Le 27 mars 2019,  le Parlement européen a adopté un règlement pour la cybersécurité relatif  “à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité)”. 

 

Le considérant n°1 du règlement est parfaitement explicite sur les enjeux ayant conduit à l’adoption de ce règlement en les termes suivants :

 

 « Les réseaux et systèmes d’information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. »

 

Dans ce contexte, l’article 1 explicite les deux objectifs du règlement européen, à savoir :  

 

  • “les objectifs, les tâches et les questions organisationnelles concernant l’ENISA”

« La principale tâche de l’ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 [communément appelée NIS] ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience » (considérant 24).

 

  • un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union. »

 

Ce second objectif du présent règlement vise à établir un cadre de certification de cybersécurité unifié à savoir « un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. »

 

Le certificat de cybersécurité européen est défini comme  « un document délivré par un organisme compétent attestant qu’un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité ».

Il sera donc possible de faire certifier :

 

  • un produit TIC, « un élément ou un groupe d’éléments appartenant à un réseau ou à un schéma d’information » ;

 

  • un service TIC, « un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d’information » ;

 

  • un processus TIC, « un ensemble d’activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance ».

Il est intéressant de noter que l’article 55 du Règlement prévoit que le fabricant ou le fournisseur disposant d’une certification « met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public :

 

a) des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l’installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC ;

 

b) la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité ;

 

c) les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d’utilisateurs finaux et de chercheurs dans le domaine de la sécurité ;

 

d) une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité. »

 

Si ce cadre juridique était souhaité et est souhaitable face aux nouveaux enjeux en matière de cybersécurité, il apparait évident qu’un certain temps sera nécessaire pour la mise en place de ces mécanismes de certifications complexes.

Marine Hardy, avocate, responsable des pôles Innovations et Sécurité

Nous contacter