Nouvelles règles visant à renforcer la cybersécurité et la sécurité de l'information dans les institutions, organes et organismes de l'UE

La Commission a proposé aujourd'hui de nouvelles règles visant à établir des mesures communes en matière de cybersécurité et de sécurité de l'information dans les institutions, organes et organismes de l'UE. La proposition vise à renforcer leur résilience et leurs capacités de réaction face aux menaces et incidents de cybersécurité, ainsi qu'à garantir une administration publique de l'UE résiliente et sûre, compte tenu de l'augmentation des actes de cybermalveillance sur la scène mondiale. 

Le commissaire au budget et à l'administration, Johannes Hahn, a déclaré à ce propos:

«Dans un environnement connecté, un incident de cybersécurité unique peut toucher toute une organisation. C'est pourquoi il est essentiel de mettre en place un bouclier solide contre les menaces et incidents de cybersécurité susceptibles de perturber notre capacité d'action. Les règlements que nous proposons aujourd'hui constituent une étape importante dans le paysage européen de la cybersécurité et de la sécurité de l'information. Ils reposent sur une coopération renforcée et un soutien mutuel entre les institutions, organes et organismes de l'UE, ainsi que sur une préparation et une réaction coordonnées. Il s'agit d'un véritable effort collectif de l'UE.»

Dans le contexte de la pandémie de COVID-19 et des défis géopolitiques croissants, une approche commune de la cybersécurité et de la sécurité de l'information est indispensable. Dans cette optique, la Commission a proposé un règlement sur la cybersécurité et un règlement sur la sécurité de l'information. En fixant des priorités et des cadres communs, ces règles intensifieront encore la coopération interinstitutionnelle, réduiront au minimum l'exposition aux risques et renforceront davantage la culture de la sécurité de l'UE.

Règlement sur la cybersécurité

Le règlement sur la cybersécurité proposé mettra en place un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité. Il conduira à la création d'un nouveau conseil interinstitutionnel de cybersécurité, renforcera les capacités en matière de cybersécurité, encouragera la conduite régulière d'évaluations de la maturité et favorisera une meilleure hygiène informatique. Il étendra également le mandat de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et organismes de l'UE (CERT-UE), en tant que plateforme de renseignement sur les menaces, d'échange d'informations et de coordination de la réaction en cas d'incident, en tant qu'organe consultatif central et en tant que fournisseur de services.

Principaux éléments de la proposition de règlement sur la cybersécurité:

• renforcer le mandat du CERT-UE et fournir les ressources dont il a besoin pour l'accomplir;
• imposer à l'ensemble des institutions, organes et organismes de l'UE de:
  • disposer d'un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité;
  • mettre en œuvre une base de référence pour les mesures de cybersécurité visant à faire face aux risques identifiés;
  • procéder régulièrement à des évaluations de la maturité;
  • mettre en place un plan d'amélioration de leur cybersécurité, approuvé par la direction de l'entité;
  • partager les informations relatives aux incidents avec le CERT-UE dans les meilleurs délais.
• mettre en place un nouveau conseil interinstitutionnel de cybersécurité chargé de piloter et surveiller la mise en œuvre du règlement et d'orienter le CERT-UE.
• renommer le CERT-UE afin que l'«équipe d'intervention en cas d'urgence informatique» s'appelle dorénavant le «centre de cybersécurité», pour faire écho à l'évolution observée dans les États membres et dans le monde, tout en conservant la dénomination abrégée «CERT-UE» en raison de sa notoriété.

Règlement sur la sécurité de l'information

La proposition de règlement sur la sécurité de l'information créera un ensemble minimal de normes et règles en matière de sécurité de l'information pour l'ensemble des institutions, organes et organismes de l'UE afin d'assurer une protection renforcée et cohérente contre les menaces en constante évolution qui pèsent sur leurs informations. Ces nouvelles règles fourniront un terrain stable pour un échange sécurisé d'informations entre les institutions, organes et organismes de l'UE et avec les États membres, sur la base de pratiques et de mesures normalisées destinées à protéger les flux d'informations.

Principaux éléments de la proposition de règlement sur la sécurité de l'information:

• mettre en place une gouvernance efficace pour favoriser la coopération entre l'ensemble des institutions, organes et organismes de l'UE, à savoir un groupe de coordination de la sécurité de l'information au niveau interinstitutionnel;
• établir une approche commune en matière de catégorisation des informations sur la base du niveau de confidentialité;
• moderniser les politiques de sécurité de l'information, en intégrant complètement la transformation numérique et le travail à distance;
• rationaliser les pratiques actuelles et accroître la compatibilité entre les systèmes et dispositifs concernés.

Contexte

Dans sa résolution de mars 2021, le Conseil de l'Union européenne a souligné l'importance d'un cadre de sécurité solide et cohérent pour protéger l'ensemble du personnel, des données, des réseaux de communication, des systèmes d'information et des processus décisionnels de l'UE. Cet objectif ne peut être atteint qu'en renforçant la résilience et la culture de la sécurité des institutions, organes et organismes de l'UE.

Donnant suite à la stratégie de l'UE pour l'union de la sécurité et à la stratégie de cybersécurité de l'Union européenne, le règlement sur la cybersécurité proposé aujourd'hui garantira la cohérence avec les politiques de l'UE en vigueur en matière de cybersécurité, en parfaite conformité avec la législation européenne actuelle:

• la directive sur la sécurité des réseaux et des systèmes d'information (directive SRI) et la future directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union («SRI 2»), que la Commission a proposée en décembre 2020;
• le règlement sur la cybersécurité;
• la recommandation de la Commission sur la création d'une unité conjointe de cybersécurité;
• la recommandation de la Commission sur la réaction coordonnée aux incidents et crises de cybersécurité majeurs.

Compte tenu du nombre toujours croissant d'informations sensibles non classifiées et d'informations classifiées de l'UE traitées par les institutions, organes et organismes de l'UE, la proposition de règlement sur la sécurité de l'information vise à renforcer la protection des informations, en rationalisant les différents cadres juridiques des institutions, organes et organismes de l'Union dans ce domaine. La proposition est conforme:

• à la stratégie de l'UE pour l'union de la sécurité, qui comprend un engagement global de l'UE à compléter les efforts déployés par les États membres dans tous les domaines de la sécurité;
• à l'objectif essentiel du programme stratégique pour 2019-2024, adopté par le Conseil européen en juin 2019, qui consiste à protéger nos sociétés contre les menaces en perpétuelle évolution visant les informations traitées par les institutions, organes et organismes de l'UE;
• aux conclusions du Conseil des affaires générales de décembre 2019 appelant les institutions, organes et organismes de l'UE, soutenus par les États membres, à élaborer et à mettre en œuvre un ensemble complet de mesures visant à garantir leur sécurité.

Pour en savoir plus

Proposition de règlement du Parlement européen et du Conseil établissant des mesures destinées à assurer un niveau élevé de cybersécurité au sein des institutions, organes et organismes de l'Union  

Proposition de règlement du Parlement européen et du Conseil relatif à la sécurité de l'information dans les institutions, organes et organismes de l'Union