La nouvelle loi sur la cybersécurité de l'UE vise à améliorer la cyber-résilience et la réponse de l'UE en s'appuyant sur les instruments existants qui assurent la sécurité des réseaux et des systèmes d'information. Avec la proposition de la Commission, le système actuel pourrait être réformé pour supprimer les contraintes pesant sur l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA). L'ENISA pourrait plutôt devenir le centre des opérations de mise en place d'un cadre de certification de l'UE.
Mais pourquoi le cadre européen de certification de cybersécurité est-il si important et quelles sont les nouveautés en matière de mise en œuvre ?
Cela rend possible la création d'un marché unique de la cybersécurité
L'un des freins au développement du marché de la cybersécurité dans l'UE est sans aucun doute l'absence d'un système reconnu de certification en la matière. Nous avons plutôt affaire à des certifications nationales qui fonctionnent toutes dans différents pays, mais la plupart d'entre elles ne sont pas mutuellement reconnues en dehors de leur marché d'origine.
Un cadre européen de certification de cybersécurité pourrait donc éliminer ces problèmes et contribuer à créer un marché unique de la cybersécurité pour l'UE. Une approche harmonisée au niveau de l'UE définit des mécanismes qui établissent des systèmes de certification de cybersécurité à l'échelle de l'UE qui évaluent les processus, produits et services TIC (Internet et technologies de la communication) et garantissent qu'ils sont conformes aux exigences de sécurité spécifiées.
Il aborde des objectifs de sécurité importants
Le système européen de certification de cybersécurité sera conçu de manière à atteindre des objectifs de sécurité spécifiques :
protection des données — cela comprend la protection des données contre toute destruction, perte, stockage, accès, traitement ou divulgation accidentels ou non autorisés ;
conserver des enregistrements de données — cela permet d’enregistrer les données qui ont été consultées, utilisées ou traitées, par qui et quand, ainsi que de s’assurer que les informations sont accessibles et disponibles pour être vérifiées ;
développement de qualité des produits, processus et services TIC : ceux-ci doivent être développés, fabriqués et fournis conformément aux exigences de sécurité du système particulier, tout en s'assurant qu'ils sont fournis avec des logiciels et du matériel mis à jour, dotés de mécanismes de mises à jour sécurisées et sans vulnérabilités connues du public.
Éléments du système de certification de cybersécurité de l'UE
Chaque système de certification doit inclure des éléments tels que le sujet et le champ d'application, le type de catégories de processus et de produits et services TIC qu'il couvre. Il doit également détailler la manière dont le système de certification en question répond aux besoins des groupes cibles. Le cas échéant, les plans doivent également inclure les niveaux d'assurance et toute exigence spécifique ou supplémentaire qui garantirait que les organismes d'évaluation de la conformité qui évaluent les exigences de cybersécurité sont techniquement compétents pour le faire.
L'ENISA prépare les schémas candidats
Les États membres peuvent proposer l'élaboration d'un système européen de certification de cybersécurité candidat et peuvent demander à l'ENISA de l'élaborer. L'ENISA s'assure ensuite que ces systèmes seront conformes à la norme harmonisée globale de préparation des systèmes candidats. L'ENISA est également chargée de maintenir un site Web consacré à la fourniture d'informations sur les systèmes européens de certification de cybersécurité. Elle examinera également les systèmes adoptés au moins tous les cinq ans pour s'assurer que les commentaires des parties intéressées ont été pris en compte.
Le cadre de certification de cybersécurité de l'UE permettra aux fabricants et développeurs d'objets connectés de mieux servir le marché de l'UE. Un cadre de certification unifié dans toute l'UE réduira les effets d'un marché fragmenté sur l'économie en ligne.