Critique du cep Fribourg/Berlin sur les directives européennes en matière de cyber sécurité : le nombre d’entreprises concernées est trop large

« Les nouvelles règles couvrent également les entreprises qui ne sont pas d'importance systémique, c'est-à-dire les entreprises qui proposent des produits et des services qui ne sont pas absolument centraux pour le fonctionnement de la société. Il est à craindre qu'en pratique, les autorités compétentes soient dépassées par la surveillance de quelque 160 000 entités », prévient Philipp Eckhardt, expert cyber du cep Fribourg/Berlin. « Même si la directive crée une plus grande sécurité juridique et prévient les distorsions de concurrence : une plus grande priorisation aurait donc été indiquée », déclare le scientifique fribourgeois.

Selon M. Eckhardt, le fait que les risques dans la chaîne d'approvisionnement doivent être davantage pris en compte à l'avenir augmente le niveau de cyber sécurité dans l'UE. Toutefois, la responsabilité ne devrait pas reposer uniquement sur les épaules des établissements couverts par la réglementation. Eckhardt se félicite du fait qu'à l'avenir, un grand nombre d'entreprises devront signaler les incidents selon une procédure ordonnée. De telles déclarations n'ont pas toujours été faites par le passé, par crainte de nombreuses entreprises concernées de voir leur image ternie. « Volontairement, cela n'a souvent pas fonctionné de manière satisfaisante. L'obligation de notification est également bienvenue parce qu'elle aide les autres entreprises à identifier et à combler les failles de sécurité », souligne M. Eckhardt.