ENISA is working on three certificate schemes since 2019, and finished one.

Jean Delaunay

Politique de l’UE. La Belgique tente de sortir de l’impasse du certificat de cybersécurité

Sur trois certificats proposés depuis 2019, un seul a été homologué, deux autres sont encore en cours.

La Belgique tente de sortir de l’impasse politique concernant un système européen de certification de cybersécurité pour les services cloud en proposant de séparer la souveraineté des exigences fonctionnelles, selon un document rédigé par le Centre national de cybersécurité, consulté par L’Observatoire de l’Europe. Les gouvernements nationaux de l’UE et la Commission européenne mènent des discussions sur ce sujet depuis trois ans.

En décembre 2019, la commission a demandé à l’agence de cybersécurité de l’Union européenne, l’ENISA, de préparer un système volontaire de certification de cybersécurité sur les services cloud (EUCS), que les entreprises peuvent utiliser pour démontrer que les solutions TIC certifiées offrent le niveau de protection de cybersécurité approprié pour le marché de l’UE.

L’EUCS est devenu l’objet d’un débat politique alors que la France tentait d’introduire des exigences de souveraineté dans le texte visant à exclure les entreprises cloud non européennes de l’éligibilité aux options de sécurité les plus élevées. Cette proposition a rencontré une forte résistance de la part de plusieurs pays de l’UE et de l’industrie, la considérant comme une mesure protectionniste, et aucun accord n’a été conclu depuis. La prochaine réunion du groupe d’experts EUCS est prévue en mars.

La Belgique, qui préside les réunions des ministres de l’UE au premier semestre 2024, propose désormais de séparer les exigences fonctionnelles des déclarations de souveraineté. Les deux seraient toujours inclus dans le système, mais avec une approche et un statut différents.

Le pays suggère que seules les exigences de sécurité fonctionnelle seraient effectivement certifiées, tandis que les déclarations de souveraineté seraient déclarées dans l’International Company Profile Attestation (ICPA), et ce uniquement pour le niveau de certification le plus élevé. Cela permettrait un certain niveau d’harmonisation au niveau de l’UE tout en conservant la possibilité pour les 27 États membres de mettre en œuvre leurs exigences de souveraineté nationale uniquement pour les cas d’utilisation les plus sensibles.

Le document affirme que ce système de certification EUCS proposé « permettrait pleinement aux fournisseurs de cloud computing non européens d’être certifiés au plus haut niveau et d’avoir un accès complet au marché de l’UE, permettant ainsi la concurrence dans tous les appels d’offres pour lesquels la certification « Élevée » pourrait être rendue obligatoire. sans préjudice d’éventuelles exigences supplémentaires en matière de souveraineté nationale pour certaines entités.

Cette approche « permettrait également un marché libre et une approche adaptée à un niveau de risque variable, en fonction de la menace géopolitique potentielle ».

ENISA

Sur les deux autres certificats proposés depuis 2019, un seul a été approuvé, sur les produits TIC de base ; un autre sur la 5G est toujours en cours.

L’Observatoire de l’Europe a rapporté plus tôt ce mois-ci (20 février) que la commission sollicitait les commentaires de l’industrie et des gouvernements nationaux sur le fonctionnement, l’efficacité et la portée des travaux de l’ENISA.

L’objectif du questionnaire est d’évaluer les pratiques de travail de l’ENISA, ainsi que la nécessité potentielle de modifier le mandat de l’agence et les éventuelles implications financières.

Cette décision intervient alors que la loi européenne sur la cybersécurité (CSA), entrée en vigueur en 2019 et qui a donné à l’ENISA le mandat de superviser la mise en œuvre des règles de cybersécurité à l’échelle de l’UE, doit être révisée cet été.

Laisser un commentaire

dix-sept − trois =