Mandat et cadre réglementaire de l'ENISA
Le règlement (UE) 2019/881, communément appelé "loi sur la cybersécurité" au moment de son adoption, sert de mandat et de cadre réglementaire à l'ENISA. Il délimite la structure et les principales responsabilités de l'ENISA, l'agence de l'Union européenne pour la cybersécurité, tout en établissant un cadre de certification de la cybersécurité pour les produits, services et processus TIC dans l'ensemble de l'UE. Ce règlement est un élément essentiel de la stratégie de l'UE visant à renforcer la cybersécurité et à créer un marché unique numérique harmonisé.
Structure et sections clés
- Mandat de l'ENISA : Le règlement établit de manière permanente l'ENISA, renforçant son rôle de soutien aux États membres et aux institutions de l'UE pour améliorer la cybersécurité, servir de centre d'expertise et réduire la fragmentation du marché. L'ENISA est chargée de contribuer à l'élaboration et à la mise en œuvre des politiques de l'UE, de promouvoir le renforcement des capacités, de soutenir la coopération opérationnelle et de sensibiliser le public aux risques liés à la cybersécurité.
- Cadre de certification de la cybersécurité : Une partie importante du règlement est consacrée à la création d'un cadre européen de certification de la cybersécurité. Ce cadre vise à établir des systèmes de certification communs dans toute l'UE afin d'accroître la confiance dans les produits, les services et les processus liés aux TIC. Ces systèmes sont conçus pour indiquer les niveaux d'assurance de sécurité (de base, substantiel ou élevé) et visent à unifier le paysage de la certification, en remplaçant les systèmes nationaux par une approche cohérente à l'échelle de l'UE.
- Structure administrative : L'ENISA fonctionne sous l'égide d'un conseil d'administration, d'un bureau exécutif et d'un groupe consultatif, ce qui lui permet de fonctionner efficacement et de s'aligner sur ses responsabilités élargies. En outre, un groupe européen de certification en matière de cybersécurité (ECCG) a été créé pour contribuer au développement et à l'application du cadre de certification en matière de cybersécurité.
- Examen et évaluation : Le règlement prévoit des évaluations régulières de l'impact de l'ENISA et de l'efficacité des systèmes de certification. Le premier examen complet était prévu pour 2024, et les examens suivants doivent avoir lieu tous les cinq ans.
- Abrogation du règlement précédent : Le règlement abroge le règlement (UE) n° 526/2013, reflétant l'évolution de l'approche de l'UE en matière de cybersécurité et l'importance croissante d'une réponse solide et unifiée aux cybermenaces.
La directive CER représente une avancée significative dans les efforts de l'UE pour protéger les infrastructures critiques contre un large éventail de menaces. En établissant des obligations claires pour les États membres et les entités critiques, la directive vise à créer un environnement plus résilient et plus sûr dans l'ensemble de l'Union.