En vue de renforcer, de manière significative, la cybersécurité en Lettonie, la Saeima a adopté, en lecture finale, le projet de loi sur la cybersécurité nationale, jeudi 20 juin. Elle vise à améliorer la cybersécurité en Lettonie et à introduire des exigences de sécurité plus strictes pour les autorités nationales et locales, et les entreprises dans ce domaine. En outre, elle mettra en place les exigences de l’Union européenne (UE) concernant un niveau élevé et uniforme de sécurité des réseaux et des systèmes d’information dans l’ensemble de l’UE.

ʺLa nouvelle loi remédiera aux lacunes de la loi sur la sécurité des technologies de l’information devenue obsolète et insuffisante. Dans la situation géopolitique actuelle, il est très important que non seulement les mesures de contrôle soient dorénavant plus strictes, mais aussi que les exigences en matière de notification des incidents de cybersécurité deviennent plus sérieusesʺ, souligne M. Raimonds Bergmanis, président de la Commission de la défense, des affaires intérieures et de la prévention de la corruption, responsable de l’avancement du projet de loi.

Selon le rapport du ministère de la Défense, la Lettonie est actuellement le deuxième pays de l’UE, après la Pologne, à subir le plus de cyberattaques; en 2022, par exemple, 16 % de toutes les cyberattaques russes ont été dirigées contre la Lettonie. L’un des objectifs de cette loi est d’améliorer les mesures de cybersécurité afin que les cybermenaces puissent être anticipées, prévenues, traitées et prises en charge en temps utile, en garantissant la continuité de la confidentialité, de l’intégrité et de la disponibilité des services.

La nouvelle loi met en place le Centre national de cybersécurité - l’autorité centrale qui prendra en charge et supervisera notre cybersécurité nationale et coopérera avec d’autres pays dans ce domaine. Son personnel sera composé du personnel du ministère de la défense et de Cert.lv.

Par ailleurs, la nouvelle loi élargira, de manière significative, le champ des entités qui seront des fournisseurs de services essentiels ou critiques et qui seront soumises aux exigences de la loi. Ces entités seront contrôlées par le Centre national de cybersécurité. De surcroît, le Bureau de protection de la Constitution contrôlera la manière dont les propriétaires et les détenteurs légaux des technologies de l’information et de la communication critiques se conforment à leurs obligations. Au total, environ 2 000 entités seront concernées. La loi prévoit également des amendes pouvant aller jusqu’à 10 millions d’euros en cas de non-respect de la loi.

Les fournisseurs de services essentiels et critiques visés par le projet de loi couvrent un large éventail de secteurs importants pour le pays, notamment l’énergie, les transports, l’infrastructure des banques et des marchés financiers, la santé et d’autres domaines. Les services mentionnés jouent un rôle essentiel dans le cadre de l’intérêt général, et il est nécessaire que les fournisseurs de ces services respectent la sécurité et la cybersécurité des TIC et signalent les incidents de cybersécurité. Le projet de loi prévoit que les présentes entités ont pour obligations de s’enregistrer auprès du Centre national de cybersécurité d’ici le 1er avril 2025.

Pour faciliter la disponibilité des services essentiels dans les situations de crise, les dispositions du projet de loi établissent un point d’échange Internet national unique. Il doit être maintenu, par exemple, pour assurer le fonctionnement d’Internet et la circulation des données en Lettonie en cas de déconnexion du World Wide Web.

La loi renforce également la détection coordonnée des vulnérabilités, ce qui permettrait d’utiliser l’expertise des chercheurs en sécurité pour détecter les ʺpoints faiblesʺ dans les ressources des technologies de l’information et de la communication d’une manière contrôlée, souligne le ministère de la Défense.

Le nombre de cyber incidents, leurs ampleur, complexité, fréquence et impact augmentent, et cela constitue une menace importante pour le fonctionnement des réseaux et des systèmes d’information. Les cybers incidents peuvent donc entraver l’activité économique dans le marché intérieur, entraîner des pertes financières, saper la confiance des utilisateurs et causer des dommages importants à l’économie et à la société de l’UE. C’est pourquoi la préparation à la cybersécurité est plus importante que jamais pour le bon fonctionnement du marché intérieur. De plus, le développement des technologies de l’information et de la communication, tant en Lettonie qu’à l’étranger, a atteint une vitesse et une ampleur sans précédent, soulignent les auteurs du projet de loi.

La nouvelle loi entre en vigueur le 1er septembre 2024.

Service de presse de la Saeima