Le 12 mars 2019, le Parlement européen a adopté en assemblée plénière le nouveau règlement européen sur  la cybersécurité, plus communément désigné sous l’appellation Cybersecurity Act. Ce règlement vise à renforcer le statut et les moyens de l’Agence européenne pour la sécurité des réseaux et de l’information (ENISA) et à créer un nouveau cadre européen de certification pour les produits, services et processus du domaine des nouvelles technologies, ou TIC.

Que contient ce règlement ? Quand entrerait-il en vigueur ? Mathias Avocats vous répond.

Un contexte d’adoption particulier

En 2015, la Commission européenne a annoncé le lancement de sa stratégie du « Marché unique numérique », qui vise notamment à renforcer la position de l’Union européenne (UE) en matière de cybersécurité. Dans le cadre de cette stratégie, la Commission avait publié le 13 septembre 2017 une proposition de règlement intitulée Cybersecurity Act.

L’un des objectifs de la stratégie précitée est de « renforcer les capacités de réaction de l’Europe face aux cyberattaques en renforçant l’ENISA, l’agence de l’UE chargée de la cybersécurité, et créer une cyberdissuasion européenne efficace tout en apportant une réponse pénale en la matière, afin de mieux protéger les entreprises, les institutions publiques et les citoyens européens ».

En 2016, la directive « Network and Information Security » (ou directive NIS) a contribué à cet objectif en instaurant de nouvelles obligations de matière de cybersécurité pour les entités publiques et privées. Nous évoquions dans des articles précédents les nouvelles obligations et nouveaux acteurs instaurés par la directive NIS, ainsi que le contenu de la loi française de transposition.

Le 11 décembre 2018, le Parlement européen, le Conseil et la Commission européenne ont annoncé être parvenus à un accord politique sur la version finale du Cybersecurity Act. Il a toutefois fallu attendre son adoption par le Parlement européen le 12 mars 2019 pour pouvoir consulter le texte issu de cet accord politique. Une fois ce texte approuvé par la Commission européenne, il sera publié et rentrera en vigueur 20 jours après sa publication.

Le même jour, les parlementaires européens ont adopté une résolution appelant à une action au niveau de l’Union européenne « concernant les menaces en termes de sécurité liées à la présence technologique croissante de la Chine dans l’Union européenne ». Cette résolution s’inscrit dans le cadre des polémiques récentes, notamment celles relatives à la société chinoise Huawei et à son conflit avec le gouvernement des Etats-Unis.

Le renforcement de l’ENISA

L’ENISA a été créée en 2004 par le règlement (CE) n° 460/2004 du 10 mars 2004. Son objectif principal était d’assister et de conseiller la Commission européenne, les États membres ainsi que les entités publiques et privées en matière de cybersécurité.

Initialement créée pour cinq ans, le mandat de l’agence a été renouvelé à plusieurs reprises en fonction des besoins des institutions. Le mandat actuel de l’ENISA devait expirer en 2020.

Le règlement vise à renforcer la position de l’ENISA, notamment en lui donnant un mandat permanent (article 68, 4.) et en soulignant que, « dans l’accomplissement de ses tâches, l’ENISA agit de façon indépendante » (article 3, 3.).

Sa mission principale reste inchangée : contribuer à un niveau élevé de cybersécurité à travers l’Union européenne.  Le Cybersecurity Act précise toutefois les objectifs de l’ENISA :

  • Assister les acteurs dans l’élaboration et la mise en œuvre des politiques de l’Union liées à la cybersécurité, y compris les politiques sectorielles » (article 4, 2.)
  • Soutenir le renforcement des capacités et contribuer à accroître le niveau de cybersécurité, les capacités de cyber-résilience et de cyber-réaction, et généralement à développer les compétences dans le domaine de la sécurité tant au sein des institutions européennes que des institutions des Etats membres et des secteurs publics et privés (article 4, 3.) ;
  • Favoriser la coopération, notamment le partage d’information et la coordination entre tous les acteurs, en matière de cybersécurité (article 4, 4.) ;
  • Contribuer au renforcement des capacités dans le domaine de la cybersécurité afin de soutenir les actions des Etats membres visant à prévenir les cybermenaces et à y réagir, notamment en cas d’incidents transfrontières (article 4, 5.) ;
  • Favoriser le recours au système de certification européenne mis en place par le Cybersecurity Act, limiter la fragmentation du marché intérieur et renforcer la compétitivité de celui-ci (article 4, 6.)
  • Promouvoir un niveau élevé de sensibilisation de tous, y compris du public, aux questions liés à la cybersécurité notamment en matière d’hygiène informatique et d’habileté numérique (article 4, 7.)

Le Cybersecurity Act alloue également davantage de ressources à l’ENISA pour lui permettre d’atteindre ces objectifs. A ce titre, l’ENISA disposera d’une plus grande marge de manœuvre pour organiser la coopération et la coordination entre les États membres en cas de cyberattaques et d’incidents de sécurité de grande envergure, conformément à une recommandation de la Commission européenne également publiée le 13 septembre 2017.

Vers une certification européenne de cybersécurité

Outre le renforcement de l’ENISA, le Cybersecurity Act crée un système de certification unique dans tous les Etats membres et portant sur les produits, services et processus informatiques.

La création de cette certification vise notamment à renforcer le niveau de sécurité au sein de l’Union, à prôner une approche harmonisée en matière de schémas européens de certification et de créer un marché numérique unique pour les produits, services et processus relevant du domaine des nouvelles technologies (article 46, 1.).

En créant une certification unique dans toute l’UE, les institutions européennes visent à supprimer les obstacles potentiels à l’entrée sur le marché et à réduire les coûts. Les entreprises n’auront plus à obtenir un certificat de cybersécurité différent dans chaque pays.  Les consommateurs et les entreprises pourront alors plus facilement choisir entre des produits et des services plus sécurisés, ce qui devrait favoriser la confiance dans les nouvelles technologies de manière générale.

Le Cybersecurity Act prévoit la mise en place de ce système de certification, et la procédure menant à sa mise en œuvre. Toutefois, le contenu précis du référentiel de certification doit être proposé par l’ENISA, puis approuvée par la Commission au terme de la procédure d’élaboration (article 49).

Les objectifs de sécurité qui figureront a minima dans le référentiel de certification sont exposés à l’article 51 :

  • « Protéger les données stockées, transmises ou traitées de toute autre façon contre le stockage, le traitement, l’accès ou la diffusion accidentels ou non autorisés au cours de l’ensemble du cycle de vie du produit TIC, service TIC ou processus TIC» ;
  • « Protéger les données stockées, transmises ou traitées de toute autre façon contre la destruction accidentelle ou non autorisée, la perte ou l’altération, ou l’absence de disponibilité, au cours de l’ensemble du cycle de vie du produit TIC, service TIC ou processus TIC» ;
  • « Faire en sorte que les personnes autorisées, les programmes ou les machines ne puissent accéder qu’aux données, services ou fonctions concernés par leurs droits d’accès » ;
  • « Identifier et documenter les dépendances et vulnérabilités connues» ;
  • « Garder une trace des données, fonctions ou services qui ont été consultés, utilisés ou traités de toute autre façon, du moment où ils l’ont été et par qui» ;
  • « Faire en sorte qu’il soit possible de vérifier quel(le)s données, services ou fonctions ont été consultés, utilisés ou traités de toute autre façon, à quel moment et par qui» ;
  • « Vérifier que les produits TIC, services TIC et processus TIC ne contiennent pas de vulnérabilités connues» ;
  • « Rétablir la disponibilité des données, services et fonctions ainsi que l’accès à ceux-ci dans les plus brefs délais en cas d’incident physique ou technique» ;
  • « Faire en sorte que les produits TIC, services TIC et processus TIC soient sécurisés par défaut et dès la conception» ;
  • « Faire en sorte que les produits TIC, services TIC et processus TIC soient dotés de logiciels et de matériel à jour et sans vulnérabilités connues du public, et de mécanismes permettant d’assurer les mises à jour en toute sécurité».

Enfin, notons qu’il est prévu que la certification comprenne différents niveaux, à savoir « élémentaire », « substantiel » et « élevé », permettant d’attester de la robustesse et complexité des mesures implémentées (article 52).

Mathias Avocats ne manquera pas de vous tenir informé lors de l’adoption du Cybersecurity Act par la Commission européenne.