Posted by 
Adoption par le Conseil de 2 règlements pour renforcer la cybersécurité dans l’UE
Eléonore Scaramozzino, Avocat partenaire de Constellation Avocats
Le 6 mars 2024, les colégislateurs sont parvenus à un accord provisoire sur les deux propositions modifiant les notions de « cyberbouclier européen » et de SOC par rapport à la proposition initiale de la Commission.
Le 2 décembre, le Conseil a adopté deux nouveaux actes législatifs dans le cadre du « paquet » législatif sur la cybersécurité, à savoir le « règlement sur la cybersolidarité » et une modification ciblée du règlement sur la cybersécurité (règlement modifiant le règlement (UE) 2019/881 en ce qui concerne les services de sécurité gérés) limitée aux services de sécurité gérés. Ce nouveau règlement cybersolidarité vise à renforcer la solidarité et les capacités dans l’UE en matière de détection, de préparation et de réaction face aux menaces et incidents de cybersécurité.
Le règlement cybersolidarité
Le règlement cybersolidarité introduit un « cyberbouclier européen », composé de centres d’opérations de sécurité (SOC), rassemblés au sein de plusieurs plateformes SOC plurinationales financées par le programme pour une Europe numérique. Le nouveau règlement sur la cybersolidarité donne à l’UE les moyens de rendre l’Europe plus résiliente face aux cybermenaces, tout en renforçant les mécanismes de coopération.
Principaux éléments du règlement sur la cybersolidarité
Le règlement Cybersolidarité vise à établir :
- un réseau paneuropéen de cyberpôles (ci-après dénommé « système européen d’alerte en matière de cybersécurité« ), afin de mettre en place des capacités coordonnées en matière de détection et d’appréciation de la situation, de manière à renforcer les capacités de l’Union en matière de détection des menaces et de partage des informations ;
- un mécanisme d’urgence dans le domaine de la cybersécurité, devrait être mis en place afin d’aider les États membres, à leur demande, à se préparer aux incidents de cybersécurité importants et aux incidents de cybersécurités majeurs, à y réagir, à en atténuer les effets et à amorcer le rétablissement à la suite d’incidents de cybersécurité importants et d’incidents de cybersécurité majeurs, et pour aider les autres utilisateurs à réagir aux incidents de cybersécurité importants et aux incidents de cybersécurité assimilés à des incidents majeurs ;
- un mécanisme européen d’analyse des incidents de cybersécurité, afin d’examiner et d’évaluer des incidents de cybersécurité importants ou les incidents de cybersécurité majeurs particuliers.
Les actions prises au titre du présent règlement devraient être menées dans le respect des compétences des États membres et devraient compléter et ne pas faire double emploi avec les activités menées par le réseau des CSIRT, le réseau européen pour la préparation et la gestion des crises cyber (EUCyCLONe) ou le groupe de coopération (groupe de coopération SRI), tous institués en vertu de la directive (UE) 2022/2555.
Système d’alerte en matière de cybersécurité
Il établit notamment un « système d’alerte en matière de cybersécurité », qui est une infrastructure paneuropéenne composée de cyberpôles nationaux et transfrontières dans l’ensemble de l’UE. Ces entités sont chargées de partager des informations et de détecter les cybermenaces et d’y réagir. La participation au système européen d’alerte en matière de cybersécurité est volontaire pour les États membres
Les cyberpôles utiliseront des technologies de pointe, telles que l’intelligence artificielle (IA) et l’analyse avancée des données, pour détecter et partager en temps utile les avertissements sur les menaces et incidents de cybersécurité au niveau transfrontière. Ils renforceront le cadre européen existant, tandis que les autorités et les entités concernées, de leur côté, seront en mesure de réagir de manière plus efficiente et efficace aux incidents en matière de cybersécurité.
Cette infrastructure devrait servir les intérêts et les besoins des États et de l’Union en matière de cybersécurité, en tirant parti de technologies de pointe pour la collecte avancée de données et d’informations pertinentes, anonymisées le cas échéant, et d’outils d’analyse, en renforçant les capacités de détection et de gestion coordonnées des incidents de cybersécurité et en permettant une appréciation de la situation en temps réel. Elle devrait également permettre d’améliorer la posture cyber, en augmentant la détection, l’agrégation et l’analyse des données et des informations dans le but de prévenir les cybermenaces et incidents de cybersécurité et, partant, complétant et soutenant ainsi les entités et réseaux de l’Union chargés de la gestion des crises cyber dans l’Union, en particulier EU-CyCLONe.
Création d’un mécanisme d’urgence dans le domaine de la cybersécurité
Le règlement prévoit la création d’un mécanisme d’urgence dans le domaine de la cybersécurité afin d’améliorer la préparation et les capacités de réaction aux incidents dans l’UE. Il soutiendra
- des mesures de préparation, y compris la soumission d’entités à des tests dans des secteurs hautement critiques (soins de santé, transports, énergie, etc.) pour détecter des vulnérabilités potentielles, sur la base de méthodes et de scénarios de risque communs ;
- une nouvelle réserve de cybersécurité de l’UE composée de services de réaction aux incidents fournis par le secteur privé et prêts à intervenir, à la demande d’un État membre ou des institutions, organes et agences de l’UE et des pays tiers associés, en cas d’incident de cybersécurité important ou à grande échelle ;
- une assistance mutuelle sur le plan technique ;
- un mécanisme d’analyse des incidents afin d’apprécier, entre autres, l’efficacité des actions menées dans le cadre du mécanisme d’urgence en matière de cybersécurité ;
- l’utilisation de la réserve de cybersécurité.
Mécanisme européen d’analyse des incidents de cybersécurité
À la demande de la Commission ou d’EU-CyCLONe, l’ENISA, avec le soutien du réseau des CSIRT et l’approbation des États membres concernés, analyse et évalue les cybermenaces, les vulnérabilités exploitables constatées et les mesures d’atténuation relatives à un incident de cybersécurité important ou à un incident de cybersécurité majeur spécifique.
Après l’analyse et l’évaluation d’un incident et dans le but de tirer les enseignements de l’expérience acquise pour éviter ou atténuer des incidents à l’avenir, l’ENISA remet un rapport d’analyse à EU-CyCLONe, au réseau des CSIRT, aux États membres concernés et à la Commission afin de les aider à s’acquitter de leurs tâches, compte tenu notamment des tâches énoncées aux articles 15 et 16 de la directive (UE) 2022/2555. Lorsqu’un incident a des effets sur un pays tiers associé au programme pour une Europe numérique, l’ENISA remet également le rapport au Conseil. Dans un tel cas, la Commission remet le rapport au haut représentant
Le rapport d’analyse comprend une analyse et un examen de l’incident de cybersécurité important ou de l’incident de cybersécurité majeur, y compris des principales causes, vulnérabilités exploitables constatées et enseignements tirés. L’ENISA veille à ce que le rapport soit conforme au droit de l’Union ou au droit national relatif à la protection des informations sensibles ou classifiées. Si les États membres concernés ou d’autres utilisateurs, qui sont touchés par l’incident, le demandent, les données et les informations contenues dans le rapport sont anonymisées. Il ne comporte pas de précisions relatives aux vulnérabilités activement exploitées qui n’ont pas encore été corrigées.
Le cas échéant, le rapport d’analyse formule des recommandations afin d’améliorer la posture cyber de l’Union et il peut contenir des bonnes pratiques et des enseignements tirés émanant des parties prenantes concernées. L’ENISA peut produire une version publique du rapport d’analyse. Cette version du rapport ne contient que des informations publiques fiables, ou d’autres informations fiables ajoutées avec l’accord des États membres concernés et, pour les informations relatives à un utilisateur, avec l’accord de ce dernier.
La modification ciblée du règlement sur la cybersécurité de 2019 : schéma européen de certification de cybersécurité pour les services gérés
Le règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications et abrogeant le règlement (UE) n°526/2013 (règlement cybersécurité) fixe un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits des technologies de l’information et de la communication (TIC), des services TIC et des processus TIC dans l’Union, ainsi que dans le but d’éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l’Union. Il a mis en place le premier cadre de certification de cybersécurité destiné à l’ensemble des États membres.
Le règlement modifiant le règlement sur la cybersécurité en ce qui concerne les services de sécurité gérés vise à modifier de manière ciblée le champ d’application du règlement sur la cybersécurité afin que la Commission puisse adopter des actes d’exécution sur les schémas européens de certification de cybersécurité pour les services de sécurité gérés, en plus des produits, services et processus des technologies de l’information et de la communication (TIC) qui sont couverts par l’actuel règlement sur la cybersécurité. L’objectif du règlement est de permettre la mise en place de schémas européens de certification de cybersécurité pour les services de sécurité gérés.
Le « service de sécurité géré« , se définit comme un service fourni à un tiers consistant à effectuer des activités liées à la gestion des risques en matière de cybersécurité, ou à fournir une assistance dans le cadre de ces activités, telles que le traitement des incidents, les tests d’intrusion, les audits de sécurité et le conseil, y compris les conseils d’experts, liés à l’assistance technique
La définition des services de sécurité gérés comprend une liste non exhaustive de services de sécurité gérés qui remplissent les conditions requises pour les schémas européens de certification de cybersécurité. Les services de sécurité gérés englobent les services de cybersécurité qui soutiennent la prévention, la détection, l’analyse et l’atténuation des incidents, ainsi que la préparation et la réaction à ces incidents et le rétablissement à la suite de ceux-ci. La fourniture de renseignements sur les cybermenaces et l’évaluation des risques liés à l’assistance technique peuvent également être considérées comme des services de sécurité gérés.
Il peut y avoir des schémas européens de certification de cybersécurité séparés pour différents services de sécurité gérés. Les certificats de cybersécurité européens délivrés conformément à ces schémas doivent faire référence à des services de sécurité gérés spécifiques d’un fournisseur spécifique desdits services
Le nouveau règlement précise que « Le cadre européen de certification de cybersécurité est établi afin d’améliorer les conditions de fonctionnement du marché intérieur en renforçant le niveau de cybersécurité au sein de l’Union et en permettant de disposer, au niveau de l’Union, d’une approche harmonisée en ce qui concerne les schémas européens de certification de cybersécurité, en vue de créer un marché unique numérique pour les produits TIC, services TIC, processus TIC et services de sécurité gérés ».
Cette modification ciblée vise à renforcer la cyberrésilience de l’UE en permettant l’adoption à l’avenir de schémas européens de certification pour les « services de sécurité gérés ». Le nouveau règlement reconnaît l’importance croissante des services de sécurité gérés pour prévenir et détecter les incidents de cybersécurité, y réagir ou rétablir la situation après ceux-ci. Il peut s’agir, par exemple, de services concernant la gestion des incidents, des tests de pénétration, des audits de sécurité et des conseils liés à l’assistance technique.
Cette modification ciblée permettra la mise en place de schémas européens de certification pour ces services de sécurité gérés. Elle contribuera à améliorer la qualité de ces services et à accroître leur comparabilité, elle facilitera l’émergence de fournisseurs de services de cybersécurité fiables, et elle permettra d’éviter la fragmentation du marché intérieur, étant donné que certains États membres ont déjà commencé à adopter des schémas nationaux de certification pour les services de sécurité gérés.
Next step
Après leur signature par les présidents du Conseil et du Parlement européen, les deux actes législatifs seront publiés au Journal officiel de l’Union européenne et entreront en vigueur 20 jours après cette publication.
Nous reviendrons sur l’analyse de ces deux règlements après leur publication au JOUE
