La réévaluation des textes fait partie des processus standard de la Commission européenne. L’article 23 de la directive relative à la sécurité des réseaux et des systèmes d’information (Network and Information Systems – NIS) prévoyait ainsi un premier réexamen « au plus tard le 9 mai 2021 ». Divers travaux et une consultation menés en 2020 ont abouti à la conclusion qu’il convenait de réviser cet instrument. Une nouvelle consultation, au second semestre 2020, a permis d’affiner les orientations retenues.

La réflexion menée s’inscrit dans le prolongement des travaux de la Commission sur l’avenir numérique de l’Europe et la sécurité dans son ensemble, dans un contexte de risque cyber de plus en plus prégnant. Elle a mis en lumière les progrès réalisés, mais également les limites du texte. Est notamment pointée une mauvaise compréhension des cybermenaces par les entreprises et les régulateurs nationaux, qui aboutit à un niveau de protection des entreprises trop hétérogène. Par ailleurs, le droit de l’Union européenne doit prendre en compte les évolutions technologiques, notamment la digitalisation des pratiques et l’augmentation des interconnexions entre divers systèmes.

Les avancées de la proposition

La proposition de directive révisée, présentée par la Commission européenne le 16 décembre 2020, doit encore être débattue entre les institutions européennes. Mais on peut d’ores et déjà en dresser un panorama à date.

Un élargissement des entités soumises

Le texte révisé doit améliorer la cyber-résilience des entités critiques des secteurs public et...