Les avancées en matière de certification de cybersécurité pour les services cloud (EUCS), dans l’impasse depuis 2019, interviendront probablement après la révision de la loi sur la cybersécurité (CSA).
Il est peu probable que les discussions au niveau européen autour de la certification volontaire de cybersécurité pour les services cloud (EUCS) progressent au premier semestre de cette année, malgré les efforts de la Pologne – qui préside les réunions ministérielles de l’UE jusqu’en juillet – pour parvenir à un accord, selon des sources proches du dossier. » ont déclaré à L’Observatoire de l’Europe.
En 2019, l’agence européenne de cybersécurité ENISA a commencé à travailler sur l’EUCS, à la demande de la Commission. Les entreprises devraient s’en servir pour démontrer que les solutions TIC certifiées offrent le niveau de protection en matière de cybersécurité adapté au marché européen, mais elle s’est transformée en une bataille politique autour des exigences de souveraineté.
La France, en particulier, a mené la résistance et veut être sûre de pouvoir continuer à utiliser son propre système – SecNum Cloud – après l’adoption de l’EUCS.
La division politique a entraîné un retard, ce qui signifie que le système nécessite encore l’avis du Groupe européen de certification de cybersécurité (ECCG) de l’ENISA. Sa prochaine réunion pourrait avoir lieu au plus tôt en février.
La Pologne, qui a commencé à présider les réunions des gouvernements de l’UE le 1er janvier, centrera certains des événements de sa présidence au premier semestre 2025 sur la cybersécurité, comme la réunion informelle des ministres des télécommunications des 4 et 5 mars, et prévoit d’organiser une conférence autour de l’ENISA. standardisation.
Les groupes industriels sont toutefois sceptiques quant à la possibilité que cela puisse permettre de sortir de l’impasse dans laquelle se trouve l’EUCS.
BSA, un lobby de l’industrie mondiale du logiciel, a déclaré à L’Observatoire de l’Europe qu’il « regrette » que le processus d’adoption de l’EUCS reste incomplet après quatre ans de discussions.
« La question centrale n’est pas l’endroit où se trouvent les données ou l’entreprise, mais la manière dont les données sont protégées, ce qui compte, donc l’accent est mis sur les aspects techniques de la cybersécurité et non sur des considérations politiques », a déclaré un porte-parole de l’entreprise.
« Le dernier projet d’EUCS reflète ce juste équilibre, et nous exhortons la Commission à adopter le système dès que possible. L’Europe ne peut pas se permettre de perdre plus de temps pour assurer sa résilience en matière de cybersécurité », a ajouté BSA.
Révision de la loi sur la cybersécurité
D’autres estiment que la Commission souhaiterait attendre, avant de réviser le processus EUCS, que la loi sur la cybersécurité (CSA), le texte réglementaire correspondant, ait été révisée.
Un porte-parole de la Commission a déclaré à L’Observatoire de l’Europe que « le CSA est en cours d’évaluation, mais la décision de le réviser n’a pas encore été prise ».
Le CSA, entré en vigueur en 2019, permet à l’agence européenne de cybersécurité ENISA d’élaborer des programmes de certification. Il était prévu de le réexaminer l’année dernière, mais celui-ci n’a pas encore eu lieu.
Sur les deux autres certificats proposés depuis 2019, un seul a été approuvé, sur les produits TIC de base ; un autre sur la 5G est toujours en cours.
La lettre de mission de la nouvelle commissaire européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie, Henna Virkkunen, indique qu’elle « contribuera au renforcement de la cybersécurité (…) notamment en améliorant le processus d’adoption des systèmes européens de certification de cybersécurité ».
