Risques cybernétiques

Le 9 octobre 2018, Insurance Europe (la Fédération européenne des assureurs), FERMA (la Fédération européenne des associations nationales de gestion de risque) et le BIPAR ont préparé ensemble une brochure appelée Preparing for Cyber Insurance (se préparer à la cyberassurance) sur la gestion de risque et les potentielles solutions assurantielles aux risques cybernétiques. Plus à ce sujet ici.

Cyber-sécurité

Dans l'examen à mi-parcours de sa stratégie pour un marché unique numérique, publié en mai 2017, la Commission européenne précise que la cyber-sécurité est l'un des principaux domaines où l'UE doit poursuivre son action.Le 13 septembre 2017, la Commission a adopté un ensemble de mesures concernant la cyber-sécurité, qui s'appuient sur des instruments existants et qui incluent de nouvelles initiatives visant à améliorer la cyber-résilience de l'UE.

La stratégie annoncée repose sur les trois piliers suivants :

  • La résilience, avec la création d’une Agence européenne de cyber-sécurité basée sur l’actuelle Agence européenne pour la sécurité des réseaux et de l'information (ENISA).Cette nouvelle Agence sera "dotée d'un mandat permanent, qui aidera les Etats membres à prévenir efficacement les cyber-attaques et à y répondre. Elle contribuera à la mise en œuvre de la Directive sur la sécurité des réseaux et des systèmes d'information, qui impose des obligations de signalement des incidents graves aux autorités nationales".L'initiative comprend également un cadre de certification volontaire à l’échelle de l’UE pour garantir que les produits et les services répondent à toutes les exigences de cyber-sécurité applicables.
  • La dissuasion, avec la création en 2018 d’un Centre européen de recherche et de compétences en matière de cybersécurité ainsi que l’élaboration d’un nouveau plan visant à garantir une réaction rapide de l’UE et des Etats membres.
  • La défense, avec une nouvelle proposition de Directive visant à lutter contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, ainsi qu’une proposition sur l’accès transfrontalier aux preuves électroniques.

La Directive SRI précise les obligations de sécurité pour les opérateurs de "services essentiels" (dans les secteurs critiques tels que l'énergie, le transport, la santé et les banques) et de services numériques (ventes en lignes, moteurs de recherche et service "cloud"), qui inclue l'obligation d'adopter des pratiques de gestion de risque et de signaler tout cyber-incident majeur. Chaque état membre devra également désigner au moins une autorité nationale et établir une stratégie de gestion des menaces cybernétiques.

( source: http://www.consilium.europa.eu/en/policies/cyber-security/ )

les états membres se devaient de transposer cette stratégie de sécurité cybernétique pour mai 2018 et ont jusqu'à décembre 2018 pour identifier les opérateurs de services essentiels.

Le Parlement et le Conseil de l'UE ont adopté leurs positions sur la proposition de la Commission d'un système de certification de cyber-sécurité à échelle européenne et d'une agence de cyber-sécurité. Les négociations pour le texte final auront lieu sous la procédure du trilogue.

La proposition porte sur un plan de cyber-sécurité pour l'UE qui vise à certifier qu'un produit, processus ou service TIC (Technologie de l'Information et de la Communication) ne montre aucune vulnérabilité au moment de l'obtention du certificat, et qu'il est conforme aux standards et spécifications techniques internationaux. De plus, la proposition opte pour un budget accru, plus d'employés et un mandat permanent alloués à L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), dont le siège est à Heraklion et les bureaux à Athènes. ENISA sera le point de référence de ce plan de certification en matière de cyber-sécurité.

Position et actions du BIPAR

Le BIPAR suit l'évolution de la cyber-sécurité au niveau de l'UE en raison de l'augmentation de la numérisation dans notre secteur, ce qui accroît l'ampleur des cyberattaques et leur impact, et du fait que les petites et moyennes entreprises sont de plus en plus exposées aux risques cybernétiques, d'où la nécessité de bonnes pratiques en matière de cybersécurité. Les intermédiaires d'assurance ont un rôle important à jouer dans ce contexte.

Le BIPAR a informé ses membres d'un certain nombre d'initiatives sur la cyber-sécurité et la cyber-assurance prises par certaines associations nationales pour accroître la cyber-résistance, ainsi que d'un guide préparé par ENISA pour les organisations qui cherchent à renforcer leur cyber-sécurité.

Le BIPAR continuera à suivre l'évolution de la procédure législative sur la sécurité cybernétique.

Libre circulation des données

Dans l'examen à mi-parcours de sa stratégie pour un marché unique numérique de mai 2017, la Commission européenne a présenté ses travaux sur la libre circulation des données à caractère non personnel comme une condition préalable à une économie de données compétitive.Le 13 septembre 2017, la Commission a publié une proposition de Règlement sur la libre circulation des données à caractère non personnel dans l'UE.Cette proposition complète le Règlement général sur la protection des données (RGPD), qui concerne la libre circulation des données personnelles (à savoir toute information liée à une personne physique identifiée ou identifiable).La proposition comprend notamment des outils sur :

  • Le principe de libre circulation transfrontalière des données à caractère non personnel : les Etats membres ne peuvent pas obliger les organisations à maintenir le stockage et le traitement des données à l'intérieur de leurs frontières. Seule la sécurité publique pourra justifier des restrictions à ce principe.
  • Le principe de disponibilité des données à des fins de contrôle réglementaire : les autorités compétentes pourront exercer leurs droits d'accès aux données quel que soit l'endroit où celles-ci sont stockées ou traitées dans l'UE.
  • L'élaboration de codes de conduite de l'UE pour lever les obstacles au changement de fournisseur de services de stockage dématérialisé et à la portabilisation des données pour leur rapatriement sur les systèmes informatiques internes des utilisateurs.

Les co-législateurs européens, le Parlement et le Conseil, sont entrés en phase de discussion pour convenir d'un texte final sous la procédure du trilogue.

Trouver un intermédiaire près de chez vous ?Cliquez ici