Un rapport de la Commission européenne évalue de la cohérence des États membres dans l’identification des services essentiels, chers à la directive SRI (ou NIS en anglais). L’évaluation se concentre sur l’identification des opérateurs de services essentiels, nouvelle catégorie reflétant les opérateurs « dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société ».

« L’analyse montre que la directive SRI a servi de catalyseur dans de nombreux États membres où elle a ouvert la voie à un réel changement du cadre institutionnel et réglementaire concernant la cybersécurité » se félicite la commission.

Seulement, elle dénonce un panachage : les États membres utilisent des seuils et approches différents pour évaluer leurs OSE. De même, « les interprétations quant à la nature d’un service essentiel au titre de la directive SRI divergent » selon les pays. « Il devient dès lors difficile de comparer les listes de services essentiels » regrette l’institution.

Elle craint une fragmentation du champ de la directive, « certains opérateurs étant soumis à des réglementations supplémentaires (parce qu’ils ont été identifiés par leur État membre respectif) tandis que d’autres, qui offrent des services similaires, sont exclus (parce qu’ils n’ont pas été identifiés). »

La commission remarque aussi que certains pays ont identifié des OSE dans des secteurs non couverts par la directive, « ce qui montre bien que des secteurs autres que ceux pris en compte par la directive SRI sont potentiellement vulnérables à des cyber-incidents »

Elle en appelle à davantage de coopération, en particulier pour les opérateurs transfrontaliers.