5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Recommandation (UE) 2019/553 de la Commission du 3 avril 2019 relative à la cybersécurité dans le secteur de l'énergie
| Date de signature : | 03/04/2019 | Statut du texte : | En vigueur |
| Date de publication : | 05/04/2019 | Emetteur : | |
| Consolidée le : | Source : | JOUE L96 du 5 avril 2019 | |
| Date d'entrée en vigueur : | 06/04/2019 |
Recommandation (UE) 2019/553 de la Commission du 3 avril 2019 relative à la cybersécurité dans le secteur de l'énergie
[notifiée sous le numéro C(2019) 2400]
LA COMMISSION EUROPÉENNE,
(1) Le secteur énergétique européen connaît de profonds changements vers une économie décarbonée et veille dans le même temps à garantir la sécurité de l'approvisionnement et la compétitivité. Dans le cadre de cette transition énergétique et de la décentralisation connexe de la production d'électricité à partir de sources d'énergie renouvelables, le progrès technologique, le couplage des secteurs et la numérisation transforment le réseau électrique de l'Europe en un «réseau intelligent». Simultanément, de nouveaux risques apparaissent également, car le passage au numérique expose de plus en plus le système énergétique aux cyberattaques et aux incidents susceptibles de mettre en péril la sécurité de l'approvisionnement énergétique.
(2) L'adoption de l'ensemble des huit propositions législatives (1) du paquet «Une énergie propre pour tous les européens», notamment le tremplin que constitue la gouvernance de l'union de l'énergie, permet de créer un
environnement favorable à la transformation numérique du secteur de l'énergie. Cet accord reconnaît également l'importance que revêt la cybersécurité dans le secteur de l'énergie. En particulier, la refonte du règlement sur le
marché intérieur de l'électricité (2) prévoit l'adoption de règles techniques pour l'électricité, telles qu'un code de réseau sur les règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d'électricité,
les exigences minimales communes, la planification, la surveillance, les rapports et la gestion de crise. Le règlement sur la préparation aux risques dans le secteur de l'électricité (3) suit dans les grandes lignes l'approche
retenue dans le règlement sur la sécurité de l'approvisionnement en gaz (4); il souligne la nécessité d'évaluer correctement tous les risques, y compris ceux liés à la cybersécurité, et de proposer l'adoption de mesures visant
à prévenir et à atténuer les risques identifiés.
(3) Lorsque la Commission a adopté la stratégie de cybersécurité de l'Union européenne (5) en 2013, elle a identifié le renforcement de la cyber-résilience de l'Union comme une priorité. Un des principaux aboutissements de cette stratégie est la directive sur la sécurité des réseaux et des systèmes d'information (6) (ci-après la «directive SRI»), adoptée en juillet 2016. En tant que première législation horizontale de l'Union européenne en matière de
cybersécurité, la directive SRI renforce le niveau global de cybersécurité dans l'Union grâce au développement de capacités nationales en matière de cybersécurité, à l'accroissement de la coopération au niveau de l'Union et à
l'introduction d'obligations en matière de sécurité et de notification des incidents pour les entreprises dénommées «opérateurs de services essentiels». La notification des incidents est obligatoire dans les secteurs clés, notamment le secteur de l'énergie.
(1) Directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables (JO L 328 du 21.12.2018, p. 82); directive (UE) 2018/2002 du Parlement européen et du Conseil du 11 décembre 2018 modifiant la directive 2012/27/UE relative à l'efficacité énergétique (JO L 328 du 21.12.2018, p. 210); règlement (UE) 2018/1999 du Parlement européen et du Conseil du 11 décembre 2018 sur la gouvernance de l'union de l'énergie et de l'action pour le climat, modifiant les règlements (CE) n°663/2009 et (CE) n°715/2009 du Parlement européen et du Conseil, les directives 94/22/CE, 98/70/CE, 2009/31/CE, 2009/73/CE, 2010/31/UE, 2012/27/UE et 2013/30/UE du Parlement européen et du Conseil, les directives 2009/119/CE et (UE) 2015/652 du Conseil et abrogeant le règlement (UE) no 525/2013 du Parlement européen et du Conseil (JO L 328 du 21.12.2018, p. 1); directive (UE) 2018/844 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive 2010/31/UE sur la performance énergétique des bâtiments et la directive 2012/27/UE relative à l'efficacité énergétique (JO L 156 du 19.6.2018, p. 75). Le Parlement européen a confirmé les accords politiques conclus avec le Conseil au sujet des propositions relatives à l'organisation du marché de l'électricité [règlement sur la préparation aux risques, règlement sur l'Agence de coopération des régulateurs de l'énergie (ACER)], de la directive sur l'électricité et du règlement sur l'électricité lors de la session plénière de mars 2019. L'adoption formelle par le Conseil devrait avoir lieu en avril; la publication du texte juridique au JO suivra ensuite rapidement.
(2) COM(2016) 861 final.
(3) COM(2016) 862 final.
(4) Règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant le règlement (UE) n°994/2010 (JO L 280 du 28.10.2017, p. 1).
(5) JOIN(2013) 1 final.
(6) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).
(4) Lors de la mise en oeuvre des mesures de préparation en matière de cybersécurité, les parties prenantes concernées, notamment les opérateurs de services essentiels dans le domaine de l'énergie tels que définis dans la
directive SRI, devraient tenir compte des orientations horizontales publiées par le groupe de coopération SRI institué en vertu de l'article 11 de ladite directive. Ce groupe de coopération, qui est composé de représentants
des États membres, de l'Agence européenne de la cybersécurité («l'ENISA») et de la Commission, a adopté des documents d'orientation concernant les mesures de sécurité et la notification des incidents. En juin 2018, ce
groupe a créé un axe de travail spécifique sur l'énergie.
(5) La communication conjointe de 2017 sur la cybersécurité (7) reconnaît l'importance des considérations sectorielles et des obligations au niveau de l'Union, y compris dans le secteur de l'énergie. La cybersécurité et les
éventuelles implications stratégiques ont fait l'objet d'un vaste processus de discussion au sein de l'Union ces dernières années. Par conséquent, il existe aujourd'hui une prise de conscience croissante du fait que les différents
secteurs économiques sont confrontés à des problèmes de cybersécurité spécifiques et qu'ils doivent, de ce fait, développer leurs propres approches sectorielles dans le contexte plus large des stratégies générales en matière de
cybersécurité.
(6) Le partage d'informations et la confiance sont des éléments clés dans le domaine de la cybersécurité. La Commission entend accroître le partage d'informations entre les parties prenantes concernées en organisant des
événements spécifiques, comme par exemple la table ronde de haut niveau sur la cybersécurité dans le domaine de l'énergie, organisée à Rome en mars 2017, et la conférence de haut niveau sur la cybersécurité dans le
domaine de l'énergie, organisée à Bruxelles en octobre 2018. La Commission souhaite également renforcer la coopération entre les parties prenantes concernées et les entités spécialisées telles que le Centre européen
d'échange et d'analyse d'informations dans le domaine de l'énergie.
(7) Le règlement relatif à l'ENISA, l'«Agence de l'Union européenne pour la cybersécurité», et à la certification en matière de cybersécurité des technologies de l'information et des communications (le «règlement sur la cybersécurité (8)») renforcera le mandat de l'Agence de l'Union européenne pour la cybersécurité de manière à mieux aider les États membres à faire face aux menaces et aux attaques liées à la cybersécurité. Il crée en outre un cadre européen en matière de cybersécurité pour la certification des produits, des processus et des services qui sera valable dans toute l'Union et qui présente un intérêt particulier pour le secteur de l'énergie
(8) La Commission a présenté une recommandation (9) pour remédier aux risques en matière de cybersécurité concernant la 5e génération (5G) de technologies de réseau qui émet des orientations sur les mesures d'analyse et
de gestion des risques adaptées à l'échelon national, sur la réalisation d'une analyse des risques coordonnée au niveau européen et sur la mise en place d'une procédure visant à constituer une panoplie commune de bonnes
mesures en matière de gestion des risques. Une fois mis en place, les réseaux 5G formeront la structure de base d'un large éventail de services essentiels pour le fonctionnement du marché intérieur et la réalisation de fonctions
sociétales et économiques vitales, telles que l'énergie.
(9) La présente recommandation devrait fournir des orientations non exhaustives aux États membres et aux parties prenantes concernées, notamment aux opérateurs de réseaux et aux fournisseurs de technologies, afin de parvenir à un niveau de cybersécurité plus élevé, compte tenu des exigences spécifiques en temps réel définies pour le secteur de l'énergie, des effets en cascade et de la combinaison des technologies anciennes et actuelles. Ces orientations visent à aider les parties prenantes à garder à l'esprit les exigences spécifiques du secteur de l'énergie lorsqu'il s'agit de mettre en oeuvre des normes de cybersécurité reconnues au niveau international (10).
(10) La Commission a l'intention de réexaminer régulièrement la présente recommandation sur la base des progrès réalisés dans l'ensemble de l'Union, en concertation avec les États membres et les parties prenantes concernées. La Commission poursuivra ses efforts pour renforcer la cybersécurité dans le secteur de l'énergie, notamment par l'intermédiaire du groupe de coopération SRI, qui assure la coopération stratégique et l'échange d'informations entre les États membres en matière de cybersécurité.
A ADOPTÉ LA PRÉSENTE RECOMMANDATION :
OBJET
1) La présente recommandation expose les principaux enjeux liés à la cybersécurité dans le secteur de l'énergie, à savoir les exigences en temps réel, les effets en cascade et la combinaison des technologies anciennes et de pointe, et définit les principales actions à entreprendre pour la mise en oeuvre de mesures de préparation appropriées en matière de cybersécurité dans le secteur de l'énergie.
(7) JOIN(2017) 450 final.
(8) Le règlement sur la cybersécurité a été adopté par le Parlement européen en mars 2019. L'adoption formelle par le Conseil devrait avoir lieu en avril; la publication du texte juridique au JO suivra ensuite rapidement.
(9) C(2019) 2335
(10) Les organisations internationales de normalisation ont publié diverses normes en matière de cybersécurité (ISO/IEC 27000 :Technologies de l'information) et de gestion des risques (ISO/IEC 31000: Management du risque). Une norme spécifique pour le secteur de l'énergie (ISO/IEC 27019: Mesures de sécurité de l'information pour l'industrie des opérateurs de l'énergie) a été publiée au sein de la série ISO/IEC 27000 en octobre 2017.
2) Lors de l'application de la présente recommandation, les États membres devraient encourager les parties prenantes concernées à renforcer leurs connaissances et leurs compétences en matière de cybersécurité dans le secteur de l'énergie. Le cas échéant, les États membres devraient également inclure ces considérations dans leur cadre national en matière de cybersécurité, notamment au moyen de stratégies, de lois, de réglementations et d'autres dispositions administratives.
EXIGENCES EN TEMPS RÉEL POUR LES COMPOSANTS D'INFRASTRUCTURES ÉNERGÉTIQUES
3) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne les exigences en temps réel dans le secteur de l'énergie. Certains éléments du système énergétique doivent fonctionner en «temps réel», c'est-à-dire répondre aux commandes en l'espace de quelques millisecondes, ce qui rend l'introduction de mesures de cybersécurité difficile, voire impossible, par manque de temps.
4) Les opérateurs de réseaux énergétiques devraient notamment :
a) appliquer les normes de sécurité les plus récentes pour les nouvelles installations chaque fois que cela est approprié et envisager des mesures de sécurité physique complémentaires lorsque le parc établi des anciennes
installations ne peut être suffisamment protégé par des mécanismes de cybersécurité;
b) mettre en oeuvre des normes internationales en matière de cybersécurité et des normes techniques spécifiques appropriées pour assurer une communication en temps réel sécurisée dès que les produits concernés sont
disponibles sur le marché;
c) considérer les contraintes en temps réel dans le cadre général de sécurité des actifs, en particulier dans la classification des actifs;
d) envisager les réseaux privés de systèmes de téléprotection pour assurer le niveau de qualité du service requis pour les contraintes en temps réel. Lorsqu'ils utilisent des réseaux de communication publics, les opérateurs
devraient envisager d'assurer une répartition spécifique de la bande passante, des exigences en matière de latence ainsi que des mesures de sécurité de communication;
e) diviser le système global en zones logiques et, dans chaque zone, définir les contraintes liées au temps et aux processus afin de permettre l'application de mesures de cybersécurité appropriées ou d'envisager d'autres
méthodes de protection.
5) Si possible, les opérateurs de réseaux énergétiques devraient :
a) choisir un protocole de communication sécurisée, en tenant compte des exigences en temps réel, par exemple entre une installation et ses systèmes de gestion (système de gestion de l'énergie/système de gestion de la
distribution);
b) mettre en place un mécanisme d'authentification approprié pour la communication de machine à machine afin de satisfaire aux exigences en temps réel.
EFFETS EN CASCADE
6) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne les effets en cascade dans le secteur de l'énergie. Les réseaux électriques et les gazoducs sont fortement interconnectés en Europe; une cyberattaque provoquant une panne ou une perturbation dans une partie du système énergétique pourrait déclencher des effets en cascade de grande ampleur dans d'autres parties de ce système.
7) Lors de l'application de la présente recommandation, les États membres devraient évaluer les interdépendances et le niveau de criticité des systèmes de production d'électricité et de demande flexible d'une part, et des sous-stations et des lignes de transport et de distribution d'autre part, ainsi que les parties prenantes associées touchées (situations transfrontières comprises) en cas de réussite d'une cyberattaque ou d'un cyberincident. Les États membres devraient également veiller à ce que les opérateurs de réseaux énergétiques disposent d'un cadre de communication avec toutes les parties prenantes clés pour partager les signes d'alerte précoce et coopérer en matière de gestion des crises. Des canaux de communication structurés et des formats convenus devraient être mis en place afin de partager les informations sensibles avec toutes les parties prenantes concernées, les centres de réponse aux incidents de sécurité informatique et les autorités compétentes.
8) En particulier, les opérateurs de réseaux énergétiques devraient :
a) veiller à ce que les nouveaux dispositifs, y compris ceux faisant partie de l'internet des objets, présentent et maintiennent un niveau de cybersécurité adapté au niveau de criticité de chaque site;
b) tenir dûment compte des effets cyberphysiques lors de l'établissement et du réexamen périodique des plans de continuité des activités;
c) établir des critères de conception et une architecture pour un réseau résilient, dont la réalisation dépend de :
9) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne la combinaison des technologies anciennes et de pointe dans le secteur de l'énergie. En effet, deux types de technologies coexistent dans le système énergétique actuel: une technologie plus ancienne, d'une durée de vie de 30 à 60 ans, dont les équipements ont été conçus avant la prise en compte des considérations de cybersécurité, et des équipements modernes, qui reflètent les dernières avancées numériques et comptent des dispositifs intelligents.
10) Lors de l'application de la présente recommandation, les États membres devraient encourager les opérateurs de réseaux énergétiques et les fournisseurs de technologies à respecter, dans la mesure du possible, les normes
pertinentes reconnues au niveau international en matière de cybersécurité. Dans le même temps, les parties prenantes et les clients devraient adopter une approche axée sur la cybersécurité lors de la connexion des appareils
au réseau.
11) En particulier, les fournisseurs de technologies devraient fournir gratuitement des solutions éprouvées aux problèmes de sécurité des technologies anciennes ou nouvelles, et ce dès qu'un problème de sécurité important se
présente.
12) En particulier, les opérateurs de réseaux énergétiques devraient :
a) analyser les risques qu'implique l'association de la technologie ancienne à celle de l'internet des objets et être informés à propos des interfaces internes et externes et de leurs vulnérabilités;
b) prendre des mesures appropriées à l'encontre des actes de malveillance perpétrés depuis un grand nombre de dispositifs ou d'applications grand public mal intentionnés;
c) mettre en place une capacité de contrôle et d'analyse automatisée des événements en lien avec la sécurité dans l'environnement technologique traditionnel d'une part, et dans l'internet des objets d'autre part, tels que les
tentatives infructueuses de connexion, l'avertissement sonore des portes pour l'ouverture des cabinets, etc.;
d) réaliser régulièrement des analyses de risques spécifiques en matière de cybersécurité sur toutes les installations anciennes, en particulier lors de la connexion d'anciennes technologies à des nouvelles technologies. Étant
donné que les installations traditionnelles représentent souvent un très grand nombre d'actifs, l'analyse des risques peut être effectuée par catégorie d'actifs;
e) mettre à jour les logiciels et le matériel du système technologique traditionnel et du système de l'internet des objets chaque fois que cela est nécessaire, pour qu'ils disposent de la version la plus récente. Ce faisant, si une
correction ou une mise à jour est nécessaire mais impossible à réaliser, dans le cas par exemple de produits qui ne sont plus suivis, les opérateurs de réseaux énergétiques devraient envisager des mesures complémentaires
comme l'isolement des systèmes ou l'ajout de barrières de sécurité externes;
f) présenter des offres en tenant compte de la cybersécurité, c'est-à-dire demander des informations sur les dispositifs de sécurité, exiger le respect des normes existantes en matière de cybersécurité, veiller à ce que des
mesures d'alerte, de correction et d'atténuation des risques soient proposées en permanence en cas de découverte de vulnérabilités, et clarifier la responsabilité du vendeur en cas de cyberattaques ou d'incidents;
g) collaborer avec les fournisseurs de technologie pour remplacer les systèmes existants chaque fois que cela s'avère bénéfique sur le plan de la sécurité, mais prendre en compte les fonctions critiques du système.
CONTRÔLE
13) Les États membres devraient communiquer à la Commission, dans un délai de 12 mois à compter de l'adoption de la présente recommandation, et tous les deux ans par la suite, des informations détaillées sur l'état de la mise en oeuvre de la présente recommandation par l'intermédiaire du groupe de coopération SRI.
RÉEXAMEN
14) Sur la base des informations communiquées par les États membres, la Commission examinera la mise en oeuvre de la présente recommandation et évaluera si d'autres mesures sont nécessaires, le cas échéant, en concertation avec les États membres et les parties prenantes concernées.
DESTINATAIRES
15) Les États membres sont destinataires de la présente recommandation.
Fait à Bruxelles, le 3 avril 2019.
Par la Commission
Miguel ARIAS CAÑETE
Membre de la Commission
[notifiée sous le numéro C(2019) 2400]
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 292,
(1) Le secteur énergétique européen connaît de profonds changements vers une économie décarbonée et veille dans le même temps à garantir la sécurité de l'approvisionnement et la compétitivité. Dans le cadre de cette transition énergétique et de la décentralisation connexe de la production d'électricité à partir de sources d'énergie renouvelables, le progrès technologique, le couplage des secteurs et la numérisation transforment le réseau électrique de l'Europe en un «réseau intelligent». Simultanément, de nouveaux risques apparaissent également, car le passage au numérique expose de plus en plus le système énergétique aux cyberattaques et aux incidents susceptibles de mettre en péril la sécurité de l'approvisionnement énergétique.
(2) L'adoption de l'ensemble des huit propositions législatives (1) du paquet «Une énergie propre pour tous les européens», notamment le tremplin que constitue la gouvernance de l'union de l'énergie, permet de créer un
environnement favorable à la transformation numérique du secteur de l'énergie. Cet accord reconnaît également l'importance que revêt la cybersécurité dans le secteur de l'énergie. En particulier, la refonte du règlement sur le
marché intérieur de l'électricité (2) prévoit l'adoption de règles techniques pour l'électricité, telles qu'un code de réseau sur les règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d'électricité,
les exigences minimales communes, la planification, la surveillance, les rapports et la gestion de crise. Le règlement sur la préparation aux risques dans le secteur de l'électricité (3) suit dans les grandes lignes l'approche
retenue dans le règlement sur la sécurité de l'approvisionnement en gaz (4); il souligne la nécessité d'évaluer correctement tous les risques, y compris ceux liés à la cybersécurité, et de proposer l'adoption de mesures visant
à prévenir et à atténuer les risques identifiés.
(3) Lorsque la Commission a adopté la stratégie de cybersécurité de l'Union européenne (5) en 2013, elle a identifié le renforcement de la cyber-résilience de l'Union comme une priorité. Un des principaux aboutissements de cette stratégie est la directive sur la sécurité des réseaux et des systèmes d'information (6) (ci-après la «directive SRI»), adoptée en juillet 2016. En tant que première législation horizontale de l'Union européenne en matière de
cybersécurité, la directive SRI renforce le niveau global de cybersécurité dans l'Union grâce au développement de capacités nationales en matière de cybersécurité, à l'accroissement de la coopération au niveau de l'Union et à
l'introduction d'obligations en matière de sécurité et de notification des incidents pour les entreprises dénommées «opérateurs de services essentiels». La notification des incidents est obligatoire dans les secteurs clés, notamment le secteur de l'énergie.
(1) Directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables (JO L 328 du 21.12.2018, p. 82); directive (UE) 2018/2002 du Parlement européen et du Conseil du 11 décembre 2018 modifiant la directive 2012/27/UE relative à l'efficacité énergétique (JO L 328 du 21.12.2018, p. 210); règlement (UE) 2018/1999 du Parlement européen et du Conseil du 11 décembre 2018 sur la gouvernance de l'union de l'énergie et de l'action pour le climat, modifiant les règlements (CE) n°663/2009 et (CE) n°715/2009 du Parlement européen et du Conseil, les directives 94/22/CE, 98/70/CE, 2009/31/CE, 2009/73/CE, 2010/31/UE, 2012/27/UE et 2013/30/UE du Parlement européen et du Conseil, les directives 2009/119/CE et (UE) 2015/652 du Conseil et abrogeant le règlement (UE) no 525/2013 du Parlement européen et du Conseil (JO L 328 du 21.12.2018, p. 1); directive (UE) 2018/844 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive 2010/31/UE sur la performance énergétique des bâtiments et la directive 2012/27/UE relative à l'efficacité énergétique (JO L 156 du 19.6.2018, p. 75). Le Parlement européen a confirmé les accords politiques conclus avec le Conseil au sujet des propositions relatives à l'organisation du marché de l'électricité [règlement sur la préparation aux risques, règlement sur l'Agence de coopération des régulateurs de l'énergie (ACER)], de la directive sur l'électricité et du règlement sur l'électricité lors de la session plénière de mars 2019. L'adoption formelle par le Conseil devrait avoir lieu en avril; la publication du texte juridique au JO suivra ensuite rapidement.
(2) COM(2016) 861 final.
(3) COM(2016) 862 final.
(4) Règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant le règlement (UE) n°994/2010 (JO L 280 du 28.10.2017, p. 1).
(5) JOIN(2013) 1 final.
(6) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (JO L 194 du 19.7.2016, p. 1).
(4) Lors de la mise en oeuvre des mesures de préparation en matière de cybersécurité, les parties prenantes concernées, notamment les opérateurs de services essentiels dans le domaine de l'énergie tels que définis dans la
directive SRI, devraient tenir compte des orientations horizontales publiées par le groupe de coopération SRI institué en vertu de l'article 11 de ladite directive. Ce groupe de coopération, qui est composé de représentants
des États membres, de l'Agence européenne de la cybersécurité («l'ENISA») et de la Commission, a adopté des documents d'orientation concernant les mesures de sécurité et la notification des incidents. En juin 2018, ce
groupe a créé un axe de travail spécifique sur l'énergie.
(5) La communication conjointe de 2017 sur la cybersécurité (7) reconnaît l'importance des considérations sectorielles et des obligations au niveau de l'Union, y compris dans le secteur de l'énergie. La cybersécurité et les
éventuelles implications stratégiques ont fait l'objet d'un vaste processus de discussion au sein de l'Union ces dernières années. Par conséquent, il existe aujourd'hui une prise de conscience croissante du fait que les différents
secteurs économiques sont confrontés à des problèmes de cybersécurité spécifiques et qu'ils doivent, de ce fait, développer leurs propres approches sectorielles dans le contexte plus large des stratégies générales en matière de
cybersécurité.
(6) Le partage d'informations et la confiance sont des éléments clés dans le domaine de la cybersécurité. La Commission entend accroître le partage d'informations entre les parties prenantes concernées en organisant des
événements spécifiques, comme par exemple la table ronde de haut niveau sur la cybersécurité dans le domaine de l'énergie, organisée à Rome en mars 2017, et la conférence de haut niveau sur la cybersécurité dans le
domaine de l'énergie, organisée à Bruxelles en octobre 2018. La Commission souhaite également renforcer la coopération entre les parties prenantes concernées et les entités spécialisées telles que le Centre européen
d'échange et d'analyse d'informations dans le domaine de l'énergie.
(7) Le règlement relatif à l'ENISA, l'«Agence de l'Union européenne pour la cybersécurité», et à la certification en matière de cybersécurité des technologies de l'information et des communications (le «règlement sur la cybersécurité (8)») renforcera le mandat de l'Agence de l'Union européenne pour la cybersécurité de manière à mieux aider les États membres à faire face aux menaces et aux attaques liées à la cybersécurité. Il crée en outre un cadre européen en matière de cybersécurité pour la certification des produits, des processus et des services qui sera valable dans toute l'Union et qui présente un intérêt particulier pour le secteur de l'énergie
(8) La Commission a présenté une recommandation (9) pour remédier aux risques en matière de cybersécurité concernant la 5e génération (5G) de technologies de réseau qui émet des orientations sur les mesures d'analyse et
de gestion des risques adaptées à l'échelon national, sur la réalisation d'une analyse des risques coordonnée au niveau européen et sur la mise en place d'une procédure visant à constituer une panoplie commune de bonnes
mesures en matière de gestion des risques. Une fois mis en place, les réseaux 5G formeront la structure de base d'un large éventail de services essentiels pour le fonctionnement du marché intérieur et la réalisation de fonctions
sociétales et économiques vitales, telles que l'énergie.
(9) La présente recommandation devrait fournir des orientations non exhaustives aux États membres et aux parties prenantes concernées, notamment aux opérateurs de réseaux et aux fournisseurs de technologies, afin de parvenir à un niveau de cybersécurité plus élevé, compte tenu des exigences spécifiques en temps réel définies pour le secteur de l'énergie, des effets en cascade et de la combinaison des technologies anciennes et actuelles. Ces orientations visent à aider les parties prenantes à garder à l'esprit les exigences spécifiques du secteur de l'énergie lorsqu'il s'agit de mettre en oeuvre des normes de cybersécurité reconnues au niveau international (10).
(10) La Commission a l'intention de réexaminer régulièrement la présente recommandation sur la base des progrès réalisés dans l'ensemble de l'Union, en concertation avec les États membres et les parties prenantes concernées. La Commission poursuivra ses efforts pour renforcer la cybersécurité dans le secteur de l'énergie, notamment par l'intermédiaire du groupe de coopération SRI, qui assure la coopération stratégique et l'échange d'informations entre les États membres en matière de cybersécurité.
A ADOPTÉ LA PRÉSENTE RECOMMANDATION :
OBJET
1) La présente recommandation expose les principaux enjeux liés à la cybersécurité dans le secteur de l'énergie, à savoir les exigences en temps réel, les effets en cascade et la combinaison des technologies anciennes et de pointe, et définit les principales actions à entreprendre pour la mise en oeuvre de mesures de préparation appropriées en matière de cybersécurité dans le secteur de l'énergie.
(7) JOIN(2017) 450 final.
(8) Le règlement sur la cybersécurité a été adopté par le Parlement européen en mars 2019. L'adoption formelle par le Conseil devrait avoir lieu en avril; la publication du texte juridique au JO suivra ensuite rapidement.
(9) C(2019) 2335
(10) Les organisations internationales de normalisation ont publié diverses normes en matière de cybersécurité (ISO/IEC 27000 :Technologies de l'information) et de gestion des risques (ISO/IEC 31000: Management du risque). Une norme spécifique pour le secteur de l'énergie (ISO/IEC 27019: Mesures de sécurité de l'information pour l'industrie des opérateurs de l'énergie) a été publiée au sein de la série ISO/IEC 27000 en octobre 2017.
2) Lors de l'application de la présente recommandation, les États membres devraient encourager les parties prenantes concernées à renforcer leurs connaissances et leurs compétences en matière de cybersécurité dans le secteur de l'énergie. Le cas échéant, les États membres devraient également inclure ces considérations dans leur cadre national en matière de cybersécurité, notamment au moyen de stratégies, de lois, de réglementations et d'autres dispositions administratives.
EXIGENCES EN TEMPS RÉEL POUR LES COMPOSANTS D'INFRASTRUCTURES ÉNERGÉTIQUES
3) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne les exigences en temps réel dans le secteur de l'énergie. Certains éléments du système énergétique doivent fonctionner en «temps réel», c'est-à-dire répondre aux commandes en l'espace de quelques millisecondes, ce qui rend l'introduction de mesures de cybersécurité difficile, voire impossible, par manque de temps.
4) Les opérateurs de réseaux énergétiques devraient notamment :
a) appliquer les normes de sécurité les plus récentes pour les nouvelles installations chaque fois que cela est approprié et envisager des mesures de sécurité physique complémentaires lorsque le parc établi des anciennes
installations ne peut être suffisamment protégé par des mécanismes de cybersécurité;
b) mettre en oeuvre des normes internationales en matière de cybersécurité et des normes techniques spécifiques appropriées pour assurer une communication en temps réel sécurisée dès que les produits concernés sont
disponibles sur le marché;
c) considérer les contraintes en temps réel dans le cadre général de sécurité des actifs, en particulier dans la classification des actifs;
d) envisager les réseaux privés de systèmes de téléprotection pour assurer le niveau de qualité du service requis pour les contraintes en temps réel. Lorsqu'ils utilisent des réseaux de communication publics, les opérateurs
devraient envisager d'assurer une répartition spécifique de la bande passante, des exigences en matière de latence ainsi que des mesures de sécurité de communication;
e) diviser le système global en zones logiques et, dans chaque zone, définir les contraintes liées au temps et aux processus afin de permettre l'application de mesures de cybersécurité appropriées ou d'envisager d'autres
méthodes de protection.
5) Si possible, les opérateurs de réseaux énergétiques devraient :
a) choisir un protocole de communication sécurisée, en tenant compte des exigences en temps réel, par exemple entre une installation et ses systèmes de gestion (système de gestion de l'énergie/système de gestion de la
distribution);
b) mettre en place un mécanisme d'authentification approprié pour la communication de machine à machine afin de satisfaire aux exigences en temps réel.
EFFETS EN CASCADE
6) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne les effets en cascade dans le secteur de l'énergie. Les réseaux électriques et les gazoducs sont fortement interconnectés en Europe; une cyberattaque provoquant une panne ou une perturbation dans une partie du système énergétique pourrait déclencher des effets en cascade de grande ampleur dans d'autres parties de ce système.
7) Lors de l'application de la présente recommandation, les États membres devraient évaluer les interdépendances et le niveau de criticité des systèmes de production d'électricité et de demande flexible d'une part, et des sous-stations et des lignes de transport et de distribution d'autre part, ainsi que les parties prenantes associées touchées (situations transfrontières comprises) en cas de réussite d'une cyberattaque ou d'un cyberincident. Les États membres devraient également veiller à ce que les opérateurs de réseaux énergétiques disposent d'un cadre de communication avec toutes les parties prenantes clés pour partager les signes d'alerte précoce et coopérer en matière de gestion des crises. Des canaux de communication structurés et des formats convenus devraient être mis en place afin de partager les informations sensibles avec toutes les parties prenantes concernées, les centres de réponse aux incidents de sécurité informatique et les autorités compétentes.
8) En particulier, les opérateurs de réseaux énergétiques devraient :
a) veiller à ce que les nouveaux dispositifs, y compris ceux faisant partie de l'internet des objets, présentent et maintiennent un niveau de cybersécurité adapté au niveau de criticité de chaque site;
b) tenir dûment compte des effets cyberphysiques lors de l'établissement et du réexamen périodique des plans de continuité des activités;
c) établir des critères de conception et une architecture pour un réseau résilient, dont la réalisation dépend de :
- la mise en place de mesures de défense avancées pour chaque site, en fonction de son niveau de criticité,
- l'identification des noeuds critiques, tant pour ce qui est de la capacité de production électrique que de l'incidence sur les clients. Les fonctions critiques d'un réseau devraient être conçues de manière à atténuer les risques susceptibles de provoquer des effets en cascade, en tenant compte de la redondance, de la résilience aux oscillations de phase et des protections contre les coupures en charge en cascade,
- la collaboration avec les autres opérateurs concernés et les fournisseurs de technologies pour prévenir les effets en cascade en recourant à des mesures et des services appropriés,
- la conception et la mise en place de réseaux de communication et de contrôle en vue de limiter les effets de toute défaillance physique et logique à des parties limitées des réseaux et de garantir des mesures d'atténuation appropriées et rapides.
9) Les États membres devraient veiller à ce que les parties prenantes concernées, notamment les opérateurs de réseaux énergétiques et les fournisseurs de technologies, et plus particulièrement les opérateurs de services essentiels définis dans la directive SRI, mettent en oeuvre les mesures de préparation appropriées en matière de cybersécurité en ce qui concerne la combinaison des technologies anciennes et de pointe dans le secteur de l'énergie. En effet, deux types de technologies coexistent dans le système énergétique actuel: une technologie plus ancienne, d'une durée de vie de 30 à 60 ans, dont les équipements ont été conçus avant la prise en compte des considérations de cybersécurité, et des équipements modernes, qui reflètent les dernières avancées numériques et comptent des dispositifs intelligents.
10) Lors de l'application de la présente recommandation, les États membres devraient encourager les opérateurs de réseaux énergétiques et les fournisseurs de technologies à respecter, dans la mesure du possible, les normes
pertinentes reconnues au niveau international en matière de cybersécurité. Dans le même temps, les parties prenantes et les clients devraient adopter une approche axée sur la cybersécurité lors de la connexion des appareils
au réseau.
11) En particulier, les fournisseurs de technologies devraient fournir gratuitement des solutions éprouvées aux problèmes de sécurité des technologies anciennes ou nouvelles, et ce dès qu'un problème de sécurité important se
présente.
12) En particulier, les opérateurs de réseaux énergétiques devraient :
a) analyser les risques qu'implique l'association de la technologie ancienne à celle de l'internet des objets et être informés à propos des interfaces internes et externes et de leurs vulnérabilités;
b) prendre des mesures appropriées à l'encontre des actes de malveillance perpétrés depuis un grand nombre de dispositifs ou d'applications grand public mal intentionnés;
c) mettre en place une capacité de contrôle et d'analyse automatisée des événements en lien avec la sécurité dans l'environnement technologique traditionnel d'une part, et dans l'internet des objets d'autre part, tels que les
tentatives infructueuses de connexion, l'avertissement sonore des portes pour l'ouverture des cabinets, etc.;
d) réaliser régulièrement des analyses de risques spécifiques en matière de cybersécurité sur toutes les installations anciennes, en particulier lors de la connexion d'anciennes technologies à des nouvelles technologies. Étant
donné que les installations traditionnelles représentent souvent un très grand nombre d'actifs, l'analyse des risques peut être effectuée par catégorie d'actifs;
e) mettre à jour les logiciels et le matériel du système technologique traditionnel et du système de l'internet des objets chaque fois que cela est nécessaire, pour qu'ils disposent de la version la plus récente. Ce faisant, si une
correction ou une mise à jour est nécessaire mais impossible à réaliser, dans le cas par exemple de produits qui ne sont plus suivis, les opérateurs de réseaux énergétiques devraient envisager des mesures complémentaires
comme l'isolement des systèmes ou l'ajout de barrières de sécurité externes;
f) présenter des offres en tenant compte de la cybersécurité, c'est-à-dire demander des informations sur les dispositifs de sécurité, exiger le respect des normes existantes en matière de cybersécurité, veiller à ce que des
mesures d'alerte, de correction et d'atténuation des risques soient proposées en permanence en cas de découverte de vulnérabilités, et clarifier la responsabilité du vendeur en cas de cyberattaques ou d'incidents;
g) collaborer avec les fournisseurs de technologie pour remplacer les systèmes existants chaque fois que cela s'avère bénéfique sur le plan de la sécurité, mais prendre en compte les fonctions critiques du système.
CONTRÔLE
13) Les États membres devraient communiquer à la Commission, dans un délai de 12 mois à compter de l'adoption de la présente recommandation, et tous les deux ans par la suite, des informations détaillées sur l'état de la mise en oeuvre de la présente recommandation par l'intermédiaire du groupe de coopération SRI.
RÉEXAMEN
14) Sur la base des informations communiquées par les États membres, la Commission examinera la mise en oeuvre de la présente recommandation et évaluera si d'autres mesures sont nécessaires, le cas échéant, en concertation avec les États membres et les parties prenantes concernées.
DESTINATAIRES
15) Les États membres sont destinataires de la présente recommandation.
Fait à Bruxelles, le 3 avril 2019.
Par la Commission
Miguel ARIAS CAÑETE
Membre de la Commission