OBJECTIF : réformer l'actuelle Agence européenne pour la sécurité des réseaux et de l'information (ENISA) en vue de doter l'UE d'une capacité accrue en matière de cybersécurité et définir un cadre pour la mise en place dun système européen de certification en matière cybersécurité.
ACTE LÉGISLATIF : Règlement (UE) 2019/881 du Parlement européen et du Conseil relatif à lENISA (Agence de lUnion européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de linformation et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité).
CONTENU : en vue dassurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de lUnion, le règlement fixe:
Agence de lUnion européenne pour la cybersécurité (ENISA)
Le règlement renforce l'actuelle Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA) pour en faire un organe permanent, l'Agence de l'UE pour la cybersécurité.
LENISA exécutera les tâches qui lui sont assignées par le règlement dans le but de parvenir à un niveau commun élevé de cybersécurité dans lensemble de lUnion. Elle servira de point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de lUnion ainsi que pour les autres parties prenantes concernées de lUnion.
Les tâches de lENISA consisteront entre autres à :
Le mandat prévoit aussi un réseau d'agents de liaison nationaux afin de faciliter l'échange d'informations entre l'ENISA et les États membres.
Un groupe consultatif de lENISA composé dexperts reconnus représentant les parties prenantes concernées, ainsi quun groupe des parties prenantes pour la certification de cybersécurité seront établis.
Cadre européen de certification de cybersécurité
Le règlement crée un mécanisme pour l'établissement de systèmes européens de certification de cybersécurité afin de garantir que les produits, les processus et les services TIC vendus dans les pays de lUE soient conformes aux normes de cybersécurité. Les certificats délivrés dans le cadre de ces systèmes seront valables dans tous les pays de l'UE.
La Commission devra publier un programme de travail de l'Union pour la certification européenne de cybersécurité qui recense les priorités stratégiques pour les futurs schémas européens de certification de cybersécurité. Elle devra tenir à jour un site internet dédié fournissant des informations sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l'UE.
Les systèmes de certification eux-mêmes s'appuieront sur ce qui existe déjà aux niveaux international, européen et national. Les systèmes seront adoptés par la Commission et mis en uvre et contrôlés par des autorités nationales de certification de cybersécurité.
La certification sera volontaire, sauf disposition contraire dans le droit de l'UE ou des États membres. La Commission surveillera régulièrement l'impact des systèmes de certification et évaluera leur niveau d'utilisation par les fabricants et les fournisseurs de services.
Il existera trois niveaux d'assurance différents, selon le niveau de risque associé à l'utilisation prévue du produit, à savoir «élémentaire», «substantiel» ou «élevé». Au niveau le plus élémentaire, les fabricants ou les fournisseurs de services pourront effectuer eux-mêmes l'évaluation de conformité.
Dans un souci déquivalence des normes, dans lensemble de lUnion, en ce qui concerne les certificats de cybersécurité européens, les autorités nationales de certification de cybersécurité feront lobjet dun examen par les pairs.
ENTRÉE EN VIGUEUR : 27.6.2019. Certaines dispositions sappliqueront à partir du 28.6.2021.