Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)

JOUE L333 du 27 décembre 2022

Ce texte dit « SRI2 » constitue le nouveau cadre réglementaire de la cybersécurité au sein de l’Union européenne.

Il établit des mesures d’harmonisation qui ont pour but d’obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, qui consistent dans :

* des obligations qui imposent aux États membres d’adopter des stratégies nationales en matière de cybersécurité, de désigner ou de mettre en place des autorités compétentes, des autorités chargées de la gestion des cybercrises, des points de contact uniques en matière de cybersécurité et des centres de réponse aux incidents de sécurité informatique (CSIRT) ;
* des mesures de gestion des risques en matière de cybersécurité et des obligations d’information pour certaines entités ;
* des règles et des obligations pour le partage d’informations en matière de cybersécurité ;
* les obligations des États membres en matière de supervision et d’exécution de ces dispositions.

A ce titre, les mesures de gestion des risques en matière de cybersécurité sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins :

* les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
* la gestion des incidents ;
* la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;
* la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;
* la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
* des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
* les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ;
* des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
* la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
* l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins.

Ces dispositions doivent être transposées par les Etats membres au plus tard le 17 octobre 2024 et appliquées à partir du 18 octobre 2024. A compter de cette dernière date, la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union est abrogée.