AccueilActualités informatiqueNIS2 : le Parlement européen approuve une directive modifiée sur la sécurité...

NIS2 : le Parlement européen approuve une directive modifiée sur la sécurité des réseaux et des TI

La commission de l’industrie du Parlement européen a approuvé un texte de compromis pour la relance de la stratégie communautaire en matière de cybersécurité (NIS2) par 70 voix contre 3. Malgré de nombreuses restrictions par rapport à la proposition de la Commission européenne, les fournisseurs de services DNS, grands et petits, doivent s’attendre à des obligations supplémentaires. Le NIS2 vise à garantir une plus grande sécurité des informations et des réseaux dans les États membres de l’UE par le biais d’obligations de déclaration et de sauvegarde et à confier davantage de tâches à l’Agence européenne chargée de la sécurité des réseaux (ENISA).

En fin de compte, les députés européens ont refusé que l’UE supervise les 13 serveurs racine centraux,

selon le compromis

(PDF). Étant donné que seuls deux des serveurs sont effectivement situés en Europe et que la décentralisation et la diversité ont été jugées suffisamment sûres, le rapporteur Bart Groothuis (Renew) avait déjà signalé très tôt que l’inclusion dans NIS2 était inutile. « Cette directive ne s’applique pas aux serveurs de noms racine », précise la position parlementaire.

Sommaire

En revanche, les opérateurs d’une grande variété de services DNS ne sont pas en reste. Tout comme les opérateurs de domaines de premier niveau, de services d’informatique en nuage ou de réseaux de diffusion de contenu, ils seront obligés par les États membres de protéger leurs services contre les risques de défaillance et d’attaque et de signaler les incidents.

Sur l’insistance de l’industrie, le Parlement avait fait la différence entre les services DNS autoritaires et récursifs. Les « serveurs de noms de domaine de premier niveau » devront se soumettre à ces obligations, bien que certains petits TLD jouent un rôle plutôt insignifiant pour la stabilité du réseau, selon les observateurs. En outre, les « grands résolveurs récursifs publics » seront couverts. Google, Cloudflare ou Quad9, par exemple, exploitent de tels résolveurs. Ceux qui exploitent leurs résolveurs DNS privés ou leurs propres domaines ne seront pas affectés, contrairement à ce qui était initialement prévu.

Denic avait prévenu dans une déclaration qu’une manipulation trop faible transformerait soudainement des dizaines de milliers de petits opérateurs DNS en services critiques.

En ce qui concerne la question controversée de savoir si la collecte et la publication de données correctes sur les propriétaires de domaines apporteront plus de sécurité, la réponse du Parlement reste indécise. Dans tous les cas, les fournisseurs de services de domaine devraient recueillir le nom, l’adresse postale et électronique ainsi que les numéros de téléphone du propriétaire réel et les vérifier. Toutefois, dans un passage remarquable (considérant 59), les parlementaires eux-mêmes admettent, par précaution, que les données recueillies ne pourront jamais être exactes à cent pour cent dans la pratique. Ils préconisent des mesures proportionnelles de vérification.

Selon le texte de la NIS2, seules les données non identifiables personnellement et les dossiers des personnes morales doivent être publiés. Pour l’accès des « demandeurs légitimes » aux noms et adresses non publiés, les députés se réfèrent au droit existant. Il n’y a pas de nouveaux droits d’accès, assure le bureau du rapporteur fictif des Verts, Rasmus Andresen. Le régime d’accès est fondé sur le règlement relatif à la protection des données (DSGVO).

À l’origine, M. Andresen avait préconisé un recul encore plus important dans l’inclusion des services DNS. Mais il n’y a pas eu de majorité pour cela, contrairement à une demande amicale aux États membres d’utiliser davantage les logiciels libres et de se concentrer sur la diversification, notamment dans la résolution des noms DNS.

Dans l’association eco, on constate néanmoins que le texte NIS2 n’est pas encore complètement à l’épreuve de la DSGVO. « Si, en plus des bureaux d’enregistrement DNS, des registres et des revendeurs, des services de protection de la vie privée ou des courtiers collectent en parallèle les données personnelles des détenteurs de domaines, cela contredit l’exigence d’économie des données », constate Lars Steffen de l’éco. La question de savoir qui aura le droit d’accéder à toutes les données personnelles contenues dans le Whois reste également une pomme de discorde.

Il peut également imaginer des améliorations dans la spécification du cercle des parties obligées. Les petits fournisseurs de services DNS sont-ils désormais des services essentiels ou seuls les particuliers en sont-ils exclus ? Comme le NIS2 est mis en œuvre au niveau national sous la forme d’une directive, il pourrait y avoir un patchwork de réglementations différentes, craint-il.

Dans les semaines à venir, le texte final sera négocié au sein du trilogue. Le Conseil s’attend à une opposition du Parlement, surtout en ce qui concerne les « examens par les pairs » prévus, organisés par l’ENISA sur l’efficacité des mesures de cybersécurité dans les différents États membres.

Plus d'articles