Cybersecurity Act

Dernière mise à jour : 26 juillet 2019

Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).

Cybersecurity Act (règlement 2019/881)

Ce règlement s’applique dès sa parution, avec un délai de tolérance de deux ans pour se mettre en conformité.

ENISA

Le principal intérêt de ce règlement est de renforcer les pouvoirs de l’ENISA, qui est l’Agence européenne chargée de la sécurité des réseaux et de l’information.

Certifications

En matière de certification de solutions de sécurité, l’Europe est un peu à la ramasse : même la France et l’Allemagne n’ont pas réussi à se mettre d’accord sur une façon d’évaluer ces solutions. L’ENISA aura en charge d’homogénéiser les schémas de certification.

Trois niveaux sont prévus :

  • Elémentaire, qui sera une auto-évaluation et ne sera possible qu’en cas de risques faibles ;
  • Substantiel, qui sera plus complète ;
  • Elevé, qui sera nécessairement réalisée par une autorité nationale (ou sous son contrôle, je suppose).

Renforcement du rôle et des pouvoirs

Il est également prévu que l’ENISA vienne en aide aux états membres, non plus seulement en cas de coopération internationale, mais également dans des missions d’assistance :

  • A la préparation de stratégie nationale des états membres en matière de SSI ;
  • En soutien à la coopération opérationnelle en cas d’incident.

Cela s’ajout au point précédent avec la préparation des schémas de certification de solutions, et bien sûr un volet sensibilisation.

Règlement 2019/796

Celui-ci n’a pas de petit nom, mais ce règlement permet de mettre en place et de réguler les mesures restrictives (de rétorsion) contre les auteurs (extérieurs à l’Union Européenne) de cyberattaques, via une liste d’entités blacklistées qui doit être régulièrement mise-à-jour. Exemple de sanction : gel des avoirs.

Ca me semble un peu plus nébuleux, mais cela donne un cadre à tous les membres pour punir les méchants. L’application effective sera à suivre de près…