Le projet de loi sur la cybersécurité
Le 26 avril 2023, le Conseil des ministres a publié pour consultation publique le projet de loi sur la cybersécurité, la consultation ayant pris fin le 24 mai 2023. Le projet de loi devrait être examiné et approuvé par les commissions parlementaires et par le Parlement d’Albanie. Avec l’entrée en vigueur de ce projet de loi, la loi n° 2/2017 relative à la cybersécurité sera abrogée.
Le projet de loi proposé est en pleine conformité avec la Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 « relative à des mesures pour un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union » (NIS 1), et est partiellement aligné sur la Directive (UE) n° 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 « sur des mesures pour un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) n° 2018/1972, et abrogeant la directive (UE) n° 2016/1148 » (NIS 2).
Le but du projet de loi est de définir les droits et les obligations des entités publiques et privées qui gèrent les infrastructures d’information, les réseaux de communication et leurs systèmes, dont la compromission ou la destruction aurait un impact sur la santé, la sécurité, le bien-être économique des citoyens et le fonctionnement efficace de l’économie du pays.
Comparé à la loi actuellement en vigueur numéro 2/2017, « Sur la cybersécurité », ce projet de loi apporte plusieurs nouveautés majeures:
- Il est prévu des structures et responsabilités claires des entités responsables de la cybersécurité
- L’Autorité nationale de la cybersécurité (l’Autorité) : surveille et applique la législation en matière de cybersécurité
- L’équipe de Réponse aux Incidents de Sécurité Cybernétique (CSIRT national) : est établie auprès de l’Autorité, laquelle collabore avec les opérateurs des infrastructures critiques et importantes en matière d’information afin d’assurer la continuité de leurs activités en tout temps et sans interruption.
- Le CSIRT auprès des opérateurs d’infrastructures critiques et importantes en matière d’information : assure des fonctions de surveillance, de prévention, de traitement et de notification des incidents cybernétiques ou des attaques cybernétiques potentielles.
- L’équipe de réponse aux urgences en matière de cybersécurité (CERT) pour le traitement des situations d’urgence et de crise en matière de cybersécurité : est établie en tant que structure ad hoc par l’Autorité dans les cas d’urgence et de crise en matière de cybersécurité.
- La certification de la sécurité cybernétique est garantie conformément aux schémas de certification de l’Union européenne ainsi qu’aux procédures qui y sont associées.
- L’augmentation de la coopération nationale et internationale pour renforcer la cybersécurité nationale et satisfaire aux obligations internationales dans ce domaine.
- L’harmonisation avec NIS 1 (complètement) et NIS 2 (partiellement).