Shedding light on the first EU-wide legislation on cybersecurity

blog 1

Alejandro Sanchez Garcia and Andrea Barona Valladolid, 5 August 2016

More and more business value and personal information is migrating into digital form on worldwide interconnected platforms. This brings an equally large risk of cyberattacks. You just need to go back to October 2015 when the telecom group TalkTalk suffered from a cyberattack that cost the company over €41 m. Nearly 157,000 of its customers’ personal details were accessed and 28,000 stolen credit and debit cards were “obscured”. The cyberattack caused TalkTalk shares to loose one third of their value. Conscious of the real cost of cybercrime, in July 6 2016 the European Parliament adopted the Network and Information Security Directive (Directive (EU) 2016/1148) (the “NIS Directive”), which will enter into force on 8 August 2016. EU member states have until 10 May 2018 to adopt national measures to transpose the requirements of the Directive.

The NIS Directive responds to the threat posed by cyberattacks against critical infrastructure and the need to strengthen Europe’s cyber resilience. It has a significant impact on businesses supplying essential services and operating critical infrastructure in the field of energy, transport, banking, health or digital services. In addition, at member state level, it will require the adoption of domestic structures and cooperation mechanisms. Faced with a Directive with implications for both public bodies and businesses, it is essential to understand the key aspects and controversies around it.

Five key features

  1. National frameworks: The Directive requires national strategies that allow for concrete policy and regulatory measures to safeguard a minimum level of network and information security. This will imply the designation of a national competent authority responsible for managing incidents and risks.
  2. Cooperation networks: The European Commission, member states and the European Network and Information Security Agency will establish a cooperation group with the objective of collaborating to counter cybersecurity threats.
  3. Notification requirements: Operators of essential services have to put in place procedures to assess the significance of network and information security incidents. An operator of essential services is not required to notify other parties. However, a national competent authority may decide to inform the public.
  4. Use of standards: To encourage convergent implementation, member states must use European or internationally accepted standards relevant to the security of networks and information systems. Such standards have not been expressly defined in the NIS Directive.
  5. Enforcement: Competent authorities at a national level are given the license to investigate cases of non-compliance. They may report criminal incidents to law enforcement agencies and collaborate with data protection authorities when incidents involve personal data.

Potential legal vacuum

There are two aspects that remain ambiguous and could potentially lead to a situation of legal uncertainty. One is the system of penalties (Article 21), as the Directive simply requires member states to put in place “effective, proportionate and dissuasive” sanctions. It remains to be seen what sanction regime member states develop before the deadline of 8 May 2018.

The other delicate issue concerns the mechanism of incident notification (Article 14.3 and 5, and Article 16.3 and 6). The directive falls silent on the terms for the public disclosure of an incident. Publishing this information could have a great impact on the company’s economic and corporate reputation.

Three years after its initial proposal, we should acknowledge and acclaim the joint institutional effort to create a more secure and trusted online environment in. However, it is notable that the NIS Directive is a minimum harmonisation instrument. This means all eyes will now focus on member state’s ability to make this Directive a reality at national level.

 

Alejandro Sánchez García, Senior Director, FTI Strategic Consulting, Brussels. Simon Stevin Promotion.

Andrea Barona Valladolid, Consultant, FTI Strategic Consulting, Brussels. Vaclav Havel Promotion.

 

Hier le Brexit, et demain quelle Europe? Des capacités opérationnelles propres pour une Union efficace et responsable

Damien Gerard, 11 July 2016

Depuis dix jours, de nombreux commentaires spéculent sur les causes du souhait exprimé par la majorité des citoyens britanniques de quitter l’Union. Ce serait notamment la faute aux imprécisions récurrentes véhiculées par la presse d’outre-Manche, voire à une désinformation à grande échelle organisée par le camp du « Leave ». C’est sans doute en partie le cas, comme il est également évident que la relation du Royaume-Uni au projet d’intégration européenne est historiquement différente de celle des Etats d’Europe continentale. Néanmoins, on a du mal à croire que le résultat du référendum aurait été le même si l’Union européenne était réellement un modèle d’efficacité dans la gestion des grands défis de notre temps. Le citoyen européen, au Royaume-Uni ou ailleurs, aurait-il tort d’être fatigué de l’état de crise permanent dans lequel semble plongée l’Union depuis des années ? Est-il tellement insensé que certains considèrent l’Union comme un facteur d’instabilité avant d’être un projet porteur d’espoir ? Les causes du Brexit ne seraient-elles pas à chercher aussi dans un manque d’efficacité des politiques européennes ?

Le manque d’efficacité de l’UE : cause du Brexit et conséquence de choix inspirés par le Royaume-Uni ?

Et si le Brexit était en fait le résultat d’une désinformation permettant de camoufler le fait que l’inefficacité apparente de l’Union européenne est aussi la conséquence d’orientations données par le Royaume-Uni au fonctionnement interne de l’Union ? Shocking ? Pour le juriste européen, il est tout de même interpellant que l’image du fonctionnement de l’Union européenne véhiculée par les principaux acteurs du Brexit se soit révélée à ce point anachronique et en décalage avec la réalité des faits, qu’il s’agisse de David Cameron appelant l’Union à cesser d’agir avec la rigidité d’un bloc mais davantage avec la souplesse d’un réseau ou de Boris Johnson réclamant plus de coopération entre Etats et moins de contenu supranational. En effet, cela fait presque vingt ans que l’Union européenne fonctionne précisément sur le principe d’une coopération entre Etats et par le biais de réseaux d’autorités nationales. De la même façon, l’Union produit beaucoup moins de contenu supranational depuis vingt ans, préférant recourir à des modes de convergence souples résultant d’un partage d’expériences entre les Etats membres. En d’autres termes, les lois européennes adoptées par le Parlement européen et/ou le Conseil traduisent déjà depuis de nombreuses années l’idéal prôné par les deux figures de proue du référendum britannique.

Curieux ? Le doute grandit lorsque l’on se rappelle que cette évolution dans le mode de fonctionnement de l’Union visant à donner la priorité à la coopération entre Etats membres résulte aussi d’impulsions données par le Royaume-Uni, par exemple dans le domaine de la lutte contre la criminalité transfrontalière. L’incrédulité augmente lorsque l’on se rend compte que la coopération entre autorités nationales comporte des avantages en termes d’apprentissage mutuel (outre qu’elle constitue parfois la seule voie possible) mais présente également des défauts en termes d’efficacité et participe de l’incapacité de l’Union européenne à faire face efficacement aux crises de ces dernières années, hier en matière financière et aujourd’hui en matière d’immigration et de terrorisme. La consternation guette lorsque l’on considère que cette incapacité contribue à mettre en doute aux yeux des citoyens la valeur ajoutée de l’Union en tant que niveau de pouvoir autonome et alimente la tentation d’un repli sur soi, susceptible d’effacer les acquis de 65 ans de projet européen commun.

Est-il vraiment imaginable qu’après avoir contribué de tout son poids à mettre en place le marché unique, le Royaume-Uni ait pu entraîner l’Union toute entière dans un cercle vicieux fait de déférence pour le niveau national, d’inefficacité des politiques européennes et de perte de légitimité ? A son tour, le Brexit permettrait-il la fuite d’un Etat membre qui a contribué à créer la situation complexe et contestée dans laquelle se trouve l’Union européenne aujourd’hui, à l’image du spectacle que donnent les responsables politiques britanniques depuis qu’est tombé le résultat du référendum ? Si la peur est mauvaise conseillère, la paranoïa l’est d’autant plus. Assurément, ces questions appellent des réponses nuancées mais se les poser permet d’ébaucher d’intéressantes pistes d’avenir pour l’Union européenne de demain.

L’Europe de demain : répondre aux attentes des citoyens en investissant dans l’efficacité ?

Pour commencer, l’Union européenne est solide : organisation internationale unique en son genre, son fonctionnement fait preuve d’une stabilité remarquable. Créée et régie par des traités conclus entre Etats souverains, l’Union jouit d’une autonomie sans précédent en raison de sa capacité à adopter elle-même des normes visant à mettre en œuvre les compétences qui lui ont été attribuées, à interpréter ces normes et à juger de leur validité. Au fil du temps, les systèmes juridiques nationaux se sont accommodés de l’existence et des exigences de cette organisation autonome, au point que les règles régissant les interactions entre droit national et droit européen ont aujourd’hui atteint un seuil de maturité étonnant, empreint de respect et de confiance mutuelle. On en a encore eu la preuve récemment lorsque la Cour constitutionnelle allemande a admis le recours par la Banque centrale européenne aux opérations monétaires sur titres afin de stabiliser l’euro, pour peu qu’il s’effectue en conformité avec les limites fixées par la Cour de justice de l’Union européenne.

Malgré sa grande autonomie, l’Union européenne demeure néanmoins dépendante des Etats  membres quand il s’agit d’appliquer les normes qu’elle édicte. En d’autres termes, l’Union ne dispose pas de capacités d’action propres de nature à assurer directement l’application efficace des règles qu’elle adopte. Le contrôle des règles de concurrence entre entreprises a historiquement constitué la seule exception à ce principe. Depuis quelques mois, cependant, la Banque centrale européenne dispose également du pouvoir de contrôler directement les institutions de crédit les plus importantes de la zone euro, en collaboration avec les autorités nationales de surveillance mais avec un pouvoir de décision autonome, dans le cadre de ce que l’on appelle l’Union bancaire. La mise en place de cette Union bancaire constitue une avancée remarquable dans le processus d’intégration européenne. En effet, elle se fonde sur la reconnaissance de la nécessité de doter l’Union européenne d’une capacité d’action autonome, au-delà de la simple coordination de l’action d’autorités nationales, afin d’effectuer un contrôle efficace et cohérent des banques et donc d’assurer la stabilité financière de la zone euro. Il aura fallu une crise monétaire sans précédent pour se rendre compte que la seule coopération bilatérale ou multilatérale entre autorités nationales, même sur la base d’un cadre de règles communes, était insuffisante pour atteindre cet objectif.

Au lendemain du Brexit, la réforme de l’Union européenne en vue de regagner la confiance des citoyens passe notamment par le développement de capacités opérationnelles propres à l’Union, en partenariat avec les autorités nationales mais avec de réelles capacités d’intervention, à l’image de ce qui a été réalisé dans le cadre de l’Union bancaire et de ce qui existe en matière de concurrence. Une telle réforme dispose d’un énorme potentiel de renforcement de l’efficacité de l’Union européenne, sans transfert significatif de compétences nouvelles, sans redistribution directe de ressources entre Etats membres, sans transformation institutionnelle majeure, sans modification importante des traités susceptible de donner lieu à davantage d’instabilité. La récente proposition de la Commission européenne de créer un corps européen de gardes-frontières et de garde-côtes constitue un pas important dans cette direction, alors que la crise migratoire que nous vivons a déjà coûté la vie de plus de dix mille personnes depuis 2014 (données HCR). En matière de lutte contre la criminalité transfrontalière et le terrorisme, un renforcement des capacités opérationnelles d’Europol et d’Eurojust s’avère également urgent afin de résorber le décalage entre la libre circulation des personnes et le cloisonnement territorial des systèmes nationaux de police et de justice pénale, et d’aboutir à une coordination efficace entre les Etats membres dont l’actualité récente a malheureusement démontré les lacunes. Dans ce domaine, il s’agirait d’aboutir à la mise en place d’un véritable « European Bureau of Investigation » encadré par des procureurs européens (pouvant être en même temps des procureurs nationaux), capable de coordonner efficacement les services compétents des Etats membres mais disposant également des pouvoirs et des moyens nécessaires afin de mener des actions sur le terrain.

*

Les mois qui viennent nous diront si le Brexit deviendra une réalité. Ce qui est de plus en plus évident, cependant, c’est que l’intégration européenne par la seule coopération entre Etats membres sans une réelle capacité d’action au niveau européen, a démontré ses limites. Face à ce constat, il convient de confronter la réalité et d’ajuster la stratégie, sans se laisser aller à une surenchère perdue d’avance contre les nationalistes de tout poil. Un des enjeux majeurs de l’Europe de demain est de répondre efficacement aux attentes légitimes des citoyens ; pour ce faire, n’est-il pas temps de permettre à l’Union européenne de prendre ses responsabilités en la dotant de capacités opérationnelles propres ? Parce que nous n’avons pas nécessairement besoin de plus d’Europe mais de mieux d’Europe.

 

Damien Gerard est Directeur du Global Competition Law Center du Collège d’Europe et enseigne le droit européen à l’Université de Louvain (UCL, Belgique).

lego germany

Germany Follows Cameron’s Lead In Treating EU Workers As Foreigners

Post originally published on socialeurope.eu, 5 May 2016

Ideas spread fast, bad ideas spread faster. Over the last few months, the European Commission has tried to give new impulse towards achieving a ‘Social Triple A’ rating. At the beginning of March, Employment and Social Affairs Commissioner Marianne Thyssen launched a social package comprising an outline of the European Pillar of Social Rights and some ideas to facilitate labour mobility. Continue reading

After the Brussels Attack: Time to Build Transboundary Crisis Management Capacity

by Arjen Boin, Mark Rhinard and Magnus Ekengren

The recent terrorist attacks in Paris and Brussels, in combination with the ongoing refugee crisis, demonstrate to many the risks of increased integration and open borders. In response, the borders are closing and the walls are coming up. The European road towards integration is running into roadblocks.

It is a scenario that EU-skeptics envisioned when the European Union began to speed up its march towards integration in the 1990s. Scholars and skeptics warned that the rise of integration would create new risks: transboundary threats that do not fall neatly within the geographic borders of a country, or politely confine themselves to a well-marked policy sector. Continue reading

How the EFSI works in practice and how it doesn’t – a case study

Gibran Watfe, 7 January 2016

More than five years after the onset of the euro area sovereign debt crisis, the EU still struggles to recover in terms of growth and employment. The most important project by the European Commission under president Jean-Claude Juncker that is supposed to boost growth is the Investment Plan for Europe. The core of the plan is the creation of the European Fund for Strategic Investments (EFSI) that is meant to mobilize private investments for viable projects across the EU, based on a guarantee backed by the EU budget. For this purpose, the European Investment Bank (EIB) is supposed to invest funds of an amount that is three times the size of the guarantee fund, generating private investments of 15 times the amount of the fund. The idea behind this setup is that the guarantee fund takes on some of the risk of a project so that private investors are attracted, as they have to bear less risk.

Continue reading

End of bailing out of banks, but how accountable will the Single Resolution Board be?

Phedon Nicolaides, 4 January 2016

One of the benefits of the Christmas break is that you can catch up with the episodes of your favourite series that you have missed. In our case, we watched three seasons [about 45 episodes] of “Breaking Bad” – the hit tv series of the chemistry teacher who became a drug dealer. Yes, we too got addicted, thankfully in a different way.

Source: httphdwallpaperbackgrounds.net

Source: httphdwallpaperbackgrounds.net

But as we were watching back-to-back episodes of Breaking Bad I realised that they had managed to solve the principal-agent problem that has bedevilled the new economic governance of the European Union. As of 1 January 2016, the Single Resolution Mechanism became operational. A week earlier, on 24 December 2015, the Official Journal of the EU published the text of an “Agreement between the European Parliament and the Single Resolution Board on the Practical Modalities of the Exercise of Democratic Accountability and Oversight”. Will the European Parliament succeed to exercise effective oversight over the SRB? Before I answer this question, I want to explain how the principal-agent problem was solved in Breaking Bad. Continue reading

people

Commission’s Investment Plan Lacks Human Capital Component

Neglecting motivation, skills and digital literacy in work force risks losing Europe’s competitive advantage – Post originally published by Euro Insight, 18 November 2015.

The need to boost investment across Europe is undisputed and well documented. Since 2008, both private and public investment contracted: gross fixed-capital formation as a percentage of GDP fell from 22.2% in 2007 to 18.5% in 2013, and there are still no signs of recovery.

Continue reading