Cybersécurité et résilience des entités critiques

Points clés

• Le Comité économique et social européen (CESE) apprécie les efforts déployés par la Commission pour accroître la résilience des entités publiques et privées face aux incidents et menaces informatiques et physiques. Le CESE constate que certaines dispositions des deux propositions de directive se recoupent dans la mesure où ces dernières sont étroitement liées et complémentaires, l’une portant principalement sur la cybersécurité et l’autre sur la sécurité physique. Il demande donc d’évaluer l’opportunité d’une fusion des deux propositions en un seul texte, dans un souci de simplification et de concentration fonctionnelle. Toutefois, en ce qui concerne le choix de l’instrument, le CESE fait observer qu’un règlement aurait été préférable à une directive, eu égard à l’importance et à la complexité des objectifs poursuivis par les deux propositions.
• En ce qui concerne le champ d'application de la directive sur la sécurité des réseaux et de l'information (SRI) le CESE souligne qu’il convient de fournir des indications plus précises et plus claires, pour déterminer quelles sont les entités devant se conformer à la directive. En particulier, les critères de distinction entre entités «essentielles» et «importantes», ainsi que les exigences à respecter, doivent être définis plus précisément, afin d’éviter que des approches divergentes au niveau national n’entraînent des entraves à la concurrence et à la libre circulation des biens et des services, qui risqueraient de porter préjudice aux entreprises et de nuire aux échanges commerciaux.
• Le CESE approuve le rôle important conféré à l’ENISA dans le cadre institutionnel et opérationnel global de cybersécurité au niveau européen. Il considère à ce propos que, outre le rapport bisannuel sur l’état de la cybersécurité dans l’Union, cet organe devrait publier en ligne des informations régulières et actualisées sur les incidents de cybersécurité, en plus des évaluations sectorielles.