Nouvelles législations adoptées pour booster la cybersécurité de l'UE, au cœur des enjeux

Temps de lecture: 6 min |4 décembre 2024 à 05:00

Conseil européen

Afin de renforcer la solidarité et les capacités dans l'UE en matière de détection, de préparation et de réaction face aux menaces et incidents de cybersécurité, le Conseil européen a adopté deux nouveaux actes législatifs dans le cadre du "paquet" législatif sur la cybersécurité, à savoir le "règlement sur la cybersolidarité" et une modification ciblée du règlement sur la cybersécurité.

Principaux éléments du règlement sur la cybersolidarité

Le nouveau règlement donne à l'UE les moyens de rendre l'Europe plus résiliente face aux cybermenaces, tout en renforçant les mécanismes de coopération. Il établit notamment un "système d'alerte en matière de cybersécurité", qui est une infrastructure paneuropéenne composée de cyberpôles nationaux et transfrontières dans l'ensemble de l'UE. Ces entités sont chargées de partager des informations et de détecter les cybermenaces et d'y réagir. Les cyberpôles utiliseront des technologies de pointe, telles que l'intelligence artificielle (IA) et l'analyse avancée des données, pour détecter et partager en temps utile les avertissements sur les menaces et incidents de cybersécurité au niveau transfrontière. Ils renforceront le cadre européen existant, tandis que les autorités et les entités concernées, de leur côté, seront en mesure de réagir de manière plus efficiente et efficace aux incidents en matière de cybersécurité.

Le nouveau règlement prévoit également la création d'un mécanisme d'urgence dans le domaine de la cybersécurité afin d'améliorer la préparation et les capacités de réaction aux incidents dans l'UE. Il soutiendra:

Enfin, le nouveau règlement établit un mécanisme d'analyse des incidents afin d'apprécier, entre autres, l'efficacité des actions menées dans le cadre du mécanisme d'urgence en matière de cybersécurité et l'utilisation de la réserve de cybersécurité, ainsi que la contribution de ce règlement au renforcement de la position concurrentielle de l'industrie et des services.

La modification ciblée du règlement sur la cybersécurité de 2019

Cette modification ciblée vise à renforcer la cyberrésilience de l'UE en permettant l'adoption à l'avenir de schémas européens de certification pour les "services de sécurité gérés". Le nouveau règlement reconnaît l'importance croissante des services de sécurité gérés pour prévenir et détecter les incidents de cybersécurité, y réagir ou rétablir la situation après ceux-ci. Il peut s'agir, par exemple, de services concernant la gestion des incidents, des tests de pénétration, des audits de sécurité et des conseils liés à l'assistance technique.

Dans l'attente des résultats de l'évaluation du règlement sur la cybersécurité, cette modification ciblée permettra la mise en place de schémas européens de certification pour ces services de sécurité gérés. Elle contribuera à améliorer la qualité de ces services et à accroître leur comparabilité, elle facilitera l'émergence de fournisseurs de services de cybersécurité fiables, et elle permettra d'éviter la fragmentation du marché intérieur, étant donné que certains États membres ont déjà commencé à adopter des schémas nationaux de certification pour les services de sécurité gérés.

des mesures de préparation, y compris la soumission d'entités à des tests dans des secteurs hautement critiques (soins de santé, transports, énergie, etc.) pour détecter des vulnérabilités potentielles, sur la base de méthodes et de scénarios de risque communs
une nouvelle réserve de cybersécurité de l'UE composée de services de réaction aux incidents fournis par le secteur privé et prêts à intervenir, à la demande d'un État membre ou des institutions, organes et agences de l'UE et des pays tiers associés, en cas d'incident de cybersécurité important ou à grande échelle
une assistance mutuelle sur le plan technique

Prochaines étapes

Après leur signature par les présidents du Conseil et du Parlement européen, les deux actes législatifs seront publiés au Journal officiel de l'Union européenne au cours des semaines à venir et entreront en vigueur 20 jours après cette publication.

Contexte

Le 18 avril 2023, la Commission a adopté la proposition de règlement établissant des mesures destinées à renforcer la solidarité et les capacités dans l'UE afin de détecter les menaces et incidents de cybersécurité, de s'y préparer et d'y réagir, le "règlement sur la cybersolidarité", ainsi qu'une proposition de modification ciblée du règlement sur la cybersécurité. Le règlement sur la cybersécurité, adopté en 2019, a mis en place le premier cadre de certification de cybersécurité destiné à l'ensemble des États membres.

La première proposition de la Commission introduit un "cyberbouclier européen", composé de centres d'opérations de sécurité (SOC), rassemblés au sein de plusieurs plateformes SOC plurinationales financées par le programme pour une Europe numérique. La deuxième proposition vise à modifier de manière ciblée le champ d'application du règlement sur la cybersécurité afin que la Commission puisse adopter des actes d'exécution sur les schémas européens de certification de cybersécurité pour les services de sécurité gérés, en plus des produits, services et processus des technologies de l'information et de la communication (TIC) qui sont couverts par l'actuel règlement sur la cybersécurité. Le 6 mars 2024, les colégislateurs sont parvenus à un accord provisoire sur les deux propositions modifiant les notions de "cyberbouclier européen" et de SOC par rapport à la proposition initiale de la Commission.