Le passage au numérique, voulu par la transition énergétique pour faire du réseau électrique de l’Europe un « réseau intelligent », expose de plus en plus le système énergétique aux cyberattaques et aux incidents susceptibles de mettre en péril la sécurité de l’approvisionnement énergétique.
Dans le cadre du paquet « Une énergie propre pour tous les Européens », et en particulier de la refonte du règlement sur le marché intérieur de l’électricité, des règles vont être adoptées, et notamment un code de réseau, pour prévenir et atténuer les risques identifiés. La directive sur la sécurité des réseaux et des systèmes d’information (« directive SRI »), adoptée en juillet 2016, est la première législation horizontale de l’Union européenne en matière de cybersécurité. Elle prévoit la notification des incidents est obligatoire dans les secteurs clés, notamment le secteur de l’énergie.
Pour compléter ces règles, une recommandation de la Commission du 3 avril 2019 expose les principaux enjeux liés à la cybersécurité dans le secteur de l’énergie, à savoir :
– les exigences en temps réel : certains éléments du système énergétique doivent fonctionner en « temps réel », c’est-à-dire répondre aux commandes en l’espace de quelques millisecondes, ce qui rend l’introduction de mesures de cybersécurité difficile, voire impossible, par manque de temps ;
– les effets en cascade : les réseaux électriques et les gazoducs, étant fortement interconnectés en Europe, une cyberattaque provoquant une panne ou une perturbation dans une partie du système énergétique pourrait déclencher des effets en cascade de grande ampleur dans d’autres parties de ce système ;
– la combinaison des technologies anciennes et de pointe : deux types de technologies coexistent dans le système énergétique actuel, une technologie plus ancienne, d’une durée de vie de 30 à 60 ans, dont les équipements ont été conçus avant la prise en compte des considérations de cybersécurité, et des équipements modernes, qui reflètent les dernières avancées numériques et comptent des dispositifs intelligents.
Elle définit les principales actions à entreprendre pour la mise en oeuvre de mesures de préparation appropriées. Ces orientations s’adressent aux États membres et aux parties prenantes concernées, notamment aux opérateurs de réseaux et aux fournisseurs de technologies, afin de parvenir à un niveau de cybersécurité plus élevé.
Les États membres communiquent à la Commission, avant avril 2020, et tous les deux ans par la suite, des informations détaillées sur l’état de la mise en œuvre de la recommandation par l’intermédiaire du groupe de coopération SRI.
