Les règles s’ajoutent aux mesures de cybersécurité déjà en place, telles que la directive sur les systèmes d’information en réseau (NIS2).
Les législateurs et les gouvernements nationaux ont soutenu hier soir (5 mars) des mesures visant à améliorer les réponses collectives aux cybermenaces en mettant en place une infrastructure à l’échelle de l’UE avec des cyberhubs dans tout le bloc.
Ceux-ci devraient partager des informations, détecter et réagir aux cybermenaces en cas d’incidents majeurs, comme le propose le Cyber Solidarity Act de la Commission européenne en avril 2023.
Lors des négociations d’hier entre la Commission, le Parlement et les États membres, les législateurs ont également demandé davantage de financement pour la réserve de cybersécurité de l’UE, afin de soutenir les pays et les institutions européennes lorsqu’ils font face à des incidents à grande échelle.
Lors de la présentation des règles l’année dernière, le commissaire européen à l’industrie, Thierry Breton, a déclaré qu’il fallait en moyenne 190 jours pour « détecter une attaque sophistiquée ».
« Nous devons réduire considérablement ce délai à quelques heures. (Les hubs nationaux) scanneront le réseau à l’aide de technologies d’intelligence artificielle et détecteront les signaux faibles d’attaques. Cette infrastructure européenne commune de détection avancée formera un véritable cyber-bouclier européen », a déclaré Breton. .
Ces règles s’ajoutent aux mesures de cybersécurité déjà en place, telles que la directive sur les systèmes d’information en réseau (NIS2), en vertu de laquelle les entreprises de secteurs critiques tels que l’énergie et l’approvisionnement en eau doivent partager des informations sur les incidents majeurs avec les autorités nationales.
ASC
Les négociateurs ont également convenu de modifier la loi européenne sur la cybersécurité (CSA), des règles qui remontent à 2019, en ajoutant des systèmes de certification européens pour les services de sécurité dits gérés. Grâce aux changements, ces services – par exemple les audits de sécurité – peuvent postuler à des programmes de certification pour contribuer à améliorer leur qualité et éviter la fragmentation au sein de l’UE.
Dans le cadre du CSA, la Commission peut demander à l’agence européenne de cybersécurité ENISA de travailler sur ces programmes de certification volontaires. Sur les trois certificats proposés dans le cadre du CSA depuis 2019, un seul a été approuvé, sur les produits TIC de base ; deux autres sur les services cloud et sur la 5G sont en cours.
L’Observatoire de l’Europe a rapporté le mois dernier (20 février) que la commission sollicitait les commentaires de l’industrie et des gouvernements nationaux sur le fonctionnement, l’efficacité et la portée du travail de l’ENISA dans le cadre d’une révision du CSA qui doit être achevée d’ici le 28 juin.
La députée maltaise Josianne Cutajar (S&D), chargée de diriger les travaux sur les amendements du CSA au Parlement, a déclaré dans une réponse que les règles faciliteraient la conformité des PME.
« Cet accord provisoire reconnaît l’importance de soutenir les PME à la lumière de la mise en œuvre de la nouvelle loi, notamment par un soutien financier et technique accru, une définition plus claire des services de sécurité gérés et la reconnaissance des défis posés par le déficit de compétences existant », a déclaré Cutajar. dit.
Les deux législations devront désormais être formellement approuvées à la fois par le Parlement et par les États membres ; les législateurs devraient voter lors de la session plénière du 22 au 25 avril à Strasbourg.
