Cybersécurité : le Conseil de l’UE exige plus de transparence sur les systèmes de certification de l’ENISA

Le Conseil de l’UE « exhorte » également la Commission européenne et l’ENISA à trouver des moyens d’optimiser le cadre de cybersécurité de l’UE existant. [European Council of the EU]

Selon un projet de conclusions consulté par Euractiv, le Conseil de l’Union européenne (UE) appelle à une plus grande transparence des systèmes de certification de la cybersécurité de l’UE développés par l’Agence européenne pour la cybersécurité (ENISA).

La stratégie européenne en matière de cybersécurité (European Cybersecurity Strategy, EUCS) a été pensée pour devenir le système de certification cloud uniformisé de l’UE. Elle a pour objectif d’aider les gouvernements et les entreprises de l’Union à déterminer les caractéristiques de cybersécurité d’un fournisseur de services cloud donné lorsqu’ils achètent ce type de service.

Ce système prévoit différents niveaux de protection en fonction de la sensibilité des données traitées.

Le projet de texte, daté du 26 septembre, exhorte la Commission européenne à trouver des moyens de rendre le développement des schémas de certification de la cybersécurité de l’UE « plus transparente ». Celui-ci souligne aussi le rôle des États membres dans le bon déroulement, et demande à l’ENISA de consulter les parties prenantes concernées « en temps voulu » à travers un « processus formel, ouvert, transparent et inclusif ».

Retard accumulé

Dans une version des conclusions du groupe de travail du Conseil de l’UE sur les questions de cybersécurité datée du 9 septembre, il est demandé à la Commission d’accélérer la candence.

Mais l’un des schémas de certification a fait l’objet d’une attention particulière au cours des derniers mois et accuse désormais un retard important.

En effet, l’ajout d’exigences dites de souveraineté, comme des informations supplémentaires sur les entreprises (pays de domiciliation ou nationalité de leurs principaux actionnaires), a fait l’objet de débats.

Il est peu probable que la version finale du schéma inclue de telles exigences, laissant aux États membres le soin d’ajouter les leurs, ce qui a suscité des critiques de la part du secteur quant à l’absence d’un système harmonisé.

Les discussions autour du schéma, qui devrait être finalisé d’ici la fin de l’année, ont donc pris du retard. Le groupe ad hoc de l’ENISA est censé présenter un projet au Groupe européen de certification de cybersécurité (GECC), composé des autorités de cybersécurité des États membres et placé sous la houlette de la Commission. Une fois que le GECC l’aura approuvé, il devra passer par la phase de comitologie de l’exécutif (réunions de comités représentatifs qui permettent aux pays de l’UE d’avoir un droit de regard sur les actes d’exécution) avant d’être approuvé.

Toutefois, la question a été rayée de l’ordre du jour de la réunion du GECC du 18 juin. Il était attendu qu’elle réapparaisse peu de temps après, mais il faut croire qu’il n’y a pas eu d’évolution à ce jour.

Le Conseil de l’UE « exhorte » également la Commission européenne et l’ENISA à trouver des moyens d’optimiser le cadre de cybersécurité de l’UE existant, invitant la Commission à utiliser l’évaluation du règlement sur la cybersécurité en particulier pour examiner comment simplifier le « secteur complexe de la cybersécurité ».

Le budget

Dans le même temps, les conclusions temporaires mentionnent l’augmentation des ressources financières de l’agence, en plus des références précédentes à davantage de ressources humaines et techniques.

Le rôle de l’ENISA s’est élargi avec l’adoption de nouvelles règlementations en matière de cybersécurité au cours du dernier mandat, mais son enveloppe budgéaire n’a pas augmenté proportionnellement.

Au début du mois de septembre, la Commission a alloué 15 millions d’euros supplémentaires à l’ENISA pour renforcer le soutien et le signalement des incidents de cybersécurité.

Le Conseil a également invité la Commission à donner la priorité, lors de l’élaboration du prochain budget, aux tâches liées au soutien des États membres et à leur coopération, ainsi qu’à l’élaboration et à la mise en œuvre des règlements de l’UE.

Alors que le projet souligne la nécessité de financer davantage l’ENISA, il suggère également à la Commission de s’assurer que son mandat est « ciblé » et « clairement défini ».

La Commission révèle des désaccords entre les acteurs chargés de la rédaction du code de bonnes pratiques de l'IA

La Commission européenne a révélé des désaccords entre les fournisseurs de modèles à usage général et d’autres parties prenantes lors de la première séance plénière sur le code de pratique pour l’intelligence artificielle à usage général (GPAI) ce lundi 30 septembre.

[Édité par Anne-Sophie Gayet]

Inscrivez-vous à notre newsletter

S'inscrire