Adoptée en 2016, la directive sur la sécurité des réseaux et systèmes informatiques (SRI) impose aux Etats membres de l’Union européenne de recenser les opérateurs de services essentiels (OES) présents sur leur territoire. Il s’agit d’entreprises considérées comme stratégiques en matière de cybersécurité. Dans un récent rapport, la Commission européenne constate de très fortes disparités dans la mise en œuvre de ce recensement, qui ont débouché sur ce que l’exécutif européen désigne comme des «incohérences». Par exemple, alors que certains pays n’ont identifié qu’une part infime de ces opérateurs dans les services financiers (0,07 pour un million d’habitants), d’autres en ont repéré un grand nombre dans ce même secteur (51 pour un million d’habitants). La Commission pointe également le fait que certains types d’acteurs financiers (compagnies d’assurance, par exemple) ont été exclus de la définition d’opérateurs de services essentiels donnée par la directive. Une omission qui a pu conduire certains Etats à ne pas classer certaine de ces entités comme sensibles alors qu’elles auraient dû l’être.