La Commission se félicite de l'accord politique sur de nouvelles règles visant à renforcer la cybersécurité dans les institutions, organes et organismes de l'UE

La Commission se félicite de l'accord politique auquel sont parvenus le Parlement européen et le Conseil de l'UE sur sa proposition de règlement établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union. Les négociations sont à présent achevées, ce qui ouvre la voie à l'approbation finale du texte juridique par le Parlement européen et le Conseil.

La Commission avait annoncé cette proposition de règlement sur la cybersécurité en mars 2022. Ce règlement établira un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité dans l'ensemble des entités de l'UE et créera un conseil interinstitutionnel de cybersécurité chargé de surveiller sa mise en œuvre. Il étendra également le mandat de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et organismes de l'UE (CERT-UE), en tant que plateforme de renseignement sur les menaces, d'échange d'informations et de coordination de la réaction en cas d'incident, en tant qu'organe consultatif central et en tant que fournisseur de services. La CERT-UE sera rebaptisée «Service de cybersécurité pour les institutions, organes et organismes de l'Union» afin de tenir compte de son nouveau mandat. L'abréviation CERT-UE sera conservée afin que ce service demeure reconnaissable.

Les principaux éléments de cette proposition concernant l'ensemble des institutions, organes et organismes de l'UE sont les suivants:

• disposer d'un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité;
• procéder régulièrement à des évaluations de la maturité;
• mettre en œuvre des mesures de cybersécurité destinées à faire face aux risques recensés;
• mettre en place un plan visant à améliorer leur cybersécurité;
• partager les informations relatives aux incidents avec la CERT-UE dans les meilleurs délais.

Prochaines étapes

Une fois le texte finalisé, le Parlement européen et le Conseil devront adopter formellement le nouveau règlement avant que celui-ci ne puisse entrer en vigueur. Les entités de l'Union seront alors tenues de se conformer aux obligations et de respecter les délais fixés dans le texte. Cela contribuera à assurer des niveaux de cybersécurité plus élevés au sein de l'administration de l'UE ainsi qu'une meilleure préparation aux défis à venir. 

Contexte

Dans sa résolution de mars 2021, le Conseil de l'Union européenne a souligné l'importance d'un cadre de sécurité solide et cohérent pour protéger l'ensemble du personnel, des données, des réseaux de communication, des systèmes d'information et des processus décisionnels de l'UE. Cet objectif ne peut être atteint qu'en renforçant la résilience et la culture de la sécurité des institutions, organes et organismes de l'UE.

Donnant suite à la stratégie de l'UE pour l'union de la sécurité et à la stratégie de cybersécurité de l'UE, le règlement sur la cybersécurité garantira la cohérence avec les politiques de l'UE en vigueur en matière de cybersécurité, en parfaite conformité avec la législation européenne actuelle:

• la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union («SRI 2»), sur laquelle le règlement est aligné en ce qui concerne les principes et le niveau d'ambition, tout en respectant les particularités des entités de l'Union;
• le règlement sur la cybersécurité;
• la recommandation de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs.

Pour en savoir plus

Proposition de règlement du Parlement européen et du Conseil relatif à la sécurité de l'information dans les institutions, organes et organismes de l'Union

Citation(s)

L’accord trouvé par les colégislateurs confirme notre détermination commune à veiller à ce que l’administration publique de l’UE reste ouverte, sûre et résiliente. La cybersécurité est une priorité politique et opérationnelle pour l’UE, et le présent règlement constitue une étape importante à cet égard. Le renforcement de la coopération, de la sécurité juridique et de l’efficacité créera un climat de collaboration et de confiance dans lequel les personnes, les données et les réseaux pourront fonctionner et interagir en toute sécurité.

Johannes Hahn, commissaire au budget et à l'administration - 26/06/2023