Partager cette page: 

  • Des appareils "intelligents" plus sûrs et des dispositifs connectés (internet des objets) pour les consommateurs de l'UE 
  • Une agence européenne de cybersécurité plus forte 
  • Réduire les risques et les menaces pour la sécurité de l'information et les systèmes de réseau 
  • Augmenter la cyber-résistance 

La commission de l’industrie s’est prononcée mardi en faveur d’un nouveau cadre de certification pour les dispositifs connectés et d’un rôle renforcé pour l'agence de cybersécurité de l'UE.

Le système de cybersécurité de l'UE certifiera qu'un produit, processus ou service TIC ne présente aucune vulnérabilité connue au moment de la délivrance de la certification et qu'il est conforme aux normes et spécifications techniques internationales.

Cadre de certification de cybersécurité

La certification sera volontaire et, dans les cas appropriés, obligatoire et garantira:

  • la confidentialité, l'intégrité, la disponibilité et la confidentialité des services, des fonctions et des données;
  • que les services, fonctions et données puissent être consultés et utilisés uniquement par les personnes, systèmes et programmes autorisés;
  • que des processus soient mis en place pour identifier toutes les vulnérabilités connues et traiter les nouvelles;
  • que les produits, processus ou services soient conçus pour être sécurisés et équipés de logiciels à jour sans aucune vulnérabilité connue; et
  • que les autres risques liés aux cyberincidents, tels que les risques pour la vie ou la santé, soient réduits au minimum.


Niveau d'assurance

Le système de certification spécifiera trois niveaux d'assurance fondés sur les risques:

  • de base - ce qui signifie que l'appareil ou le dispositif est protégé contre les risques fondamentaux connus de cyberincidents;
  • substantiel - les risques connus d'incidents cybernétiques sont évités et il est également possible de résister aux cyberattaques avec des ressources et des moyens limités; et
  • à haut risque - les risques d'incidents cybernétiques sont évités et l'appareil est capable de résister à des cyberattaques de pointe avec des ressources importantes.


Mandat renforcé pour l’ENISA


Le nouveau projet de règles octroiera un budget plus important, plus de personnel et un mandat permanent à l'Agence européenne pour la sécurité des réseaux et de l'information (ENISA), dont le siège se trouve à Héraklion et les bureaux à Athènes.

Par ailleurs, l'ENISA deviendra le point de référence pour le système de certification en matière de cybersécurité, afin:

  • d’éviter la fragmentation des systèmes de certification dans l'Union européenne;
  • de mettre au point des systèmes de certification de l'UE pour des produits spécifiques, à la demande de la Commission européenne; et
  • de maintenir un site web dédié contenant toutes les informations pertinentes sur les systèmes de certification, notamment celles relatives aux certificats retirés et expirés.


Citation


La rapporteure Angelika Niebler (PPE, DE) a déclaré: "Le vote d'aujourd'hui est une avancée très importante vers une vision à long terme de la cybersécurité dans l'UE pour deux raisons. Tout d’abord, du point de vue des consommateurs, il est indispensable que les utilisateurs aient confiance dans les solutions informatiques. Deuxièmement, je crois fermement que l'Europe peut devenir un acteur majeur dans le domaine de la cybersécurité. Nous disposons d'une base industrielle solide et il est vital de continuer à travailler à l'amélioration de la cybersécurité des biens de consommation, des applications industrielles et des infrastructures critiques."

Prochaines étapes

Le projet de rapport a été adopté par 56 voix pour, 5 voix contre et une abstention. Il devrait être débattu et voté par le Parlement dans son ensemble lors de la session plénière de septembre. Le Conseil a déjà adopté sa position pour mener les négociations avec le Parlement européen. Une fois que la plénière aura confirmé le mandat de négociation, les pourparlers avec les ministres de l'UE pourront commencer.