Afin d’améliorer la cyber-résilience de l’Union européenne en permettant l’adoption future de schémas de certification européens pour les services de sécurité gérés, les représentants des États membres (Coreper) sont parvenus à adopter une position commune sur la proposition d’un amendement spécifique au règlement de l’UE sur la cybersécurité (CSA) 2019.
Les services de sécurité gérés, que les entreprises spécialisées fournissent à leurs clients, sont essentiels pour la prévention, la détection, l’intervention et la récupération en cas d’incidents de cybersécurité. Il peut s’agir, par exemple, de détection ou de réponse à un incident, de tests de pénétration ou d’audits de sécurité, ou encore de services de conseil.
Présenté en même temps qu’une proposition d’acte législatif sur la cybersolidarité de l’Union ayant pour but de renforcer les capacités de cybersécurité dans l’UE, l’amendement relatif au CSA vise à inclure les schémas européens de certification de la cybersécurité pour les services de sécurité gérés dans le champ d’application du règlement CSA de 2019.
Par conséquent, cet amendement permettra d’établir des schémas de certification européens pour ces services. Cette modification contribuera ainsi à améliorer la qualité et à accroître la comparabilité des services, à favoriser l’émergence de fournisseurs de services de cybersécurité de confiance et à éviter la fragmentation du marché intérieur, étant donné que certains États membres ont déjà commencé à adopter des schémas de certification nationaux pour les services de sécurité gérés.
La position du Conseil englobe les principales modifications suivantes relatives à la proposition de la Commission :
• Elle clarifie la définition des services de sécurité gérés et l’alignement sur la directive révisée sur les systèmes d’information en réseau (directive SRI 2).
• Le texte aligne les objectifs de sécurité de ces schémas de certification sur les objectifs de sécurité des autres systèmes prévus par l’actuelle loi sur la cybersécurité.
• Le texte comprend des modifications à l’annexe de la loi sur la cybersécurité, qui contient une liste d’exigences à respecter par les organismes d’évaluation de la conformité.
• Un certain nombre de modifications d’ordre technique et rédactionnel ont été introduites afin de garantir que toutes les dispositions pertinentes du règlement CSA actuel s’appliquent également aux services de sécurité gérés.
La loi sur la cybersécurité, adoptée en 2019, a établi le premier cadre de certification de la cybersécurité pour tous les États membres. La certification en matière de cybersécurité est volontaire, sauf disposition contraire de la législation de l’Union ou des États membres.
La proposition de la Commission, adoptée le 18 avril 2023, vise à modifier spécifiquement le champ d’application de la loi sur la cybersécurité, permettant ainsi à la Commission d’adopter des actes d’exécution sur les schémas européens de certification de la cybersécurité pour les services de sécurité gérés, en plus des produits basés sur les technologies de l’information et de la communication (TIC), des services TIC et des processus TIC, qui sont couverts par l’actuelle loi sur la cybersécurité.
Les documents susmentionnés sont annexés à titre d’information complémentaire concernant cet accord :
Modification ciblée du CSA (CSA+), proposition de la Commission, 18 avril 2023
Informations générales de la Commission, 18 avril 2023
Directive révisée sur les réseaux et des systèmes d’information (SRI 2), 27 décembre 2022
_____
Aquest apunt en català / Esta entrada en español / This post in English