République tchèque : la nouvelle loi de l’UE sur la cybersécurité pourrait se heurter à un manque de moyens

La prochaine directive de l'UE sur la cybersécurité - dénommée NIS2 - vise à améliorer la résilience des pays de l'UE. Des mesures de surveillance et d'application plus strictes devraient être introduites. Toutefois, les nouvelles règles pourraient constituer un véritable défi. [EPA-EFE/SASCHA STEINBACH]

La prochaine série d’exigences plus strictes de l’UE en matière de cybersécurité pourrait se heurter à des obstacles en termes de capacités financières et humaines insuffisantes, ce qui fait craindre à la République tchèque qu’elles pourraient créer de nouveaux désagréments, notamment pour les entreprises privées.

Le ministère tchèque de l’Intérieur et l’Agence nationale tchèque de la cybersécurité et de l’information (NÚKIB) ont subi des attaques de grande ampleur contre leurs systèmes à la mi-avril. En outre, les sites web de quelques aéroports régionaux et l’application mobile du principal opérateur ferroviaire ont également connu des défaillances récemment.

Malgré la priorité absolue accordée par les institutions clés à la cybersécurité, ces incidents montrent qu’elles sont toujours vulnérables aux attaques extérieures.

La prochaine directive de l’UE sur la cybersécurité – dénommée NIS2 – vise à améliorer la résilience des pays de l’UE. Des mesures de surveillance et d’application plus strictes devraient être introduites. Toutefois, les nouvelles règles pourraient constituer un véritable défi.

La directive NIS actuelle a appliqué les règles de cybersécurité les plus strictes aux fournisseurs de services critiques, des entreprises de premier plan dans les secteurs de l’énergie, des transports, de la banque, des soins de santé et de l’approvisionnement en eau potable.

Toutefois, la proposition de révision de la législation élargit encore davantage ce champ d’application. Ainsi, les administrations publiques et les services municipaux, les entreprises pharmaceutiques, les laboratoires, les stations d’épuration des eaux usées et les infrastructures spatiales terrestres devront respecter les normes de sécurité les plus strictes.

Des mesures strictes devraient être appliquées par les services postaux ou les fabricants de produits chimiques, d’aliments et de voitures. La directive NIS2 toucherait également les acteurs du secteur numérique, tels que les centres de données.

Les normes de sécurité, une charge pour les entreprises

Le champ d’application élargi de la nouvelle législation européenne en matière de cybersécurité suscite des inquiétudes aux yeux des entreprises privées tchèques, car la NIS2 imposera des charges financières et administratives supplémentaires à leurs activités. C’est notamment le cas des entreprises qui n’ont pas eu à faire face à des obligations en matière de cybersécurité auparavant.

« Nous devons nous rappeler que toutes les entreprises n’ont pas les ressources financières ou les capacités en personnel pour créer des départements spéciaux dédiés à cette question », a déclaré à EURACTIV République tchèque Kateřina Kalužová, responsable de l’économie numérique à la Confédération tchèque de l’industrie et des transports (SPCR).

Selon la SPCR, les coûts et l’administration devraient être aussi bas que possible afin que les entreprises ne soient pas confrontées à des complications inutiles. Les entités qui n’adoptent pas ou ne respectent pas les mesures pourraient faire face à des sanctions élevées de 2 % de leur chiffre d’affaires annuel ou de 10 millions d’euros.

« À première vue, cela peut sembler excessif, mais il s’agit de secteurs essentiels au fonctionnement de la société et de l’économie. En cas de problèmes majeurs répétés, comme le non-respect des directives, l’amende doit être significative », a déclaré l’eurodéputé tchèque Evžen Tošenovský (ODS, CRE).

« Je suppose que le plafond des amendes sera abaissé pour les entités moins critiques », a-t-il ajouté.

La directive NIS2 est actuellement en attente de sa première lecture au Parlement européen. Selon M. Tošenovský, la mise en application sera un défi non seulement pour les entreprises mais aussi pour les autorités nationales responsables de la cybersécurité.

« Il faudra quelques années pour que l’ensemble de l’écosystème se mette en place », a déclaré l’eurodéputé tchèque.

Les entreprises tchèques se tiennent prêtes

Les entreprises tchèques sont conscientes des risques de cyberattaques et prennent des mesures pour améliorer leur capacité de résistance.

L’enquête d’opinion menée l’année dernière par le SPCR a montré que deux tiers des quelque 100 entreprises tchèques interrogées considèrent le risque de cyberattaque comme la plus grande menace dans la sphère numérique. Plus de 80 % d’entre elles prennent des mesures pour sécuriser leurs propres systèmes et ordinateurs.

Selon Mme Kalužová, de la SPCR, la question de la formation des entreprises à la cybersécurité est cruciale, en particulier pour celles qui n’opèrent pas principalement dans le secteur technologique mais qui seraient concernées par la directive NIS2.

« L’une des plus grandes menaces de cybersécurité se situe entre la chaise et le clavier, à savoir l’être humain. C’est pourquoi il est appréciable que plus de la moitié des entreprises interrogées dans le cadre de notre enquête aient sensibilisé leurs employés à la cybersécurité », explique Mme Kalužová.

« Toute personne ayant accès au réseau de l’entreprise ou disposant d’un téléphone professionnel devrait être formée », a-t-elle ajouté.

Subscribe to our newsletters

Subscribe