Règlement sur la cybersécurité de l’Union européenne

POINTS CLÉS

L’ENISA a pour mandat de:

• parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’UE;
• soutenir les autorités nationales et les institutions, organes, organismes et agences de l’UE dans l’amélioration de la cybersécurité;
• servir de point de référence pour les conseils et l’expertise scientifiques et techniques en matière de cybersécurité pour les institutions, organes, organismes et agences de l’UE, ainsi que pour les autres parties prenantes concernées;
• contribuer à réduire la fragmentation du marché intérieur;
• d’agir de façon indépendante tout en évitant la duplication des activités des pays de l’UE et en tenant compte de leurs compétences existantes;
• de développer ses propres ressources et aptitudes techniques et humaines.

Les tâches de l’ENISA consistent à:

• contribuer à l’élaboration et à la mise en œuvre de la politique et du droit de l’UE;
• promouvoir le renforcement des capacités, par exemple en améliorant la prévention, la détection et l’analyse des cybermenaces¹, ainsi que la réponse à ces menaces et en aidant à la mise en place d’équipes de réponse aux incidents de sécurité informatique (CSIRT) nationales ou en organisant des exercices de cybersécurité au niveau de l’UE;
• soutenir la coopération opérationnelle de l’UE entre tous les acteurs concernés, y compris le service de cybersécurité de l’UE pour les institutions, organes, organismes et agences de l’Union (CERT-UE), notamment par l’échange de savoir-faire et de bonnes pratiques, la fourniture de lignes directrices pertinentes et l’entretien des réseaux des CSIRT nationaux et de l’UE;
• soutenir et promouvoir le développement et la mise en œuvre de la certification de cybersécurité de l’UE pour les produits TIC, services TIC, processus TIC et services de sécurité gérés, dans le cadre de son rôle dans la préparation des programmes du nouveau cadre européen de certification de cybersécurité;
• recueillir et analyser les connaissances et les informations sur la cybersécurité, notamment sur les technologies émergentes, les cybermenaces et les incidents, afin de fournir des informations et des conseils aux autorités nationales, aux parties prenantes concernées et, par l’intermédiaire d’un portail dédié, au public (citoyens, organisations et entreprises);
• sensibiliser le public aux risques liés à la cybersécurité, fournir des conseils sur les bonnes pratiques pour les utilisateurs individuels et promouvoir la sensibilisation et l’éducation à la cybersécurité en général;
• conseiller sur les besoins et les priorités en matière de recherche et contribuer au programme stratégique de recherche et d’innovation au niveau de l’Union dans le domaine de la cybersécurité;
• contribuer aux efforts de l’UE pour coopérer avec les organisations et partenaires internationaux sur les questions de cybersécurité.

L’ENISA dispose de la structure administrative et de gestion suivante.

• Le conseil d’administration, composé d’un représentant de chaque État membre de l’UE et de deux membres nommés par la Commission européenne, qui établit l’orientation générale des activités de l’agence et veille à ce que l’agence s’acquitte de ses tâches dans des conditions qui lui permettent de servir conformément au règlement fondateur.
• Le conseil exécutif de cinq membres, qui prépare les décisions à adopter par le conseil d’administration.
• Un directeur exécutif indépendant, responsable devant le conseil d’administration et faisant rapport au Parlement européen et au Conseil de l’Union européenne lorsque cela lui est demandé, qui est chargé de la gestion de l’agence.
• Le groupe consultatif de l’ENISA composé d’experts reconnus des parties prenantes concernées, telles que l’industrie des TIC, les fournisseurs de réseaux ou de services de communications électroniques, les petites et moyennes entreprises, les consommateurs, les universitaires et les opérateurs de services essentiels, ainsi que des représentants des autorités compétentes notifiées dans le cadre du Code des communications électroniques européen, des organisations de standardisation, des autorités de contrôle de l’application de la loi et de la protection des données, qui se concentre sur les questions pertinentes pour les parties prenantes et les porte à l’attention de l’ENISA.
• Le réseau des agents de liaison nationaux, composé de représentants de tous les États membres, qui facilite l’échange d’informations entre l’ENISA et les États membres et aide l’ENISA à faire connaître ses activités, ses conclusions et ses recommandations.

Le règlement institue ce qui suit.

• Un groupe des parties prenantes pour la certification de cybersécurité composé d’experts reconnus, notamment chargé de conseiller la Commission sur les questions stratégiques concernant le cadre de certification de la cybersécurité de l’UE et, sur demande, l’ENISA sur les questions générales et stratégiques concernant les tâches pertinentes de l’agence.
• Un groupe européen de certification de cybersécurité (GECC) composé de représentants des autorités nationales; il est chargé de conseiller et d’assister la Commission dans ses efforts pour assurer une mise en œuvre et une application cohérentes du présent règlement; il assiste aussi l’ENISA, et coopère étroitement avec elle dans la préparation des schémas de certification de cybersécurité candidats.

L’ENISA:

• est établie pour une durée indéterminée à compter du 27 juin 2019;
• opère conformément à un document unique de programmation qui décrit sa programmation annuelle et pluriannuelle;
• respecte les règles de sécurité de la Commission afin de protéger les informations sensibles non classifiées et les informations classifiées de l’UE;
• ne divulgue pas à des tiers les informations confidentielles qu’elle traite ou qu’elle reçoit;
• participe pleinement aux mesures de l’UE visant à lutter contre la fraude, la corruption et d’autres activités illégales;
• traite les données à caractère personnel conformément aux règles de l’UE qui s’appliquent.

Le règlement établit un cadre européen de certification de cybersécurité pour:

• améliorer le fonctionnement du marché intérieur en augmentant le niveau de cybersécurité dans l’UE et en permettant une approche harmonisée au niveau de l’UE des schémas européens de certification de cybersécurité en vue de créer un marché unique numérique pour les produits TIC, les services TIC, les processus TIC et les services de sécurité gérés;
• créer un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC, processus TIC et services de sécurité gérés qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie.

En vertu de ce cadre:

• la Commission:
  • publie un programme de travail continu de l’UE pour la certification européenne en matière de cybersécurité, qui identifie les priorités stratégiques et les produits TIC, services TIC, processus TIC et services de sécurité gérés ou catégories qui pourraient bénéficier d’un schéma,
  • peut demander que l’ENISA prépare un schéma de certification candidat ou révise un schéma existant;
• l’ENISA:
  • prépare des projets de schémas appropriés, à la demande de la Commission ou du groupe européen de certification de cybersécurité,
  • évalue tous les cinq ans chaque schéma de certification adopté, en tenant compte du retour d’information reçu,
  • dispose d’un site web dédié qui fournit des informations sur les schémas, les certificats et les déclarations de conformité.

Les schémas européens de certification de cybersécurité volontaires:

• visent à atteindre plusieurs objectifs de sécurité, tels que la protection des données stockées, transmises ou traitées;
• indiquent le niveau de sécurité des produits TIC, services TIC, processus TIC et services de sécurité gérés comme élémentaire, substantiel ou élevé;
• permettent aux fabricants et aux fournisseurs de produits TIC, de services TIC, de processus TIC et de services de sécurité gérés à faible risque (c’est-à-dire élémentaire) de les évaluer eux-mêmes (auto-évaluation de la conformité);
• doivent comporter certaines caractéristiques, telles que des descriptions claires de l’objectif, de l’objet et du champ d’application, ainsi que des critères et méthodes d’évaluation utilisés;
• remplacent les schémas nationaux similaires, bien que ces certificats restent valables jusqu’à leur date d’expiration.

Les fabricants et fournisseurs de produits TIC, services TIC, processus TIC et services de sécurité gérés certifiés doivent mettre à la disposition du public:

• des orientations et des recommandations pour aider les utilisateurs finaux à assurer l’installation, le déploiement et la maintenance de leurs produits et services;
• des informations sur la durée pendant laquelle ils offrent un soutien en matière de sécurité;
• leurs coordonnées;
• une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées à leurs produits et services.

Les États membres désignent une ou plusieurs autorités nationales de certification en matière de cybersécurité dotées de ressources et de pouvoirs suffisants pour contrôler, superviser et faire appliquer les règles des schémas européens de certification de cybersécurité.

La Commission:

• évalue régulièrement l’efficacité et l’utilisation des schémas européens de certification adoptés et décide si l’un d’eux doit être rendu obligatoire;
• devait réaliser sa première évaluation détaillée avant le 31 décembre 2023, et d’autres évaluations tous les deux ans par la suite;
• devait évaluer l’impact, l’efficacité et l’efficience de l’ENISA d’ici le 28 juin 2024, puis tous les cinq ans.

Les personnes physiques et morales ont le droit d’introduire une réclamation auprès de l’émetteur d’un certificat de cybersécurité européen et de demander un recours juridictionnel effectif.

Modification — services de sécurité gérés

En décembre 2024, le règlement (UE) 2025/37 modifiant le règlement en ce qui concerne les services de sécurité gérés, a été adopté. Cette modification ciblée introduit la définition des services de sécurité gérés et élargit le champ d’application du cadre européen de certification de cybersécurité en incluant les services de sécurité gérés. Par conséquent, il étend également le mandat et les tâches de l’ENISA en ce qui concerne les services de sécurité gérés.

Le règlement (UE) 2025/37 a été publié au Journal officiel le 15 janvier 2025 et s’applique depuis le 4 février 2025.

Notifications des organismes d’évaluation de la conformité

En décembre 2024, la Commission a adopté le règlement d’exécution (UE) 2024/3143 pour les notifications en vertu de l’article 61, paragraphe 5, du règlement sur la cybersécurité. L’acte d’exécution établit les circonstances, les formats et les procédures de notification des organismes d’évaluation de la conformité entre les schémas européens de certification de cybersécurité par le système d’information NANDO. Il précise également les circonstances dans lesquelles des modifications doivent être apportées à la notification et sur la base desquelles la compétence des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification peut être contestée.

Le règlement d’exécution 2024/3143 a été publié au Journal officiel le 19 décembre 2024 et s’applique depuis le 8 janvier 2025.

Schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC)

En janvier 2024, la Commission a adopté le règlement d’application (UE) 2024/482 (voir la synthèse). Cet acte établit les règles d’application du règlement (UE) 2019/881 en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) volontaire. Il s’agit du premier schéma au niveau de l’UE et il concerne les certificats aux niveaux d’assurance «substantiel» ou «élevé» pour les produits TIC tels que le matériel et les logiciels, y compris les composants tels que les puces et les cartes à puce. Le règlement comprend des règles détaillées sur des aspects tels que:

• les normes et exigences relatives à l’évaluation, à la délivrance, au renouvellement et au retrait des certificats EUCC pour les produits et les profils de protection;
• les organismes d’évaluation de la conformité accrédités pour délivrer des certificats ou effectuer des activités d’évaluation;
• le contrôle de la conformité, la non-conformité et le non-respect des règles;
• les procédures de gestion et de divulgation des vulnérabilités;
• la conservation des dossiers, la divulgation et la protection des informations;
• des accords de reconnaissance mutuelle avec des pays non membres de l’UE;
• l’évaluation par les pairs des organismes de certification;
• la maintenance du système; et
• les schémas nationaux de certification en matière de cybersécurité couverts par l’EUCC.

Le règlement d’exécution EUCC s’applique depuis le 27 février 2025.

Le règlement (UE) 2019/881 et son règlement d’exécution connexe n’affectent pas les responsabilités des États membres en matière de sécurité publique, de défense, de sécurité nationale ou de droit pénal.

Le règlement abroge le règlement (UE) n^o 526/2013 à compter du 27 juin 2019.