De nouvelles règles visant à renforcer la cybersécurité dans les institutions de l'UE entrent en vigueur

Le nouveau règlement sur la cybersécurité, établissant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l'Union, est entré en vigueur hier, le 7 janvier 2024.

Le règlement établit des mesures en vue de la création d'un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité pour chaque entité de l'Union, et institue un nouveau conseil interinstitutionnel de cybersécurité (IICB), chargé de suivre et de soutenir sa mise en œuvre par les entités de l'Union. Il prévoit l'élargissement du mandat de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et organismes de l'UE (CERT-UE), en tant que plateforme de renseignement sur les menaces, d'échange d'informations et de coordination de la réaction en cas d'incident, en tant qu'organe consultatif central et en tant que fournisseur de services. Conformément à son mandat, la CERT-UE est rebaptisée «service de cybersécurité pour les institutions, organes et organismes de l'Union», mais conserve la dénomination abrégée «CERT-UE».

Prochaines étapes

Conformément au calendrier défini dans le règlement, les entités de l'Union établiront des processus internes de gouvernance en matière de cybersécurité et mettront progressivement en place les mesures spécifiques de gestion des risques de cybersécurité prévues par le règlement. L'IICB sera constitué et deviendra opérationnel aussitôt que possible, dans le but d'assurer le pilotage stratégique du CERT-UE dans le cadre de son mandat élargi, de fournir des orientations et une aide aux entités de l'Union et de suivre la mise en œuvre du règlement. 

Contexte

Dans sa résolution de mars 2021, le Conseil de l'Union européenne a souligné l'importance d'un cadre de sécurité solide et cohérent pour protéger l'ensemble du personnel, des données, des réseaux de communication, des systèmes d'information et des processus décisionnels de l'UE. Dans ce contexte, la Commission a annoncé la proposition de règlement sur la cybersécurité en mars 2022 et, en juin 2023, le Parlement européen et le Conseil sont parvenus à un accord politique.

Ce règlement est aligné sur les objectifs stratégiques de la Commission fixés par la stratégie de l'UE pour l'union de la sécurité et la stratégie de cybersécurité de l'UE, et assure la cohérence avec d'autres initiatives législatives dans ce domaine:

• la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (directive «SRI 2»), sur laquelle le règlement est aligné en ce qui concerne les principes et le niveau d'ambition, tout en respectant les particularités des entités de l'Union;
• le règlement sur la cybersécurité;
• la recommandation de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs.

Le règlement sur la cybersécurité a été présenté en même temps qu'une proposition de règlement relatif à la sécurité de l'information, qui fixe des règles et normes minimales en matière de sécurité de l'information pour l'ensemble des institutions, organes et organismes de l'UE. Cette proposition vise à assurer un échange sécurisé d'informations entre les institutions, organes et organismes de l'UE ainsi qu'avec les États membres, grâce à des pratiques normalisées et à des mesures visant à protéger les flux d'informations. Les colégislateurs n'ont pas encore entamé les négociations sur cette proposition.

Citation(s)

Alors que les cybermenaces sont de plus en plus répandues et les cyberattaques de plus en plus sophistiquées, il est essentiel de parvenir à un niveau élevé commun de cybersécurité dans l’ensemble des entités de l’Union afin de garantir que l’administration publique de l’UE soit ouverte, efficace, sûre et résiliente. Le règlement renforce la cybersécurité des entités de l’Union et aligne l’administration de l’UE sur les normes imposées aux États membres, notamment la directive concernant des niveaux élevés communs de cybersécurité dans l’ensemble de l’Union, également connue sous le nom de directive SRI 2. L’adoption rapide du règlement prouve l’attachement de l’UE à ces objectifs. J’invite à présent les colégislateurs à entamer rapidement les négociations sur le règlement parallèle relatif à la sécurité de l’information.

Johannes Hahn, commissaire au budget et à l'administration