La Commission européenne propose une révision de la loi sur la cybersécurité et des modifications de la directive NIS2 afin de renforcer la cyberrésilience de l’UE, notamment en ce qui concerne l’évaluation des fournisseurs.
La Commission européenne a proposé une nouvelle série de mesures visant à renforcer la cyberrésilience de l’Union européenne. Au centre de ces mesures figure une révision de la loi sur la cybersécurité de 2019, qui impose, entre autres, des règles plus strictes aux fournisseurs de TIC établis en dehors de l’UE et simplifie le processus de certification de la cybersécurité. La Commission fait remarquer que la cybersécurité ne concerne pas uniquement les aspects techniques, mais aussi les dépendances géopolitiques.
Risques provenant de pays tiers
La loi remaniée sur la cybersécurité doit limiter les risques dans la chaîne d’approvisionnement des produits et services TIC, en accordant une attention particulière aux fournisseurs de pays tiers. Un cadre commun aidera les États membres à identifier et à traiter les risques dans dix-huit secteurs critiques. La proposition permet d’exclure les fournisseurs de pays dits à risque des réseaux mobiles en Europe.
Un cadre de certification renouvelé, l’European Cybersecurity Certification Framework (ECCF), doit assurer une certification plus rapide et plus transparente des produits, services et processus TIC. Les certifications doivent désormais être élaborées dans un délai de douze mois. La certification reste volontaire pour les entreprises, mais il sera plus facile de démontrer qu’elles sont conformes à la réglementation européenne.
NIS2 et ENISA
En outre, les règles existantes de la directive NIS2 sont adaptées. Cela permet d’accroître la clarté juridique et de réduire les coûts de conformité, en particulier pour les petites et moyennes entreprises. L’obligation de notification en cas d’incident est également simplifiée grâce à un point de contact central, conformément à la proposition de l’Omnibus numérique.
L’Agence européenne pour la cybersécurité (ENISA) se voit confier des compétences supplémentaires. L’organisation avertira notamment les entreprises des menaces, les aidera à réagir aux incidents et apportera un soutien à la gestion des vulnérabilités. L’ENISA continuera également à se concentrer sur la formation et la certification par le biais d’une Académie européenne des compétences en matière de cybersécurité.
Suite à la boîte à outils
Les règles proposées s’appuient sur la boîte à outils pour la sécurité 5G que l’UE a déployée en 2020. Cette boîte à outils était censée exclure les fournisseurs à risque, notamment lors du déploiement du réseau 5G. Dans la pratique, la boîte à outils a toutefois ouvert la porte à une application relativement arbitraire des règles par les États membres.
lire aussi
La Commission européenne remanie la loi sur la cybersécurité en accordant une plus grande attention aux fournisseurs à risque
La nouvelle approche permet de réaliser des analyses de risques à l’échelle de l’UE. Les règles du jeu sont ainsi harmonisées, de sorte qu’un fournisseur est considéré ou non comme présentant un risque dans l’ensemble de l’UE. Les États membres procéderont ensemble à des évaluations des risques dans dix-huit secteurs critiques.
Officiellement, l’UE ne vise aucune entreprise avec la réglementation. La boîte à outils avait toutefois été introduite à l’époque en raison des préoccupations concernant le rôle des entreprises chinoises dans les infrastructures critiques. ZTE et Huawei, en particulier, ont vu leur rôle dans le déploiement de la 5G s’évaporer.
Mise en œuvre rapide
La nouvelle loi sur la cybersécurité et les modifications de la directive NIS2 sont soumises à l’approbation du Parlement européen et du Conseil. Après approbation, les États membres disposent d’un an pour transposer la directive en droit national.