Règlement sur la cybersécurité de l’Union européenne
SYNTHÈSE DES DOCUMENTS:
Règlement (UE) 2019/881 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications (règlement sur la cybersécurité)
QUEL EST L’OBJET DE CE RÈGLEMENT?
Il vise à atteindre un niveau élevé de cybersécurité, de cyberrésilience et de confiance dans l’Union européenne (UE) en fixant:
- des objectifs, des tâches et les questions organisationnelles pour une agence de l’Union européenne pour la cybersécurité (ENISA) renforcée et renommée, avec un nouveau mandat permanent;
- un cadre pour les systèmes européens volontaires de certification de la cybersécurité pour les produits, services et processus liés aux technologies de l’information et de la communication (TIC).
POINTS CLÉS
L’ENISA a pour mandat de:
- parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’UE;
- soutenir les autorités nationales et les institutions, organes, organismes et agences de l’UE dans l’amélioration de la cybersécurité;
- servir de point de référence pour les conseils et l’expertise scientifiques et techniques en matière de cybersécurité pour les institutions, organes, organismes et agences de l’UE, ainsi que pour les autres parties prenantes concernées;
- contribuer à réduire la fragmentation du marché intérieur;
- d’agir de façon indépendante tout en évitant la duplication des activités des pays de l’UE et en tenant compte de leurs compétences existantes;
- de développer ses propres ressources et aptitudes techniques et humaines.
Les tâches de l’ENISA consistent à:
- contribuer à l’élaboration et à la mise en œuvre de la politique et du droit de l’UE;
- promouvoir le renforcement des capacités, par exemple en améliorant la prévention, la détection et l’analyse des cybermenaces*, ainsi que la réponse à ces menaces et en aidant à la mise en place d’équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou en organisant des exercices de cybersécurité au niveau de l’UE;
- soutenir la coopération opérationnelle de l’UE entre tous les acteurs concernés, y compris le service de cybersécurité de l’UE pour les institutions, organes, organismes et agences de l’Union (CERT-UE), notamment par l’échange de savoir-faire et de bonnes pratiques, la fourniture de lignes directrices pertinentes et l’entretien du réseau des CSIRT nationaux et de l’UE;
- soutenir et promouvoir le développement et la mise en œuvre de la certification de cybersécurité de l’UE pour les produits, services et processus TIC, dans le cadre de son rôle dans la préparation des programmes du nouveau cadre européen de certification de la cybersécurité;
- recueillir et analyser les connaissances et les informations sur la cybersécurité, notamment sur les technologies émergentes, les cybermenaces et les incidents, afin de fournir des informations et des conseils aux autorités nationales, aux parties prenantes concernées et, par l’intermédiaire d’un portail dédié, au public (citoyens, organisations et entreprises);
- sensibiliser le public aux risques liés à la cybersécurité, fournir des conseils sur les bonnes pratiques pour les utilisateurs individuels et promouvoir la sensibilisation et l’éducation à la cybersécurité en général;
- conseiller sur les besoins et les priorités en matière de recherche et contribuer au programme stratégique de recherche et d’innovation au niveau de l’Union dans le domaine de la cybersécurité;
- contribuer aux efforts de l’UE pour coopérer avec les organisations et partenaires internationaux sur les questions de cybersécurité.
La structure administrative et de gestion de l’ENISA comprend:
- un conseil d’administration, composé d’un représentant de chaque État membre de l’UE et de deux membres nommés par la Commission européenne, établit l’orientation générale des activités de l’agence et veille à ce que l’agence s’acquitte de ses tâches dans des conditions qui lui permettent de servir conformément au règlement fondateur;
- un bureau exécutif de cinq membres, qui prépare les décisions à adopter par le conseil d’administration;
- un directeur exécutif indépendant, responsable devant le conseil d’administration et faisant rapport au Parlement européen et au Conseil de l’Union européenne lorsque cela lui est demandé, est chargé de la gestion de l’agence;
- un groupe consultatif de l’ENISA composé d’experts reconnus des parties prenantes concernées, telles que l’industrie des TIC, les fournisseurs de réseaux ou de services de communications électroniques, les petites et moyennes entreprises, les consommateurs, les universitaires et les opérateurs de services essentiels, ainsi que des représentants des autorités compétentes notifiées dans le cadre du Code européen des communications électroniques, des organisations de standardisation, des autorités de contrôle de l’application de la loi et de la protection des données, se concentre sur les questions pertinentes pour les parties prenantes et les porte à l’attention de l’ENISA;
- un réseau d’officiers de liaison nationaux, composé de représentants de tous les États membres, facilite l’échange d’informations entre l’ENISA et les États membres et aide l’ENISA à faire connaître ses activités, ses conclusions et ses recommandations.
Le règlement institue les organes suivants:
- un groupe de certification de la cybersécurité composé d’experts reconnus, chargé par exemple de conseiller la Commission sur les questions stratégiques concernant le cadre de certification de la cybersécurité de l’UE et, sur demande, l’ENISA sur les questions générales et stratégiques concernant les tâches pertinentes de l’agence;
- un groupe européen de certification en matière de cybersécurité (ECCG), composé de représentants nationaux, chargé de conseiller et d’assister la Commission dans ses travaux visant à assurer la mise en œuvre et l’application cohérentes de l’acte, et l’ENISA dans la préparation des systèmes de certification en matière de cybersécurité candidats.
L’ENISA:
- est établi pour une durée indéterminée à compter du 27 juin 2019;
- opère conformément à un document unique de programmation qui décrit sa programmation annuelle et pluriannuelle;
- respecte les règles de sécurité de la Commission afin de protéger les informations sensibles non classifiées et les informations classifiées de l’UE;
- ne divulgue pas à des tiers les informations confidentielles qu’elle traite ou qu’elle reçoit;
- participe pleinement aux mesures de l’UE visant à lutter contre la fraude, la corruption et d’autres activités illégales;
- traite les données à caractère personnel conformément aux règles de l’UE qui s’appliquent.
Le règlement établit un cadre européen de certification de la cybersécurité pour:
- améliorer le fonctionnement du marché intérieur en augmentant le niveau de cybersécurité dans l’UE et en permettant une approche harmonisée au niveau de l’UE des systèmes européens de certification de la cybersécurité en vue de créer un marché unique numérique pour les produits, les services et les processus liés aux TIC;
- créer un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie.
En vertu de ce cadre:
- la Commission:
- publie un programme de travail continu de l’UE pour la certification européenne en matière de cybersécurité, qui identifie les priorités stratégiques et les produits, services et processus ou catégories de TIC qui pourraient bénéficier d’un système,
- peut demander à l’ENISA de préparer un schéma de certification candidat ou de réviser un schéma existant;
- L’ENISA:
- prépare des projets de schémas appropriés, à la demande de la Commission ou du groupe européen de certification en matière de cybersécurité,
- évalue tous les cinq ans chaque système de certification adopté, en tenant compte du retour d’information reçu,
- dispose d’un site web dédié qui fournit des informations sur les systèmes, les certificats et les déclarations de conformité.
Les schémas européens de certification de cybersécurité volontaires:
- visent à atteindre plusieurs objectifs de sécurité, tels que la protection des données stockées, transmises ou traitées;
- indiquent le niveau de sécurité des produits, services et processus TIC comme basique, substantiel ou élevé;
- permettent aux fabricants et aux fournisseurs de produits, de services et de processus TIC à faible risque (c’est-à-dire de base) de les évaluer eux-mêmes (auto-évaluation de la conformité);
- doivent comporter certaines caractéristiques, telles que des descriptions claires de l’objectif, de l’objet et du champ d’application, ainsi que des critères et méthodes d’évaluation utilisés;
- remplacent les schémas nationaux similaires, bien que ces certificats restent valables jusqu’à leur date d’expiration.
Les fabricants et fournisseurs de produits TIC, services TIC ou processus TIC certifiés doivent mettre à la disposition du public:
- des orientations et des recommandations pour aider les utilisateurs finaux à assurer l’installation, le déploiement et la maintenance de leurs produits et services;
- des informations sur la durée pendant laquelle ils offrent un soutien en matière de sécurité;
- leurs coordonnées;
- une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées à leurs produits et services.
Les États membres désignent une ou plusieurs autorités nationales de certification en matière de cybersécurité dotées de ressources et de pouvoirs suffisants pour contrôler, superviser et faire appliquer les règles des systèmes européens de certification en matière de cybersécurité.
La Commission:
- évalue régulièrement l’efficacité et l’utilisation des schémas européens de certification adoptés et décide si l’un d’eux doit être rendu obligatoire;
- devait réaliser sa première évaluation détaillée avant le 31 décembre 2023, et d’autres évaluations tous les deux ans par la suite;
- devait évaluer l’impact, l’efficacité et l’efficience de l’ENISA d’ici le 28 juin 2024, puis tous les cinq ans.
Les personnes physiques et morales ont le droit d’introduire une réclamation auprès de l’émetteur d’un certificat de cybersécurité européen et de demander un recours juridictionnel effectif.
Acte d’exécution
En janvier 2024, la Commission a adopté le règlement d’application (UE) 2024/482 (voir la synthèse). Cet acte établit les règles d’application du règlement (UE) 2019/881 en ce qui concerne l’adoption du système européen commun volontaire de certification en matière de cybersécurité fondé sur des critères (EUCC). Il s’agit du premier système au niveau de l’UE et il concerne les certificats aux niveaux d’assurance «substantiel» ou «élevé» pour les produits TIC tels que le matériel et les logiciels, y compris les composants tels que les puces et les cartes à puce. Le règlement comprend des règles détaillées sur des aspects tels que:
- les normes et exigences relatives à l’évaluation, à la délivrance, au renouvellement et au retrait des certificats EUCC pour les produits et les profils de protection;
- les organismes d’évaluation de la conformité accrédités pour délivrer des certificats ou effectuer des activités d’évaluation;
- le contrôle de la conformité, la non-conformité et le non-respect des règles;
- les procédures de gestion et de divulgation des vulnérabilités;
- la conservation des dossiers, la divulgation et la protection des informations;
- des accords de reconnaissance mutuelle avec des pays non membres de l’UE;
- l’évaluation par les pairs des organismes de certification;
- la maintenance du système; et
- les systèmes nationaux de certification en matière de cybersécurité couverts par l’EUCC.
Le règlement d’application de l’EUCC s’appliquera à partir du 27 février 2025.
Le règlement (UE) 2019/881 et son règlement d’application connexe n’affectent pas les responsabilités des États membres en matière de sécurité publique, de défense, de sécurité nationale et de droit pénal.
Le règlement abroge le règlement (UE) n° 526/2013 à compter du 27 juin 2019.
DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?
Le règlement s’applique depuis le 27 juin 2019.
Les articles relatifs à la désignation des autorités nationales de cybersécurité, à l’accréditation et à la notification des organismes d’évaluation de la conformité, au droit de porter plainte auprès des émetteurs de certificats européens de cybersécurité, au droit à un recours juridictionnel et aux sanctions s’appliquent à partir du 28 juin 2021.
CONTEXTE
Basée à Athènes, avec une succursale à Héraklion, l’ENISA contribue à la sécurité des réseaux et de l’information de l’UE depuis 2004. Pour en savoir plus, veuillez consulter:
TERMES CLÉS
Cybermenace. Circonstance, événement ou action susceptible d’endommager, de perturber ou d’affecter négativement les réseaux et les systèmes d’information, leurs utilisateurs et d’autres personnes.
DOCUMENT PRINCIPAL
Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15-69).
DOCUMENTS LIÉS
Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024).
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39-98).
Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1-30)
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1-88).
Les modifications successives du règlement (UE) 2016/679 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.
dernière modification 18.06.2024