Publicité

JOUE L151 du 7 juin 2019 et rectificatif publié au JOUE L129 du 15 avril 2021

Afin d’assurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de l’Union, ce texte établit :

* les objectifs, les tâches et les questions organisationnelles concernant l’Agence de l’Union européenne pour la cybersécurité (ENISA) ;
* un cadre pour la mise en place de schémas européens de certification de cybersécurité.

En premier lieu, il étend le rôle de l’ENISA dont la mission principale, consiste dans le cadre de ce règlement, à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union et de l’ensemble des instruments juridiques pertinents comportant des aspects liés à la cybersécurité. Elle contribuera également à la construction et à la mise en œuvre de la politique de l’Union européenne dans le domaine de la cybersécurité (notamment en fournissant des conseils en la matière). L’ENISA consolidera également la coopération et la gestion des risques dans le domaine de la cybersécurité au niveau européen. Pour ce faire, elle échangera notamment des informations avec de nombreux acteurs européens tels que le réseau des centres de réponse aux incidents de sécurité informatique, Europol et le centre de renseignement et de la situation de l’Union européenne (INTCEN). La coopération entre les États de l’Union européenne devrait permettre d’intensifier les travaux de détection, et de localisation des responsables des cyberattaques.

En deuxième lieu, le texte instaure un cadre pour la mise en place de schémas européens de certification de cybersécurité. L’objectif est de garantir un niveau adéquat de cybersécurité des technologies de l’information et des communications (TIC), services TIC et processus TIC dans l’Union. Ce cadre prévoit un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie.

Afin de garantir qu’un produit ou service TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité, le futur schéma européen de certification de cybersécurité devra préciser les différents niveaux d’assurance pour les certificats de cybersécurité européens. Les exigences de sécurité correspondant à chaque niveau d’assurance seront définies dans le schéma européen de certification de cybersécurité. Ce dernier pourra comporter un ou plusieurs niveaux d’assurance pour les produits, services et processus TIC (niveau élémentaire, substantiel ou élevé).

Le futur schéma européen de certification de cybersécurité pourra permettre l’auto-évaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur du produit, service ou processus TIC. Cette auto-évaluation n’est autorisée que pour les produits, services ou processus TIC qui présentent un risque faible correspondant au niveau d’assurance élémentaire.

Lors de l’élaboration des schémas européens de certification de cybersécurité, l’ENISA devra notamment consulter les organismes de normalisation et en particulier les organismes de normalisation européens. Un groupe de travail ad hoc a été jugé nécessaire pour la préparation d’un schéma européen de certification de cybersécurité.

Par ailleurs, un site internet dédié sera tenu à jour par l’ENISA. Il contiendra des informations et une publicité sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l’Union.

Chaque Etat membre a l’obligation de désigner une ou plusieurs autorités nationales de certification de cybersécurité. Les Etats membres sont tenus de déterminer les sanctions applicables en cas de violation de ces dispositions. Ils informeront sans retard la Commission du régime des sanctions applicables ainsi que de toute modification à ce régime.

Ce texte entre en vigueur le 27 juin 2019 et abroge, à compter de cette même date, le règlement n°526/2013 du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information. Certaines dispositions s’appliquent à partir du 28 juin 2021.

Il a fait l’objet d’un rectificatif publié au JOUE L129 du 15 avril 2021.