Cette évaluation intervient alors que les pays de l’UE ne parviennent pas à se mettre d’accord sur des systèmes volontaires de certification de cybersécurité.
La Commission européenne sollicite les commentaires de l’industrie et des gouvernements nationaux sur le fonctionnement, l’efficacité et la portée des travaux de l’Agence européenne de cybersécurité ENISA, selon une consultation envoyée aux entreprises la semaine dernière.
L’objectif du questionnaire est d’évaluer les pratiques de travail de l’ENISA, ainsi que la nécessité potentielle de modifier le mandat de l’agence et les éventuelles implications financières.
Cette décision intervient alors que la loi européenne sur la cybersécurité (CSA), entrée en vigueur en 2019 et qui a donné à l’ENISA le mandat de superviser la mise en œuvre des règles de cybersécurité à l’échelle de l’UE, doit être révisée cet été.
L’agence basée à Athènes, qui compte un peu plus de 100 collaborateurs, travaille avec la Commission et les 27 États membres de l’UE pour renforcer la cyberpolitique du bloc. Il est également chargé d’accroître la fiabilité des produits TIC grâce à la certification.
Dans le cadre du CSA, l’ENISA peut mettre en place des programmes de certification volontaires qui devraient démontrer que les solutions TIC certifiées présentent le niveau de protection en matière de cybersécurité adapté au marché de l’UE. La commission peut demander à l’ENISA d’examiner les certificats, qui seront discutés par des experts et nécessiteront également l’approbation des États membres.
Jusqu’à présent, sur trois certificats proposés depuis 2019, un seul a été approuvé, sur les produits TIC de base. Une sur la 5G est toujours en cours, tout comme une autre, devenue très politisée, sur les services cloud.
La France s’est efforcée d’introduire des exigences de souveraineté dans le texte visant à exclure les sociétés cloud non européennes de l’éligibilité aux options de sécurité les plus élevées. La proposition a rencontré une forte résistance de la part de plusieurs pays de l’UE et de l’industrie, la percevant comme une mesure purement protectionniste. Aucun accord ne semble en vue, une réunion d’un groupe d’experts étant prévue pour mars.
Dans sa consultation, l’exécutif européen se demande si l’ENISA a atteint le leadership en tant que centre d’expertise en matière de cybersécurité au cours des quatre dernières années, si elle donne suffisamment de conseils aux États membres et si sa taille est adaptée au travail qui lui est confié.
Le questionnaire est ouvert aux commentaires jusqu’au 27 février.