Le règlement européen Cybersecurity Act
Adopté en 2019, le règlement européen relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications est plus connu sous la dénomination Cybersecurity Act. Ce règlement renforce le rôle de l’ENISA et définit un cadre pour les certifications cybersécurité.
Rôle de l’ENISA
L’ENISA voit son rôle d’assistance des Etats renforcé dans différents domaines :
- Détection des menaces.
- Divulgation des vulnérabilités.
- Réponse aux incidents.
- Mise en place des CSIRT
- Organisation d’exercices de cybercrises une fois tous les deux ans.
- Identification des opérateurs de service essentiels.
En application du règlement, l’ENISA doit :
- Assurer une coopération opérationnelle (bonnes pratiques, secrétariat du réseau de CSIRT, investigations, rapport sur les incidents…).
- Participer à l’élaboration des certifications de cybersécurité (veille, préparation des schémas européens de certification, secrétariat du groupe des parties prenantes, publication des lignes directrices…)
- Participer au partage d’information (technologies émergentes, analyse de la menace, rapports sur les incidents majeurs).
- Sensibiliser et former.
- Contribuer à l’effort de recherche et innovation (conseil sur les besoins et les priorités, contribution aux programmes de recherche).
Les activités de l’ENISA sont soumises au contrôle du Médiateur européen.
Le rôle de l'ENISA est aussi mis en avant par la directive NIS 2.
Cadre de certification
Le Règlement Cybersecurity Act institue le GECC (groupe européen de certification de cybersécurité) qui est composé de représentants d’autorités nationales de certification de cybersécurité. Ce groupe conseille l’ENISA pour les schémas de certification comme l’EUCS. Un certificat de cybersécurité européen est reconnu par tous les Etats membres, à l’image de ce qui est fait pour les critères communs pour les Etats signataires.
Un schéma européen de certification de cybersécurité doit comprendre au moins les objectifs de sécurité suivants :
- Protection en confidentialité, intégrité, et disponibilité.
- Contrôle d’accès.
- Traitement des dépendances et vulnérabilités connues.
- Traçabilité des actions et des accès aux données.
- Absence de vulnérabilités connues.
- Reprise à la suite d’incident.
- Sécurisation à la conception.
- Gestion des correctifs de sécurité.
Les schémas nationaux de certification de cybersécurité (par exemple pour le Cloud SecNumCloud pour la France ou C5 pour l’Allemagne) couverts par un schéma européen deviennent caducs à une date fixée. Les schémas nationaux de certification qui ne sont pas couverts par un schéma européen de certification de cybersécurité peuvent continuer à exister. Un an après la date d’entrée en vigueur d’un schéma européen de certification de cybersécurité, la Commission publie au Journal officiel de l’Union européenne la liste des organismes d’évaluation de la conformité qui ont fait l’objet d’une notification dans le cadre d’un schéma de certification.