moyennes et grandes entités d'un plus grand nombre de secteurs en fonction de leur criticité pour l’économie et la société. Le NIS 2 renforce les exigences de sécurité imposées aux entreprises, aborde la sécurité des chaînes d'approvisionnement et des relations avec les fournisseurs, rationalise les obligations de déclaration, introduit des mesures de surveillance plus strictes pour les autorités nationales, des exigences d'application plus strictes et vise à harmoniser les régimes de sanctions dans les États membres. La proposition NIS 2 contribuera à accroître le partage d'informations et la coopération sur la gestion des cybercrises aux niveaux national et européen. La proposition de directive sur la résilience des entités critiques (CER) élargit à la fois le champ d'application et la profondeur de la directive européenne de 2008 sur les infrastructures critiques. Dix secteurs sont désormais couverts: l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, l'administration publique et l'espace. Dans le cadre de la directive proposée, les États membres adopteraient chacun une stratégie nationale pour garantir la résilience des entités critiques et procéderaient régulièrement à des évaluations des risques. Ces évaluations aideraient également à identifier un sous-ensemble plus restreint d'entités critiques qui seraient soumises à des obligations visant à améliorer leur résilience face à des risques non cybernétiques, y compris des évaluations des risques au niveau de l'entité, la prise de mesures techniques et organisationnelles et la notification des incidents.

La Commission, à son tour, apporterait un soutien complémentaire aux États membres et aux entités critiques, par exemple en développant une vue d'ensemble au niveau de l'Union des risques transfrontaliers et transsectoriels, des meilleures pratiques, des méthodologies, des activités de formation transfrontalières et des exercices pour tester la résilience des entités critiques. Sécuriser la prochaine génération de réseaux: la 5G et au-delà Dans le cadre de la nouvelle stratégie de cybersécurité, les États membres, avec le soutien de la Commission et de l'ENISA - l'Agence européenne de cybersécurité, sont encouragés à achever la mise en œuvre de la boîte à outils 5G de l'UE, un risque global et objectif approche basée sur la sécurité de la 5G et des futures générations de réseaux.

Selon un rapport publié aujourd'hui, sur l'impact de la recommandation de la Commission sur la cybersécurité des réseaux 5G et les progrès accomplis dans la mise en œuvre de la boîte à outils de l'UE des mesures d'atténuation, depuis le rapport d'étape de juillet 2020, la plupart des États membres sont déjà en bonne voie de mise en œuvre les mesures recommandées. Ils devraient désormais viser à achever leur mise en œuvre d'ici le deuxième trimestre 2021 et veiller à ce que les risques identifiés soient suffisamment atténués, de manière coordonnée, notamment en vue de minimiser l'exposition aux fournisseurs à haut risque et d'éviter la dépendance à l'égard de ces fournisseurs. La Commission définit également aujourd'hui des objectifs et des actions clés visant à poursuivre le travail coordonné au niveau de l'UE.

Une Europe digne de l'ère numérique, Margrethe Vestager, vice-présidente exécutive, a déclaré: «L'Europe est engagée dans la transformation numérique de notre société et de notre économie. Nous devons donc la soutenir avec des niveaux d'investissement sans précédent. La transformation numérique s'accélère, mais ne peut que réussir si les gens et les entreprises peuvent avoir confiance que les produits et services connectés - sur lesquels ils comptent - sont sécurisés. "

Le Haut Représentant Josep Borrell a déclaré: "La sécurité et la stabilité internationales dépendent plus que jamais d'un cyberespace mondial, ouvert, stable et sécurisé où l'état de droit, les droits de l'homme, les libertés et la démocratie sont respectés. Avec la stratégie d'aujourd'hui, l'UE se mobilise pour protéger ses gouvernements, ses citoyens et ses entreprises contre les cybermenaces mondiales et de jouer un rôle de chef de file dans le cyberespace, en veillant à ce que tout le monde puisse profiter des avantages d'Internet et de l'utilisation des technologies. "

Promotion de notre mode de vie européen La vice-présidente Margaritis Schinas a déclaré: "La cybersécurité est un élément central de l'union de la sécurité. Il n'y a plus de distinction entre les menaces en ligne et hors ligne. Le numérique et le physique sont désormais inextricablement liés. L'ensemble de mesures d'aujourd'hui montre que le L'UE est prête à utiliser toutes ses ressources et son expertise pour se préparer et répondre aux menaces physiques et cybernétiques avec le même niveau de détermination. "

Le commissaire chargé du marché intérieur, Thierry Breton, a déclaré: "Les cybermenaces évoluent rapidement, elles sont de plus en plus complexes et adaptables. Pour garantir la protection de nos citoyens et de nos infrastructures, nous devons envisager plusieurs étapes à l'avance, le bouclier de cybersécurité résilient et autonome de l'Europe nous permettra d'utiliser notre l'expertise et les connaissances pour détecter et réagir plus rapidement, limiter les dommages potentiels et accroître notre résilience. Investir dans la cybersécurité, c'est investir dans l'avenir sain de nos environnements en ligne et dans notre autonomie stratégique. "

La commissaire aux affaires intérieures, Ylva Johansson, a déclaré: "Nos hôpitaux, nos systèmes de traitement des eaux usées ou nos infrastructures de transport ne sont aussi solides que leurs maillons les plus faibles; des perturbations dans une partie de l'Union risquent d'affecter la fourniture de services essentiels ailleurs. Pour assurer le bon fonctionnement du réseau interne marché et les moyens de subsistance de ceux qui vivent en Europe, notre infrastructure clé doit être résiliente contre des risques tels que les catastrophes naturelles, les attaques terroristes, les accidents et les pandémies comme celui que nous connaissons aujourd'hui. Ma proposition sur les infrastructures critiques fait exactement cela. "

Prochaines étapes

La Commission européenne et le haut représentant se sont engagés à mettre en œuvre la nouvelle stratégie de cybersécurité dans les mois à venir. Ils rendront régulièrement compte des progrès réalisés et tiendront le Parlement européen, le Conseil de l'Union européenne et les parties prenantes pleinement informés et engagés dans toutes les actions pertinentes. Il appartient maintenant au Parlement européen et au Conseil d'examiner et d'adopter la proposition de directive NIS 2 et la directive sur la résilience des entités critiques. Une fois les propositions approuvées et par conséquent adoptées, les États membres devraient les transposer dans les 18 mois suivant leur entrée en vigueur.

La Commission réexaminera périodiquement la directive NIS 2 et la directive sur la résilience des entités critiques et rendra compte de leur fonctionnement. Contexte La cybersécurité est l'une des principales priorités de la Commission et une pierre angulaire de l'Europe numérique et connectée. Une augmentation des cyber-attaques pendant la crise des coronavirus a montré à quel point il est important de protéger les hôpitaux, les centres de recherche et d'autres infrastructures. Une action forte dans ce domaine est nécessaire pour pérenniser l'économie et la société de l'UE. La nouvelle stratégie de cybersécurité propose d'intégrer la cybersécurité dans chaque élément de la chaîne d'approvisionnement et de rassembler davantage les activités et les ressources de l'UE dans les quatre communautés de la cybersécurité - marché intérieur, application de la loi, diplomatie et défense.

Il s'appuie sur la stratégie européenne `` Façonner l'avenir numérique de l'Europe '' et sur la stratégie de l'Union de la sécurité de l'UE, et s'appuie sur un certain nombre d'actes législatifs, d'actions et d'initiatives que l'UE a mis en œuvre pour renforcer les capacités de cybersécurité et garantir une Europe plus cyber-résiliente. Cela inclut la stratégie de cybersécurité de 2013, revue en 2017, et le programme européen de la Commission en matière de sécurité 2015-2020. Il reconnaît également l'interdépendance croissante entre la sécurité intérieure et la sécurité extérieure, notamment par le biais de la politique étrangère et de sécurité commune. La première loi européenne sur la cybersécurité, la directive SRI, qui est entrée en vigueur en 2016, a contribué à atteindre un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans toute l'UE. Dans le cadre de son objectif politique clé de rendre l'Europe apte à l'ère numérique, la Commission a annoncé la révision de la directive SRI en février de cette année.

La loi de l'UE sur la cybersécurité, en vigueur depuis 2019, a doté l'Europe d'un cadre de certification de cybersécurité des produits, services et processus et a renforcé le mandat de l'Agence de l'UE pour la cybersécurité (ENISA). En ce qui concerne la cybersécurité des réseaux 5G, les États membres, avec le soutien de la Commission et de l'ENISA, ont mis en place, avec la boîte à outils 5G de l'UE adoptée en janvier 2020, une approche globale et objective fondée sur les risques. L'examen par la Commission de sa recommandation de mars 2019 sur la cybersécurité des réseaux 5G a révélé que la plupart des États membres avaient progressé dans la mise en œuvre de la boîte à outils. À partir de la stratégie de cybersécurité de l'UE de 2013, l'UE a développé une cyberpolitique internationale cohérente et holistique.

En collaboration avec ses partenaires aux niveaux bilatéral, régional et international, l'UE a promu un cyberespace mondial, ouvert, stable et sécurisé guidé par les valeurs fondamentales de l'UE et fondé sur l'état de droit. L'UE a aidé les pays tiers à accroître leur cyber-résilience et leur capacité à lutter contre la cybercriminalité, et a utilisé sa boîte à outils de cyber-diplomatie de l'UE 2017 pour contribuer davantage à la sécurité et à la stabilité internationales dans le cyberespace, notamment en appliquant pour la première fois son régime de cyber-sanctions de 2019 et listant 8 individus et 4 entités et organismes. L'UE a également fait des progrès significatifs dans le domaine de la coopération en matière de cyberdéfense, y compris en ce qui concerne les capacités de cyberdéfense, notamment dans le cadre de son cadre de politique de cyberdéfense (CDPF), ainsi que dans le contexte de la coopération structurée permanente (CSP) et des travaux de l’Agence européenne de défense. La cybersécurité est une priorité également reflétée dans le prochain budget à long terme de l'UE (2021-2027).

Dans le cadre du programme Europe numérique, l'UE soutiendra la recherche, l'innovation et les infrastructures en matière de cybersécurité, la cyberdéfense et l'industrie de la cybersécurité de l'UE. De plus, dans sa réponse à la crise du coronavirus, qui a vu une augmentation des cyberattaques pendant le verrouillage, des investissements supplémentaires dans la cybersécurité sont assurés dans le cadre du plan de relance pour l'Europe. L'UE reconnaît depuis longtemps la nécessité d'assurer la résilience des infrastructures critiques fournissant des services qui sont essentiels au bon fonctionnement du marché intérieur et à la vie et aux moyens de subsistance des citoyens européens. Pour cette raison, l'UE a établi le programme européen pour la protection des infrastructures critiques (EPCIP) en 2006 et a adopté la directive européenne sur les infrastructures critiques (ICE) en 2008, qui s'applique aux secteurs de l'énergie et des transports. Ces mesures ont été complétées dans les années suivantes par diverses mesures sectorielles et intersectorielles sur des aspects spécifiques tels que la protection contre le climat, la protection civile ou les investissements directs étrangers.

Partagez cet article: