La nouvelle commissaire européenne à la technologie, Henna Virkkunen, devra améliorer les processus d’adoption des programmes de certification, indique sa lettre de mission.
Le débat de longue date sur les certificats volontaires de cybersécurité pour les services cloud (EUCS) reviendra probablement à la nouvelle Commission européenne, car il est peu probable qu’il soit résolu avant la fin de ce mandat, a déclaré à L’Observatoire de l’Europe un porte-parole du bureau européen de cybersécurité ENISA.
Le débat sur le projet de texte a lieu au sein d’un groupe de travail de l’ENISA et a déjà été retardé avant l’été, en raison d’orientations supplémentaires sur les questions de souveraineté, comme l’a rapporté L’Observatoire de l’Europe en juin.
Selon un responsable de la Commission, la prochaine réunion du groupe de travail est prévue pour l’automne, sans qu’aucune date officielle ne soit encore confirmée.
Le système, élaboré par l’ENISA à la demande de la Commission en 2019, devrait être utilisé par les entreprises pour démontrer que les solutions TIC certifiées offrent le niveau de protection en matière de cybersécurité approprié pour le marché de l’UE, mais s’est transformé en une bataille politique sur les exigences de souveraineté.
La nouvelle commissaire chargée de la technologie, Henna Virkkunen, devrait superviser le débat, une fois qu’elle aura été approuvée par le Parlement européen et que le nouveau collège aura pris ses fonctions.
Selon sa lettre de mission, envoyée par la présidente Ursula von der Leyen, elle devra « contribuer au renforcement de la cybersécurité », notamment en améliorant les processus d’adoption de tels dispositifs.
Impasse
La France a tenté d’introduire des exigences de souveraineté dans le texte, conçues pour exclure les entreprises cloud non européennes de l’éligibilité aux options de sécurité les plus élevées, et ressemblant à son propre certificat cloud SecNumCloud.
Cette proposition a rencontré une forte résistance de la part de plusieurs pays de l’UE et de l’industrie, la considérant comme une mesure protectionniste, et aucun accord n’a été conclu depuis.
La Commission doit encore fournir aux experts des conseils sur la manière dont les États membres peuvent ajouter leurs propres exigences. Une fois qu’ils l’auront approuvé, l’exécutif européen publiera un acte d’exécution. Les dispositions ne s’appliqueront que 18 mois après l’entrée en vigueur.
Le retard du projet en cours coïncide avec l’évaluation de la loi sur la cybersécurité elle-même. La Commission a lancé cette année une consultation auprès des entreprises et des gouvernements, les interrogeant notamment sur le rôle de l’Enisa.
La loi – qui a été approuvée en 2019 – donne à l’ENISA le mandat de soutenir la coordination de l’UE en cas de cyberattaques et de crises transfrontalières à grande échelle.
Sur les deux autres certificats proposés par la Commission depuis 2019, un seul a été approuvé, portant sur des produits TIC de base. Un autre, sur la 5G, est toujours en cours.
Plus tôt cette semaine, la Commission a déclaré qu’elle avait demandé à l’ENISA de fournir son soutien pour une autre certification, cette fois celle des portefeuilles européens d’identité numérique.