La deuxième itération de la directive de l’Union européenne sur la sécurité des réseaux et des systèmes d’information (NIS 2) a été rédigée avec les meilleures intentions. Nombreux sont ceux qui craignent que les règles de cybersécurité ne divisent l’Internet et ne compromettent la sécurité. Parmi les personnes concernées figurent les chapitres et les membres de l’Internet Society en Europe.
Alors que l’objectif de la directive est d’améliorer la sécurité en ligne, un dossier sur l’impact sur l’Internet, l’Internet Impact Brief, récemment publié, souligne comment il pourrait compromettre les qualités essentielles de l’Internet. En réglementant les fournisseurs d’architecture Internet, la directive NIS 2 pourrait imposer une approche de gouvernance hiérarchique rigoureuse aux initiatives communautaires existantes, étouffant leur efficacité éprouvée en matière d’innovation et d’adaptation aux nouveaux défis de la cybersécurité.
Les fournisseurs d’architecture Internet sont l’épine dorsale de l’Internet mondial
Les fournisseurs d’architecture Internet et les autres fournisseurs d’infrastructure Internet contribuent à faire de l’Internet une ressource ouverte, connectée au niveau mondial, sécurisée et digne de confiance. Les chapitres de l’Internet Society ainsi que des experts en architecture Internet ont exprimé les dangers de passer outre les processus de gouvernance Internet existants pour les réglementer.
Ces fournisseurs d’infrastructure Internet ont tendance à être mondiaux par nature, opérant au-delà des frontières nationales. Par conséquent :
- Les réglementations sous NIS 2 pourraient exclure les fournisseurs non respectueux des règles du marché européen.
- D’autres fournisseurs mondiaux pourraient cesser de manière préventive d’offrir leurs services en Europe pour échapper à cette réglementation et aux amendes.
Avec NIS 2, les fournisseurs d’infrastructure Internet pourraient quitter le marché européen volontairement et involontairement, entraînant des conséquences catastrophiques pour les Européens avec un préavis très court. Ils pourraient se retrouver avec un Internet moins fiable, moins digne de confiance et potentiellement moins sûr que celui dont ils bénéficient ailleurs dans le monde. Des liens obsolètes ou inexacts vers des sites Web pourraient être exploités par des cybercriminels à des fins malveillantes. Les Européens auraient également du mal à accéder à certaines parties de l’Internet, ce qui les priverait de ressources partagées et de la possibilité de collaborer au niveau mondial.
La sortie du marché pourrait également nuire aux entreprises européennes. Leurs chaînes d’approvisionnement risqueraient d’être altérées par la consolidation du marché et l’augmentation des coûts d’exploitation. Les concurrents étrangers qui bénéficient toujours d’un accès à un plus grand choix d’alternatives moins chères, voire gratuites, dans leur chaîne d’approvisionnement, bénéficieront d’un avantage concurrentiel, ce qui nuira à l’innovation européenne à un moment critique de la croissance nécessaire.
L’infrastructure Internet est mondiale par nature. La réglementer dans une région ayant adopté une approche hiérarchique aura des répercussions partout ailleurs, créant ainsi des problèmes d’extraterritorialité. Avec NIS 2, l’Union européenne incitera d’autres pays à démanteler le modèle multipartite sur lequel repose le fonctionnement de l’Internet.
En créant un précédent, l’Union européenne ouvre la porte à une fragmentation accrue de l’Internet, remplaçant l’Internet mondial unique, l’Internet qui fonctionne depuis plus de cinquante ans, par une série d’Intranets déconnectés.
Comment vous pouvez aider
Les experts européens appellent le Conseil de l’Union européenne à renouveler son combat pour un Internet ouvert et non fragmenté. Voici plusieurs raisons pour lesquelles les experts européens se soucient qu’il reste ainsi :
CENTR (Conseil des registres européens de domaines nationaux de premier niveau)
NIS 2 compromettra les progrès de l’UE en matière de protection des informations personnelles des utilisateurs finaux à l’ère numérique, alors qu’il n’existe aucune preuve claire que le fait d’imposer des charges disproportionnées aux opérateurs techniques augmente la sécurité, la stabilité et la résilience de l’architecture sous-jacente de l’Internet. Par conséquent, toute obligation d’exactitude des données imposée aux registres TLD et aux bureaux d’enregistrement dans le cadre de NIS 2 doit être pleinement alignée sur le cadre de protection des données de l’UE.
ISPA (Internet Service Providers Austria)
Selon les acteurs du secteur autrichien de l’Internet, où la gestion de la cyber-résilience fait partie du quotidien, le corset de cybersécurité hiérarchisé et inflexible de l’actuel projet de directive NIS 2 ne contribuera pas à améliorer le niveau de cybersécurité, mais mettra en danger les procédures de sécurité interne qui fonctionnent bien et risquera d’exclure les petites entreprises du marché.
Frederic Taes, président du chapitre belge de l’Internet Society
La sécurité de l’Internet est pour tout le monde. Cela implique un rapport d’impact complet sur la communauté Internet et l’approbation des actions menées par la Communauté en faveur de la sécurité de l’Internet.
La meilleure façon d’aider la Commission européenne à comprendre les dangers d’une réglementation hiérarchique de l’architecture de l’Internet est de faire connaître les raisons de son importance. Veuillez partager largement notre dossier Internet Impact Brief et aider les autres à comprendre l’impact de cette directive. Les utilisateurs d’Internet et les entreprises européens doivent continuer à profiter pleinement de l’Internet et de tous les avantages qu’il procure. Réglementer les fournisseurs d’infrastructure Internet dans le cadre de NIS 2 aboutira exactement à l’inverse.
P.S. Un point sur les changements récents
Alors que certains progrès ont été réalisés dans la négociation de NIS 2 au cours de l’année écoulée, une récente proposition de compromis du Conseil de l’UE [document n° 12019/21] menace de réduire à néant une grande partie de ce travail. Les serveurs de noms racine, les services du système de noms de domaine (DNS), les domaines de premier niveau, les fournisseurs de services de confiance et les autorités de certification sont tous désignés dans la proposition, ce qui pourrait menacer ces services qui sous-tendent l’Internet. Plus troublant encore, une autre proposition de compromis [Document n° 12019/1/21 REV 1] publiée le 12 octobre 2021, après la publication de l’Internet Impact Brief de l’Internet Society, conserve le même champ d’application que la version précédente et ne protège pas contre les préjudices associés.