AccueilSécuritéL'économie allemande demande la protection du cryptage et des autorités sûres

L’économie allemande demande la protection du cryptage et des autorités sûres

La Fédération de l’industrie allemande (BDI) demande plus de flexibilité pour les entreprises, en particulier les petites et moyennes entreprises (PME), et une coordination avec les normes européennes prévues. Les négociations sur l’amendement de la directive européenne sur la sécurité des réseaux et des technologies de l’information (NIS2) en sont l’occasion. L’association reconnaît un potentiel d’optimisation. Selon elle, l’administration publique ne doit en aucun cas être exemptée des exigences de sécurité.

Le Conseil de l’UE, les représentants du Parlement européen et de la Commission discutent actuellement de la version finale de la NIS2. Ces négociations, appelées trilogues, visent à établir des compromis entre les positions des trois institutions européennes. Par exemple, ils ne sont pas d’accord sur la question de savoir si le système mondial de serveurs racines DNS doit être soumis au contrôle de l’UE. Dans sa prise de position détaillée, la BDI se range en partie du côté du Conseil, en partie du côté du Parlement ou de la Commission.

Sommaire

L’association se montre très claire sur la question de la gestion des vulnérabilités, du cryptage et du renoncement aux hackbacks. Toute mesure qui affaiblit le cryptage d’une manière ou d’une autre doit être évitée et le cryptage de bout en bout doit être protégé juridiquement. Parallèlement, l’association préconise l’abandon des concepts de hack back, pour lesquels des entreprises privées sont mises à contribution.

« Une spirale d’escalade entre les États membres et avec les cybercriminels internationaux doit être évitée », peut-on lire dans le document de position de la BDI. Il recommande plutôt le développement de règles pour une action responsable des Etats dans l’espace numérique.

La NIS2 pourrait devenir inutile si le secteur public était exempté de la protection de ses propres infrastructures. Le Conseil l’a effectivement proposé. Les services fiscaux, les services de construction ou les services de santé disposent pourtant de données sensibles et sont responsables de services publics importants.

Selon l’association, une exception aux obligations de sécurité et de rapport est complètement contre-productive. Après tout, de larges pans de l’économie seraient concernés par ces clauses. La NIS2 sera contraignante pour huit secteurs au total et, dans de nombreuses dispositions individuelles, également pour les PME.

C’est justement pour les PME que la BDI plaide pour la flexibilité. L’association aurait préféré que toutes les PME qui ne font pas partie d’une chaîne d’approvisionnement critique soient exclues. Mais au moins, les entreprises de taille moyenne ne devraient pas être contraintes à des obligations de rapport importantes. En cas de crise, elles ne disposent tout simplement pas de personnel informatique qualifié. En ce qui concerne le choix des analyses de sécurité, les entreprises doivent pouvoir décider de manière plus flexible si un pentest, une analyse de port ou un autre test est approprié. L’association estime également que les audits de sécurité réalisés au moins une fois par an représentent une charge financière trop importante.

Lire aussi

La France voisine voit les choses différemment. Au cours du débat sur la NIS2, des voix se sont élevées pour dénoncer le fait que les dispositions de la NIS2 sont en deçà de la norme de sécurité française. Comme la France assure actuellement la présidence du Conseil de l’UE et qu’elle s’est engagée à clore le dossier, les représentants français du Conseil pourraient encore en rajouter lors du trilogue.

La NIS2 étant à nouveau une directive, sa mise en œuvre peut varier d’un pays à l’autre. Les entreprises actives dans plusieurs pays pourraient ainsi être confrontées à un surcroît de travail.

Une autre charge importante peut résulter d’actes législatifs parallèles qui se chevauchent en partie. Le législateur européen veut créer, parallèlement à la NIS2, la Critical Entities Resilience Directive, qui doit régler les questions de sécurité non informatiques des grandes entreprises. Une approche intégrée aurait été préférable, estime la BDI.

Un autre instrument sur la cyber-résilience est sur l’établi de la Commission ; il s’agit de produits et de logiciels. Là encore, la BDI appelle à l’harmonisation. En effet, il existe déjà des prescriptions de sécurité, par exemple dans la directive sur les équipements hertziens ou la directive sur les machines.

Enfin, tous ceux qui sont en train de mettre en œuvre la loi allemande sur la sécurité informatique 2.0 pourraient passer à la loi sur la sécurité informatique 3.0 immédiatement après. Cela arriverait à échéance en 2024, si la NIS2 est vraiment prête dès le milieu de l’année.

Plus d'articles