Le 12 mars 2019, le Parlement européen a approuvé le règlement sur la cybersécurité (Cybersecurity Act). Ce texte doit permettre aux Etats membres d’améliorer la réponse européenne au nombre croissant de cybermenaces. L’objectif est de renforcer le rôle de l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) en établissant un cadre de certification de cybersécurité. Le règlement est paru au Journal Officiel de l’Union européenne (UE) le 7 juin dernier. Il est donc définitivement adopté !
Le Cybersecurity Act est issu de la feuille de route de la Commission européenne en matière de sécurité du numérique présenté en septembre 2017. Depuis, le règlement « a fait l’objet d’intenses négociations », a fait remarquer l’ANSSI dans un communiqué. Le texte a finalement été définitivement adopté début juin 2019 confirmant ainsi l’adoption du mandat permanent de l’ENISA et la définition d’un cadre européen de certification de cybersécurité.
Cybersecurity Act : lutter contre une cybermenace persistante
L’adoption du Cybersecurity Act s’est fait dans un contexte particulier : celui d’une cybermenace constante et de plus en plus sophistiquée. « Nous voulions nous attaquer à deux problèmes en particulier », déclarait en mars 2019 Angelika Niebler, députée allemande en charge du dossier. « Le premier concerne le nombre croissant d’attaques contre notre infrastructure essentielle, c’est-à-dire contre tous les aspects de notre vie quotidienne – électricité, communication, eau, etc. La deuxième question concerne le nombre croissant d’objets connectés et la méfiance des utilisateurs à l’égard de la sécurité et de la confidentialité de leurs appareils« .
Les questions liées à la cybersécurité sont effectivement au cœur des préoccupations des entreprises, des particuliers et des Etats. Un sondage Eurobaromètre a montré que 87% des citoyens de l’UE considèrent la cybercriminalité comme un défi important pour la sécurité intérieure de l’Union. « La cyberattaque WannaCry de 2017, qui a paralysé plus de 200 000 systèmes informatiques dans l’Union européenne en même temps, a montré que nous avons besoin d’initiatives européennes pour renforcer la cybersécurité. Avec le règlement sur la cybersécurité, nous avons maintenant les bases de ce projet de loi », a expliqué Angelika Niebler.
Un mandat renforcé pour l’ENISA
Le Cybersecurity Act a donc permis l’adoption d’un mandat permanent pour l’ENISA, l’Agence européenne pour la cybersécurité. Le texte renforce ses missions dans plusieurs domaines comme le développement et le soutien à la mise en œuvre des politiques européennes, l’expertise ou encore l’appui au renforcement capacitaire des Etats. De plus, le texte valorise pleinement son rôle de facilitateur des échanges entre Etats membres. « Le règlement consacre l’ENISA comme point de référence auprès des institutions de l’UE, à l’aune de l’émergence de nombreuses initiatives européennes en matière cyber, y compris sectorielles », a précisé l’ANSSI.
Renforcer la sécurité du marché unique numérique
L’adoption définitive du Cybersecurity Act permet la définition d’un cadre européen de certification de cybersécurité. Ce point est essentiel pour renforcer la sécurité du marché unique numérique. Le règlement détermine des processus de certification et précise les rôles et responsabilités des Etats membres.
Le Cybersecurity Act propose trois niveaux de certification :
- Le niveau élémentaire qui cible typiquement des objets grand public, non critiques (ex : IoT)
- Le niveau substantiel qui cible le risque médian (exemple : informatique en nuage)
- Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (ex : dispositifs médicaux connectés).