Mandat et cadre réglementaire de l'ENISA

Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (l'Agence de l'Union européenne pour la sécurité et la santé au travail). CybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ;) et sur la certification en matière de cybersécurité des technologies de l'information et des communications et abrogeant le règlement (UE) n° 526/2013 (loi sur la cybersécurité)

Le règlement (UE) 2019/881, communément appelé "loi sur la cybersécurité" au moment de son adoption, sert de mandat et de cadre réglementaire à l'ENISA. Il délimite la structure et les principales responsabilités de l'ENISA, l'agence de l'Union européenne pour la cybersécurité, tout en établissant un cadre de certification de la cybersécurité pour les produits, services et processus TIC dans l'ensemble de l'UE. Ce règlement est un élément essentiel de la stratégie de l'UE visant à renforcer la cybersécurité et à créer un marché unique numérique harmonisé.

Structure et sections clés

  1. Mandat de l'ENISA : Le règlement établit de manière permanente l'ENISA, renforçant son rôle de soutien aux États membres et aux institutions de l'UE pour améliorer la cybersécurité, servir de centre d'expertise et réduire la fragmentation du marché. L'ENISA est chargée de contribuer à l'élaboration et à la mise en œuvre des politiques de l'UE, de promouvoir le renforcement des capacités, de soutenir la coopération opérationnelle et de sensibiliser le public aux risques liés à la cybersécurité.
  2. Cadre de certification de la cybersécurité : Une partie importante du règlement est consacrée à la création d'un cadre européen de certification de la cybersécurité. Ce cadre vise à établir des systèmes de certification communs dans toute l'UE afin d'accroître la confiance dans les produits, les services et les processus liés aux TIC. Ces systèmes sont conçus pour indiquer les niveaux d'assurance de sécurité (de base, substantiel ou élevé) et visent à unifier le paysage de la certification, en remplaçant les systèmes nationaux par une approche cohérente à l'échelle de l'UE.
  3. Structure administrative : L'ENISA fonctionne sous l'égide d'un conseil d'administration, d'un bureau exécutif et d'un groupe consultatif, ce qui lui permet de fonctionner efficacement et de s'aligner sur ses responsabilités élargies. En outre, un groupe européen de certification en matière de cybersécurité (ECCG) a été créé pour contribuer au développement et à l'application du cadre de certification en matière de cybersécurité.
  4. Examen et évaluation : Le règlement prévoit des évaluations régulières de l'impact de l'ENISA et de l'efficacité des systèmes de certification. Le premier examen complet était prévu pour 2024, et les examens suivants doivent avoir lieu tous les cinq ans.
  5. Abrogation du règlement précédent : Le règlement abroge le règlement (UE) n° 526/2013, reflétant l'évolution de l'approche de l'UE en matière de cybersécurité et l'importance croissante d'une réponse solide et unifiée aux cybermenaces.

La directive CER représente une avancée significative dans les efforts de l'UE pour protéger les infrastructures critiques contre un large éventail de menaces. En établissant des obligations claires pour les États membres et les entités critiques, la directive vise à créer un environnement plus résilient et plus sûr dans l'ensemble de l'Union.

Obtenir le NIS 2 Chaîne d'approvisionnement RisqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) Liste de contrôle

Téléchargez gratuitement notre liste de contrôle des risques de la chaîne d'approvisionnement NIS2 pour vous assurer que votre organisation respecte les dernières normes de conformité en matière de cybersécurité sans effort.