La Commission européenne propose de nouvelles réglementations en matière de cybersécurité

La Commission européenne (CE) a proposé deux nouveaux règlements visant à établir des mesures communes de cybersécurité et de sécurité de l’information dans l’ensemble du bloc, dans le but de renforcer la résilience et la capacité de réaction face à une série de cybermenaces.

En vertu de la proposition de règlement sur la cybersécurité, qui a été publiée le 22 mars 2022, toutes les institutions, organes et agences de l’Union européenne (UE) seront tenus de mettre en place des cadres de cybersécurité pour la gouvernance, la gestion des risques et le contrôle.

Ils seront également tenus d’effectuer régulièrement des évaluations de la maturité, de mettre en œuvre des plans d’amélioration et de partager toute information liée aux incidents avec l’équipe d’intervention en cas d’urgence informatique (CERT-EU) « sans retard injustifié ».

Le règlement établirait également un nouveau conseil interinstitutionnel de la cybersécurité chargé de piloter et de surveiller la mise en œuvre du règlement. Le nouveau conseil d’administration contribuera en outre à orienter le CERT-EU, dont le mandat sera également élargi pour remplir le triple rôle de centre de coordination de la réponse aux incidents, d’organe consultatif central et de fournisseur de services.

Dans le cadre d’une proposition distincte de règlement sur la sécurité de l’information publiée le même jour, la CE cherche à créer un ensemble minimal de règles de sécurité afin d’améliorer et de normaliser la manière dont les organisations publiques de l’UE se protègent contre l’évolution des menaces pesant sur leurs informations.

Ces règles permettront également l’échange sécurisé d’informations dans l’ensemble de l’UE en établissant des pratiques et des mesures communes pour protéger les flux d’informations, y compris une approche commune de la catégorisation des informations fondée sur le niveau de confidentialité.

« Dans un environnement connecté, un seul incident de cybersécurité peut affecter l’ensemble d’une organisation. C’est pourquoi il est essentiel de construire un bouclier solide contre les cybermenaces et les incidents qui pourraient perturber notre capacité d’action », a déclaré Johannes Hahn, commissaire européen au budget et à l’administration, dans un communiqué.

« Les réglementations que nous proposons aujourd’hui constituent une étape importante dans le paysage de la cybersécurité et de la sécurité de l’information de l’UE. Elles reposent sur une coopération et un soutien mutuel renforcés entre les institutions, organes et organismes de l’UE, ainsi que sur une préparation et une réaction coordonnées. Il s’agit d’un véritable effort collectif de l’UE. »

La CE a en outre affirmé que les changements sont nécessaires dans le contexte de la pandémie de Covid-19 et des défis géopolitiques croissants, et que les règles renforceront la coopération interinstitutionnelle, minimiseront l’exposition aux risques et renforceront généralement la culture de sécurité de l’UE.

Les propositions – qui doivent maintenant être discutées par le Parlement européen et le Conseil – sont conformes à la stratégie de l’UNION de la sécurité de l’UE, qui a été publiée en décembre 2020 et visait à renforcer la résilience collective de l’Union contre les cybermenaces.

Selon un rapport du Forum économique mondial (WEF) de janvier 2022, les menaces de cybersécurité figurent parmi les principaux risques auxquels le monde est confronté, car les menaces telles que les ransomwares et les attaques soutenues par les États-nations prolifèrent et les organisations deviennent plus dépendantes de la technologie.

« Les cybermenaces augmentant maintenant plus rapidement que notre capacité à les éradiquer définitivement, il est clair que ni la résilience ni la gouvernance ne sont possibles sans des plans de gestion des cyberrisques crédibles et sophistiqués », a déclaré Carolina Klint, responsable de la gestion des risques pour l’Europe continentale chez Marsh, courtier d’assurance et spécialiste des risques.

Le 9 mars 2022, les gouvernements européens ont également rédigé une déclaration visant à renforcer les capacités de cybersécurité de l’UE, notamment en augmentant le financement de l’UE pour soutenir les efforts nationaux et développer un écosystème de cybersécurité solide.

Le financement supplémentaire est censé aider les pays de l’UE à renforcer leurs cybercapacités en aidant à créer un marché pour les fournisseurs de confiance, ainsi qu’en renforçant la résilience de certains opérateurs qui seraient à risque pendant un conflit.

La déclaration a également exhorté les autorités européennes à formuler une série de recommandations sur la manière de renforcer la résilience de l’infrastructure numérique européenne.

Au Royaume-Uni, le gouvernement cherche également à apporter une série de mises à jour aux réglementations de 2018 sur les réseaux et les systèmes d’information (NIS), qui ont été initialement conçues pour protéger la sécurité des fournisseurs d’infrastructures nationales critiques (CNI) – dans ce cas, les services publics, les transports, les soins de santé et les communications – soutenues par des amendes de plusieurs millions de livres sterling pour non-conformité.

Ces réglementations seront élargies dans leur champ d’application pour inclure les fournisseurs de services gérés (MSP) et les fournisseurs de services spécialisés en ligne et numériques, y compris les services de sécurité gérés, les services en milieu de travail et l’externalisation informatique générale. Le gouvernement britannique a lancé une consultation pour obtenir des commentaires sur 19 January 2021.