Le Conseil de l’UE avait pour rappel arrêté sa position en décembre dernier sur ce chantier, dont l’objectif est de « supprimer les divergences au niveau des exigences en matière de cybersécurité et [mettre] en œuvre des mesures de cybersécurité dans les différents États membres ».
Si le texte provisoire garde le même cap, il « comporte des dispositions supplémentaires visant à garantir la proportionnalité, un niveau plus élevé de gestion des risques ainsi que des critères clairs relatifs au caractère critique des entités afin de déterminer celles qui sont couvertes ».
De plus, il est précisé que cette directive « ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique, les services répressifs et le pouvoir judiciaire. Les parlements et les banques centrales sont également exclus du champ d’application ».
Enfin, « les administrations publiques étant souvent la cible de cyberattaques, la SRI 2 s’appliquera aux entités de l’administration publique aux niveaux central et régional. En outre, les États membres peuvent décider de l’appliquer également à ce type d’entités au niveau local ».
Cet accord provisoire doit désormais être approuvé par le Conseil et le Parlement européen. « Une fois adoptée, la nouvelle directive, appelée « SRI 2 », remplacera l’actuelle directive sur la sécurité des réseaux et des systèmes d’information (directive SRI) », précise le Conseil.