La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016, publiée au Journal officiel de l’Union européenne du 19 juillet 2016, établit des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union afin d’améliorer le fonctionnement du marché intérieur.
Elle détermine les cadres nationaux sur la sécurité des réseaux et des systèmes d’information, et notamment les thèmes suivants :
– la stratégie nationale en matière de sécurité des réseaux et des systèmes d’information ;
– les autorités nationales compétentes et point de contact unique ;
– les centres de réponse aux incidents de sécurité informatique (CSIRT) ;
– la coopération au niveau national.
Elle définit la coopération, via le groupe de coopération, le réseau des CSIRT et la coopération internationale.
Par ailleurs, la directive précise les exigences de sécurité, la notification d’incidents, la mise en uvre et l’exécution de la sécurité des réseaux et des systèmes d’information :
– pour les opérateurs de services essentiels ;
– pour les fournisseurs de service numérique.
Enfin, elle pousse les Etats membres à encourager, sans imposer l’utilisation d’un type particulier de technologies ni créer de discrimination en faveur d’un tel type particulier de technologies, le recours à des normes et des spécifications européennes ou internationalement reconnues pour la sécurité des réseaux et des systèmes d’information.
Les entités qui n’ont pas été identifiées en tant qu’opérateurs de services essentiels et qui ne sont pas des fournisseurs de service numérique peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu’elles fournissent.
Cette directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.