Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.

Adoption définitive du Cybersecurity Act : un succès pour l’autonomie stratégique européenne

Pleinement investie pour défendre les positions françaises lors des négociations, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) se félicite de l’adoption définitive du Cybersecurity Act. Paru au Journal Officiel de l’Union européenne le 7 juin, ce règlement marque une véritable avancée pour l’autonomie stratégique européenne. Il poursuit un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen.

Une avancée déterminante pour l’autonomie stratégique européenne

Issue de la feuille de route de la Commission européenne en matière de sécurité du numérique, le règlement européen a fait l’objet d’intenses négociations depuis septembre 2017.

Le règlement européen traite deux sujets distincts mais complémentaires. D’une part, il a permis l’adoption d’un mandat permanent pour l’ENISA, l’Agence européenne pour la cybersécurité, valorisant et développant son rôle de facilitateur des échanges entre les Etats membres.
D’autre part, il a défini un cadre européen de certification de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance de la certification, au sein duquel l’ENISA trouve toute sa place. Les certificats délivrés bénéficieront d’une reconnaissance mutuelle au sein de l’UE.

En tant que cheffe de file des autorités françaises, l’ANSSI y a contribué significativement, faisant notamment valoir son expertise dans le domaine de la certification de produits et services de sécurité. Pleinement investie dans les négociations, l’ANSSI se félicite de l’adoption définitive du Cybersecurity Act, qui marque une véritable avancée pour l’autonomie stratégique européenne.

« Forte de vingt années d’expérience en matière de certification, la France a joué un rôle moteur lors des négociations européennes, avec pour objectif d’élever le niveau de sécurité en Europe. Il est primordial de réconcilier la croissance du marché avec les enjeux de cybersécurité » affirme Guillaume Poupard, Directeur général de l’ANSSI.

L’ENISA, point de référence européen en matière de cybersécurité

Créée en 2004, l’ENISA, joue un rôle clé en matière d’aide au développement des capacités nationales de cybersécurité et de soutien à la coopération entre Etats membres. Travaillant en étroite collaboration avec l’ANSSI, cet engagement s’est renforcé en 2016 par l’élection d’un des collaborateurs de l’agence à la Présidence du conseil d’administration de l’ENISA.

Lors des négociations, l’ANSSI a plaidé pour une Agence européenne pour la cybersécurité au mandat renforcé.

Le règlement consacre l’ENISA comme point de référence auprès des institutions de l’UE, à l’aune de l’émergence de nombreuses initiatives européennes en matière cyber, y compris sectorielles.

Le Cybersecurity Act fixe un mandat permanent ambitieux pour l’ENISA, renforçant ses missions dans plusieurs domaines : développement et soutien à la mise en œuvre des politiques européennes, expertise, appui au renforcement capacitaire des Etats, soutien à la coopération opérationnelle entre les Etats membres et sensibilisation.

Un cadre européen de certification de cybersécurité

La certification de cybersécurité est l’attestation de la robustesse d’un produit réalisée par un évaluateur tiers, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

L’adoption du Cybersecurity Act permettra à la fois d’encourager le recours à la certification et de reconnaître les certificats délivrés par un Etat membre dans toute l’UE, contribuant de fait à renforcer la sécurité du marché unique numérique européen.

Le règlement définit des processus de certification et une gouvernance pour l’adoption de schémas. Il précise les rôles et responsabilités des Etats membres et la portée de la certification avec plusieurs niveaux d’assurance.
Trois niveaux sont définis :

  • Le niveau élémentaire qui cible typiquement des objets grand public, non critiques (exemple : IoT)
  • Le niveau substantiel qui cible le risque médian (exemple : informatique en nuage – Cloud)
  • Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (exemple : véhicules ou dispositifs médicaux connectés).

L’expertise de la France en matière de certification se reflète dans le niveau élevé d’assurance du règlement européen.

L’application du règlement européen au sein des Etats membres

Le Cybersecurity Act est un acte juridique européen, de portée générale, obligatoire dans toutes ses dispositions. Les États membres sont donc tenus d’appliquer ces dernières telles qu’elles sont définies par le règlement.

Il s’agit d’un règlement d’application directe. Les Etats membres disposeront toutefois de deux ans pour se mettre en conformité avec les dispositions impactant leur organisation nationale.

Pour en savoir plus sur le règlement européen Cybersecurity Act, rendez-vous sur : /administration/reglementation/cybersecurity-act/

Communiqué de presse – Cybersecurity Act

À voir aussi

Liens externes