La Commission européenne (CE) a proposé deux nouveaux règlements pour établir des mesures communes de cybersécurité et de sécurité de l’information dans tout le bloc, visant à renforcer la résilience et la réactivité face à une série de cybermenaces.
Selon la proposition de règlement sur la cybersécurité, publiée le 22 mars 2022, toutes les institutions, organes, bureaux et agences de l’Union européenne (UE) doivent mettre en place des cadres de cybersécurité pour la gouvernance, la gestion des risques et les contrôles.
Ils doivent également effectuer des évaluations de maturité périodiques, mettre en œuvre des plans d’amélioration et signaler toutes les informations liées aux incidents à l’équipe d’intervention en cas d’urgence informatique (CERT-EU) « sans retard injustifié ».
Le règlement créerait également un nouveau comité inter-agences sur la cybersécurité pour piloter et superviser la mise en œuvre du règlement. Le nouveau conseil d’administration continuera d’aider à diriger le CERT-EU, dont le mandat sera également élargi pour remplir le triple rôle de centre de coordination de la réponse aux incidents, d’organe consultatif central et de fournisseur de services.
Dans le cadre d’une proposition distincte de règlement sur la sécurité de l’information publiée le même jour, la Commission européenne tente de créer un ensemble minimal de règles de sécurité pour à la fois améliorer et normaliser la manière dont les organisations publiques de l’UE réagissent à l’évolution des menaces pesant sur leurs informations.
Ces règles garantiront également l’échange sécurisé d’informations dans l’ensemble de l’UE en établissant des pratiques et des mesures communes pour protéger le flux d’informations, y compris une approche commune de catégorisation des informations en fonction de leur sensibilité.
« Dans un environnement connecté, un seul incident de cybersécurité peut affecter toute une organisation. Pour cette raison, il est crucial de construire un bouclier de protection solide contre les cybermenaces et les incidents qui pourraient affecter notre capacité à agir », a déclaré Johannes Hahn, commissaire européen chargé du budget et de l’administration, dans un communiqué.
« Les règles que nous proposons aujourd’hui constituent une étape importante dans le paysage de la cybersécurité et de la sécurité de l’information de l’UE. Ils reposent sur une coopération renforcée et un soutien mutuel entre les institutions, organes, offices et agences de l’UE, ainsi que sur une préparation et une réaction coordonnées. Il s’agit d’un véritable effort commun de l’UE.»
La Commission européenne a en outre affirmé que les changements sont nécessaires dans le contexte de la pandémie de Covid-19 et des défis géopolitiques croissants, et que les règles renforceraient la coopération interinstitutionnelle, minimiseraient les risques et renforceraient la culture de sécurité de l’UE de manière plus générale.
Les propositions – qui doivent maintenant être discutées par le Parlement européen et le Conseil – sont conformes à la stratégie de l’UE pour l’union de la sécurité, publiée en décembre 2020, qui vise à renforcer la résilience collective du bloc face aux cybermenaces.
Selon un rapport du Forum économique mondial (WEF) de janvier 2022, les menaces à la cybersécurité figurent parmi les principaux risques auxquels le monde est confronté, car les menaces telles que les ransomwares et les attaques soutenues par les États prolifèrent et les entreprises deviennent de plus en plus dépendantes de la technologie.
« Étant donné que les cybermenaces se développent désormais plus rapidement que nous ne pouvons les éradiquer de manière permanente, il est clair que la résilience et la gouvernance ne sont pas possibles sans des plans de gestion des cyberrisques crédibles et sophistiqués », a déclaré Carolina Klint, directrice de la gestion des risques pour l’Europe continentale chez Insurance Broker and Marche des spécialistes des risques.
Le 9 mars 2022, les gouvernements européens ont également rédigé une déclaration sur le renforcement des capacités de cybersécurité de l’UE, qui comprenait une augmentation du financement de l’UE pour soutenir les efforts nationaux et développer un écosystème de cybersécurité solide.
Le financement supplémentaire est destiné à aider les pays de l’UE à développer leurs cybercapacités, à créer un marché pour les fournisseurs de confiance et à renforcer la résilience d’opérateurs sélectionnés qui seraient vulnérables en cas de conflit.
La déclaration a également appelé les autorités européennes à publier une série de recommandations sur la manière de renforcer la résilience de l’infrastructure numérique de l’Europe.
Au Royaume-Uni, le gouvernement souhaite également une série de mises à jour des réglementations 2018 sur les réseaux et les systèmes d’information (NIS), qui ont été initialement conçues pour protéger la sécurité des fournisseurs d’infrastructures nationales critiques (CNI) – dans ce cas, les services publics, les transports, les soins de santé et Communications – avec des amendes de millions de livres pour non-conformité.
Ces réglementations s’étendent pour inclure les fournisseurs de services gérés (MSP) et les fournisseurs de services en ligne et numériques spécialisés, y compris les services de sécurité gérés, les services sur le lieu de travail et l’externalisation informatique générale. Le gouvernement britannique a lancé une consultation pour obtenir des commentaires le 19 janvier 2021.