Préambule

RÈGLEMENT (UE) 2019/881 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 17 avril 2019

sur l'ENISA (l'Agence de l'Union européenne pour la sécurité et la santé au travail). CybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ;) et sur la certification en matière de cybersécurité des technologies de l'information et des communications et abrogeant le règlement (UE) n° 526/2013 (loi sur la cybersécurité)

(Texte présentant de l'intérêt pour l'EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,
Vu la proposition de la Commission européenne,
Après transmission du projet d'acte législatif aux parlements nationaux,
Vu l'avis du Comité économique et social européen (1),
vu l'avis du Comité des régions (2),
Agissant conformément à la procédure législative ordinaire (3),

Considérant que

(1) Les systèmes de réseaux et d'information ainsi que les réseaux et services de communications électroniques jouent un rôle essentiel dans la société et sont devenus l'épine dorsale de la croissance économique. Les technologies de l'information et de la communication (TIC) sont à la base des systèmes complexes qui soutiennent les activités quotidiennes de la société, assurent le fonctionnement de nos économies dans des secteurs clés tels que la santé, l'énergie, la finance et les transports et, en particulier, soutiennent le fonctionnement du marché intérieur.

(2) L'utilisation des réseaux et des systèmes d'information par les citoyens, les organisations et les entreprises dans l'ensemble de l'Union est désormais omniprésente. La numérisation et la connectivité deviennent des caractéristiques essentielles d'un nombre toujours croissant de produits et de services et, avec l'avènement de l'internet des objets (IdO), un nombre extrêmement élevé de dispositifs numériques connectés devraient être déployés dans l'Union au cours de la prochaine décennie. Alors qu'un nombre croissant d'appareils est connecté à l'internet, la sécurité et la résilience ne sont pas suffisamment intégrées dès la conception, ce qui conduit à une cybersécurité insuffisante. Dans ce contexte, le recours limité à la certification fait que les utilisateurs individuels, organisationnels et professionnels ne disposent pas d'informations suffisantes sur les caractéristiques de cybersécurité des produits, services et processus TIC, ce qui mine la confiance dans les solutions numériques. Les réseaux et les systèmes d'information sont capables de soutenir tous les aspects de notre vie et de stimuler la croissance économique de l'Union. Ils sont la pierre angulaire de la réalisation du marché unique numérique.

(3) La numérisation et la connectivité accrues augmentent les risques en matière de cybersécurité, rendant ainsi la société dans son ensemble plus vulnérable aux cybermenaces et exacerbant les dangers auxquels sont confrontés les individus, y compris les personnes vulnérables telles que les enfants. Afin d'atténuer ces risques, il convient de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l'Union, de sorte que les réseaux et systèmes d'information, les réseaux de communication, les produits, services et dispositifs numériques utilisés par les citoyens, les organisations et les entreprises - depuis les petites et moyennes entreprises (PME), telles que définies dans la recommandation 2003/361/CE de la Commission (4), jusqu'aux exploitants d'infrastructures critiques - soient mieux protégés contre les cybermenaces.

(4) En mettant les informations pertinentes à la disposition du public, l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA), telle qu'établie par le règlement (UE) n° 526/2013 du Parlement européen et du Conseil (5), contribue au développement du secteur de la cybersécurité dans l'Union, en particulier des PME et des jeunes pousses. L'ENISA devrait s'efforcer de coopérer plus étroitement avec les universités et les entités de recherche afin de contribuer à réduire la dépendance à l'égard des produits et services de cybersécurité provenant de l'extérieur de l'Union et de renforcer les chaînes d'approvisionnement à l'intérieur de l'Union.

(5) Les cyberattaques se multiplient et une économie et une société connectées, plus vulnérables aux cybermenaces et aux cyberattaques, nécessitent des défenses plus solides. Toutefois, si les cyberattaques ont souvent lieu au-delà des frontières, les compétences des autorités chargées de la cybersécurité et de l'application de la loi, ainsi que les mesures qu'elles prennent, sont essentiellement nationales. Des incidents de grande ampleur pourraient perturber la fourniture de services essentiels dans l'ensemble de l'Union. Cela nécessite des réponses et une gestion de crise efficaces et coordonnées au niveau de l'Union, en s'appuyant sur des politiques spécifiques et des instruments plus larges de solidarité européenne et d'assistance mutuelle. En outre, une évaluation régulière de l'état de la cybersécurité et de la résilience dans l'Union, fondée sur des données fiables de l'Union, ainsi que des prévisions systématiques des évolutions, des défis et des menaces à venir, au niveau de l'Union et au niveau mondial, sont importantes pour les décideurs politiques, l'industrie et les utilisateurs.

(6) Compte tenu des défis accrus auxquels l'Union est confrontée en matière de cybersécurité, il est nécessaire de mettre en place un ensemble complet de mesures qui s'appuieraient sur l'action antérieure de l'Union et favoriseraient la réalisation d'objectifs qui se renforcent mutuellement. Ces objectifs consistent notamment à renforcer les capacités et l'état de préparation des États membres et des entreprises, ainsi qu'à améliorer la coopération, le partage d'informations et la coordination entre les États membres et les institutions, organes et organismes de l'Union. En outre, compte tenu de la nature transfrontalière des cybermenaces, il est nécessaire d'accroître les capacités au niveau de l'Union qui pourraient compléter l'action des États membres, notamment en cas d'incidents et de crises transfrontaliers de grande ampleur, tout en tenant compte de l'importance de maintenir et de renforcer les capacités nationales de réaction aux cybermenaces de toute ampleur.

(7) Des efforts supplémentaires sont également nécessaires pour sensibiliser les citoyens, les organisations et les entreprises aux questions de cybersécurité. En outre, étant donné que les incidents sapent la confiance dans les service numériqueService numérique désigne tout service de la société de l'information, c'est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services. Aux fins de la présente définition : i) "à distance" signifie que le service est fourni sans que les parties soient simultanément présentes ; ii) "par voie électronique" signifie que le service est envoyé initialement et reçu à destination au moyen d'équipements électroniques de traitement (y compris la compression numérique) et de stockage de données, et qu'il est entièrement transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par d'autres moyens électromagnétiques ; iii) "à la demande individuelle d'un destinataire de services" signifie que le service est fourni par la transmission de données sur demande individuelle. - Définition selon l'article 1, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil. et dans le marché unique numérique lui-même, en particulier parmi les consommateurs, il convient de renforcer encore la confiance en offrant des informations transparentes sur le niveau de sécurité des produits, services et processus TIC, en soulignant que même un niveau élevé de certification en matière de cybersécurité ne peut garantir qu'un produit, un service ou un processus TIC est sûr et fiable, et qu'il n'y a pas de risque de perte de confiance. Produit TICProduit TIC désigne un élément ou un groupe d'éléments d'un réseau ou d'un système d'information - Définition selon l'article 2, point (12), du règlement (UE) 2019/881., Service TICService TIC Un service consistant entièrement ou principalement en la transmission, le stockage, l'extraction ou le traitement d'informations au moyen de réseaux et de systèmes d'information - Définition selon l'article 2, point (13), du règlement (UE) 2019/881. ou Processus TICProcessus TIC Désigne un ensemble d'activités réalisées pour concevoir, développer, fournir ou maintenir un produit ou un service TIC - Définition selon l'article 2, point (14), du règlement (UE) 2019/881. est totalement sécurisé. Le renforcement de la confiance peut être facilité par une certification à l'échelle de l'Union prévoyant des exigences et des critères d'évaluation communs en matière de cybersécurité sur les marchés et les secteurs nationaux.

(8) La cybersécurité n'est pas seulement une question liée à la technologie, mais une question où le comportement humain est tout aussi important. C'est pourquoi il convient d'encourager fortement la "cyberhygiène", c'est-à-dire les mesures simples et de routine qui, lorsqu'elles sont mises en œuvre et appliquées régulièrement par les citoyens, les organisations et les entreprises, minimisent leur exposition aux risques liés aux cybermenaces.

(9) Afin de renforcer les structures de cybersécurité de l'Union, il est important de maintenir et de développer les capacités des États membres à réagir de manière globale aux cybermenaces, y compris aux incidents transfrontaliers.

(10) Les entreprises et les consommateurs devraient disposer d'informations précises sur le niveau d'assurance auquel la sécurité de leurs produits, services et processus TIC a été certifiée. Dans le même temps, aucun produit ou service TIC n'est totalement cybersécurisé et les règles de base de la cyberhygiène doivent être encouragées et privilégiées. Compte tenu de la disponibilité croissante des dispositifs IdO, il existe une série de mesures volontaires que le secteur privé peut prendre pour renforcer la confiance dans la sécurité des produits, des services et des processus TIC.

(11) Les produits et systèmes TIC modernes intègrent souvent une ou plusieurs technologies et composants tiers, tels que des modules logiciels, des bibliothèques ou des interfaces de programmation d'applications, et en dépendent. Cette dépendance peut entraîner des risques supplémentaires en matière de cybersécurité, car les vulnérabilités détectées dans les composants tiers peuvent également affecter la sécurité des produits, des services et des processus TIC. Dans de nombreux cas, l'identification et la documentation de ces dépendances permettent aux utilisateurs finaux des produits, services et processus TIC d'améliorer leur cybersécurité. risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les activités de gestion en améliorant, par exemple, la cybersécurité des utilisateurs vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les procédures de gestion et d'assainissement.

(12) Il convient d'encourager les organisations, les fabricants ou les fournisseurs participant à la conception et au développement de produits, de services ou de processus TIC à mettre en œuvre, dès les premiers stades de la conception et du développement, des mesures visant à protéger au maximum la sécurité de ces produits, services et processus, de manière à présumer l'existence de cyberattaques et à anticiper et minimiser leur impact ("sécurité dès la conception"). La sécurité devrait être assurée tout au long de la durée de vie du produit, du service ou du processus TIC par des processus de conception et de développement qui évoluent constamment afin de réduire le risque de préjudice dû à une exploitation malveillante.

(13) Les entreprises, les organisations et le secteur public devraient configurer les produits TIC, les services TIC ou les processus TIC qu'ils conçoivent d'une manière qui garantisse un niveau de sécurité plus élevé et qui permette au premier utilisateur de recevoir une configuration par défaut avec les paramètres les plus sûrs possibles ("sécurité par défaut"), réduisant ainsi la charge que représente pour les utilisateurs le fait de devoir configurer un produit TIC, un service TIC ou un processus TIC de manière appropriée. La sécurité par défaut ne devrait pas nécessiter une configuration approfondie, une compréhension technique spécifique ou un comportement non intuitif de la part de l'utilisateur, et devrait fonctionner de manière simple et fiable lorsqu'elle est mise en œuvre. Si, au cas par cas, une analyse des risques et de la facilité d'utilisation permet de conclure qu'un tel réglage par défaut n'est pas réalisable, les utilisateurs devraient être invités à opter pour le réglage le plus sûr.

(14) Le règlement (CE) n° 460/2004 du Parlement européen et du Conseil (6) a créé l'ENISA dans le but de contribuer à assurer un niveau élevé et efficace de sécurité des réseaux et de l'information dans l'Union et de développer une culture de la sécurité des réseaux et de l'information au profit des citoyens, des consommateurs, des entreprises et des administrations publiques. Le règlement (CE) n° 1007/2008 du Parlement européen et du Conseil (7) a prolongé le mandat de l'ENISA jusqu'en mars 2012. Le règlement (UE) n° 580/2011 du Parlement européen et du Conseil (8) a prorogé le mandat de l'ENISA jusqu'au 13 septembre 2013. Le règlement (UE) n° 526/2013 a prolongé le mandat de l'ENISA jusqu'au 19 juin 2020.

(15) L'Union a déjà pris des mesures importantes pour garantir la cybersécurité et accroître la confiance dans les technologies numériques. En 2013, la stratégie de cybersécurité de l'Union européenne a été adoptée pour orienter la réponse politique de l'Union aux menaces et aux risques cybernétiques. Afin de mieux protéger les citoyens en ligne, le premier acte juridique de l'Union dans le domaine de la cybersécurité a été adopté en 2016 sous la forme de la directive (UE) 2016/1148 du Parlement européen et du Conseil (9). La directive (UE) 2016/1148 a mis en place des exigences concernant les capacités nationales dans le domaine de la cybersécurité, a établi les premiers mécanismes visant à renforcer la coopération stratégique et opérationnelle entre les États membres et a introduit des obligations concernant les mesures de sécurité et la protection des données. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) dans des secteurs vitaux pour l'économie et la société, tels que l'énergie, les transports, l'approvisionnement et la distribution d'eau potable, les banques, les infrastructures des marchés financiers, les soins de santé, les infrastructures numériques ainsi que les principaux fournisseurs de services numériques (moteurs de recherche, services d'informatique en nuage et places de marché en ligne).

Un rôle clé a été attribué à l'ENISA dans le soutien à la mise en œuvre de cette directive. En outre, la lutte efficace contre la cybercriminalité est une priorité importante de l'agenda européen en matière de sécurité, qui contribue à l'objectif global d'atteindre un niveau élevé de cybersécurité. D'autres actes juridiques tels que le règlement (UE) 2016/679 du Parlement européen et du Conseil (10) et les directives 2002/58/CE (11) et (UE) 2018/1972 (12) du Parlement européen et du Conseil contribuent également à un niveau élevé de cybersécurité dans le marché unique numérique.

(16) Depuis l'adoption de la stratégie de cybersécurité de l'Union européenne en 2013 et la dernière révision du mandat de l'ENISA, le contexte politique global a changé de manière significative alors que l'environnement mondial est devenu plus incertain et moins sûr. Dans ce contexte et dans le cadre du développement positif du rôle de l'ENISA en tant que point de référence pour le conseil et l'expertise, en tant que facilitateur de la coopération et du renforcement des capacités ainsi que dans le cadre de la nouvelle politique de cybersécurité de l'Union, il est nécessaire de revoir le mandat de l'ENISA, d'établir son rôle dans l'écosystème de cybersécurité modifié et de s'assurer qu'il contribue efficacement à la réponse de l'Union aux défis de cybersécurité émanant de l'environnement radicalement transformé de l'Union européenne et de l'environnement mondial. cybermenaceCybermenace désigne toute circonstance, tout événement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre manière aux réseaux et aux systèmes d'information, aux utilisateurs de ces systèmes et à d'autres personnes - Définition selon l'article 2, point (8), du règlement (UE) 2019/881. pour lesquels, comme cela a été reconnu lors de l'évaluation de l'ENISA, le mandat actuel n'est pas suffisant.

(17) L'ENISA établie par le présent règlement devrait succéder à l'ENISA établie par le règlement (UE) n° 526/2013. L'ENISA devrait exécuter les tâches qui lui sont confiées par le présent règlement et d'autres actes juridiques de l'Union dans le domaine de la cybersécurité, notamment en fournissant des conseils et une expertise et en agissant en tant que centre d'information et de connaissances de l'Union. Elle devrait promouvoir l'échange de bonnes pratiques entre les États membres et les parties prenantes privées, faire des suggestions à la Commission et aux États membres, servir de point de référence pour les initiatives politiques sectorielles de l'Union en matière de cybersécurité et favoriser la coopération opérationnelle, tant entre les États membres qu'entre les États membres et les institutions, organes et organismes de l'Union.

(18) Dans le cadre de la décision 2004/97/CE, Euratom prise d'un commun accord par les représentants des États membres, réunis au niveau des chefs d'État ou de gouvernement (13), les représentants des États membres ont décidé que l'ENISA aurait son siège dans une ville en Grèce à déterminer par le gouvernement grec. L'État membre d'accueil de l'ENISA doit assurer les meilleures conditions possibles pour le fonctionnement harmonieux et efficace de l'ENISA. Il est impératif pour l'exécution correcte et efficace de ses tâches, pour le recrutement et la rétention du personnel et pour améliorer l'efficacité des activités de mise en réseau que l'ENISA soit basé dans un endroit approprié, entre autres en fournissant des connexions de transport appropriées et des facilités pour les conjoints et les enfants accompagnant les membres du personnel de l'ENISA. Les dispositions nécessaires doivent être définies dans un accord entre l'ENISA et l'État membre d'accueil conclu après avoir obtenu l'approbation du Conseil d'administration de l'ENISA.

(19) Compte tenu des risques et défis croissants auxquels l'Union est confrontée en matière de cybersécurité, les ressources financières et humaines allouées à l'ENISA devraient être augmentées pour refléter son rôle et ses tâches accrus, et sa position critique dans l'écosystème des organisations défendant l'écosystème numérique de l'Union, permettant à l'ENISA d'exécuter efficacement les tâches qui lui sont confiées par le présent règlement.

(20) L'ENISA devrait développer et maintenir un haut niveau d'expertise et fonctionner comme un point de référence, établissant la confiance dans le marché unique grâce à son indépendance, la qualité des conseils qu'elle fournit, la qualité des informations qu'elle diffuse, la transparence de ses procédures, la transparence de ses méthodes de fonctionnement, et sa diligence dans l'exécution de ses tâches. L'ENISA devrait soutenir activement les efforts nationaux et contribuer de manière proactive aux efforts de l'Union tout en exécutant ses tâches en pleine coopération avec les institutions, organes et agences de l'Union et avec les États membres, en évitant toute duplication du travail et en promouvant la synergie. De plus, l'ENISA devrait s'appuyer sur les contributions et la coopération avec le secteur privé ainsi que d'autres parties prenantes concernées. Un ensemble de tâches devrait établir comment l'ENISA doit accomplir ses objectifs tout en permettant une flexibilité dans ses opérations.

(21) Afin d'être en mesure de fournir un soutien adéquat à la coopération opérationnelle entre les États membres, l'ENISA devrait renforcer ses capacités et compétences techniques et humaines. L'ENISA devrait augmenter son savoir-faire et ses capacités. L'ENISA et les États membres, sur une base volontaire, pourraient développer des programmes de détachement d'experts nationaux auprès de l'ENISA, créer des pools d'experts et des échanges de personnel.

(22) L'ENISA devrait assister la Commission par des conseils, des avis et des analyses concernant toutes les questions de l'Union liées au développement, à la mise à jour et à la révision des politiques et des lois dans le domaine de la cybersécurité et de leurs aspects sectoriels, afin d'améliorer la pertinence des politiques et des lois de l'Union ayant une dimension de cybersécurité et de permettre une cohérence dans la mise en œuvre de ces politiques et de ces lois au niveau national. L'ENISA devrait servir de point de référence en matière de conseil et d'expertise pour les initiatives politiques et législatives sectorielles de l'Union lorsque des questions liées à la cybersécurité sont en jeu. L'ENISA devrait informer régulièrement le Parlement européen de ses activités.

(23) Le noyau public de l'internet ouvert, à savoir ses principaux protocoles et son infrastructure, qui constituent un bien public mondial, assure la fonctionnalité essentielle de l'internet dans son ensemble et sous-tend son fonctionnement normal. L'ENISA doit soutenir la sécurité du noyau public de l'internet ouvert et la stabilité de son fonctionnement, y compris, mais sans s'y limiter, les protocoles clés (en particulier DNS, BGP, et IPv6), le fonctionnement du système de noms de domaine (tel que le fonctionnement de tous les domaines de premier niveau), et le fonctionnement de la zone racine.

(24) La tâche sous-jacente de l'ENISA est de promouvoir la mise en œuvre cohérente du cadre juridique pertinent, en particulier la mise en œuvre effective de la directive (UE) 2016/1148 et d'autres instruments juridiques pertinents contenant des aspects de cybersécurité, ce qui est essentiel pour accroître la cyber-résilience. Compte tenu de l'évolution rapide du paysage des cybermenaces, il est clair que les États membres doivent être soutenus par une approche plus globale et transversale du renforcement de la cyberrésilience.

(25) L'ENISA devrait assister les États membres et les institutions, organes et organismes de l'Union dans leurs efforts visant à mettre en place et à renforcer les capacités et l'état de préparation pour prévenir, détecter et répondre aux menaces et incidents cybernétiques, et en ce qui concerne le programme de travail de l'ENISA. sécurité des réseaux et des systèmes d'informationSécurité des réseaux et des systèmes d'information La capacité des réseaux et des systèmes d'information à résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par ces réseaux et systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2). En particulier, l'ENISA devrait soutenir le développement et l'amélioration des équipes de réponse aux incidents de sécurité informatique ("CSIRT") nationales et de l'Union prévues par la directive (UE) 2016/1148, en vue d'atteindre un niveau commun élevé de leur maturité dans l'Union. Les activités menées par l'ENISA concernant les capacités opérationnelles des États membres devraient soutenir activement les actions prises par les États membres pour se conformer à leurs obligations au titre de la directive (UE) 2016/1148 et ne devraient donc pas les remplacer.

(26) L'ENISA devrait également aider au développement et à la mise à jour des stratégies sur la sécurité des réseaux et des systèmes d'information au niveau de l'Union et, sur demande, au niveau des États membres, en particulier sur la cybersécurité, et devrait promouvoir la diffusion de ces stratégies et suivre les progrès de leur mise en œuvre. L'ENISA devrait également contribuer à couvrir les besoins en formation et en matériel de formation, y compris les besoins des organismes publics, et le cas échéant, dans une large mesure, "former les formateurs", en s'appuyant sur le cadre de compétences numériques pour les citoyens en vue d'aider les États membres et les institutions, organes et agences de l'Union à développer leurs propres capacités de formation.

(27) L'ENISA devrait soutenir les États membres dans le domaine de la sensibilisation et de l'éducation à la cybersécurité en facilitant une coordination plus étroite et l'échange de bonnes pratiques entre les États membres. Ce soutien pourrait consister en la mise en place d'un réseau de points de contact nationaux pour l'éducation et le développement d'une plateforme de formation à la cybersécurité. Le réseau de points de contact nationaux pour l'éducation pourrait fonctionner au sein du réseau des officiers de liaison nationaux et constituer un point de départ pour une future coordination au sein des États membres.

(28) L'ENISA devrait assister le groupe de coopération créé par la directive (UE) 2016/1148 dans l'exécution de ses tâches, notamment en fournissant une expertise, des conseils et en facilitant l'échange de bonnes pratiques, entre autres, en ce qui concerne l'identification des opérateurs de services essentiels par les États membres, ainsi qu'en ce qui concerne les dépendances transfrontalières, en matière de risques et d'incidents.

(29) En vue de stimuler la coopération entre les secteurs public et privé et au sein du secteur privé, notamment pour soutenir la protection des infrastructures critiques, l'ENISA devrait soutenir le partage d'informations au sein des secteurs et entre eux, en particulier les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148, en fournissant des bonnes pratiques et des orientations sur les outils disponibles et sur la procédure, ainsi qu'en fournissant des orientations sur la manière de traiter les questions réglementaires liées au partage d'informations, par exemple en facilitant la mise en place de centres sectoriels de partage et d'analyse d'informations.

(30) Alors que l'impact négatif potentiel des vulnérabilités des produits, services et processus TIC ne cesse d'augmenter, la découverte de ces vulnérabilités et la manière d'y remédier jouent un rôle important dans la réduction du risque global de cybersécurité. Il a été prouvé que la coopération entre les organisations, les fabricants ou les fournisseurs de produits, de services et de processus TIC vulnérables et les membres de la communauté des chercheurs en cybersécurité et les gouvernements qui découvrent des vulnérabilités augmente considérablement le taux de découverte et de correction des vulnérabilités dans les produits, les services et les processus TIC. La divulgation coordonnée des vulnérabilités est un processus structuré de coopération dans lequel les vulnérabilités sont signalées au propriétaire du système d'information, ce qui permet à l'organisation de diagnostiquer la vulnérabilité et d'y remédier avant que des informations détaillées sur la vulnérabilité ne soient divulguées à des tiers ou au public. Le processus prévoit également une coordination entre l'auteur de la découverte et l'organisation en ce qui concerne la publication de ces vulnérabilités. Des politiques coordonnées de divulgation des vulnérabilités pourraient jouer un rôle important dans les efforts déployés par les États membres pour renforcer la cybersécurité.

(31) L'ENISA devrait agréger et analyser les rapports nationaux partagés volontairement par les CSIRT et l'équipe interinstitutionnelle de réponse aux urgences informatiques pour les institutions, organes et agences de l'Union établie par l'arrangement entre le Parlement européen, le Conseil européen, le Conseil de l'Union européenne, la Commission européenne, la Cour de justice de l'Union européenne, la Banque centrale européenne, la Cour des comptes européenne, le Service européen pour l'action extérieure, le Comité économique et social européen, le Comité européen des régions et la Banque européenne d'investissement sur l'organisation et le fonctionnement d'une équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'Union (CERT-UE) (14) afin de contribuer à la mise en place de procédures, d'un langage et d'une terminologie communs pour l'échange d'informations. Dans ce contexte, l'ENISA devrait impliquer le secteur privé dans le cadre de la directive (UE) 2016/1148 qui établit les bases de l'échange volontaire d'informations techniques au niveau opérationnel, dans le réseau des équipes d'intervention en cas d'incident de sécurité informatique ("réseau CSIRT") créé par cette directive.

(32) L'ENISA devrait contribuer aux réponses apportées au niveau de l'Union en cas d'incidents et de crises transfrontières à grande échelle liés à la cybersécurité. Cette tâche devrait être exécutée conformément au mandat de l'ENISA en vertu du présent règlement et à une approche à convenir par les États membres dans le contexte de la recommandation (UE) 2017/1584 de la Commission (15) et des conclusions du Conseil du 26 juin 2018 sur la réponse coordonnée de l'UE aux incidents et crises de cybersécurité de grande ampleur. Cette tâche pourrait comprendre la collecte d'informations pertinentes et le rôle de facilitateur entre le réseau des CSIRT et la communauté technique, ainsi qu'entre les décideurs responsables de la gestion des crises. En outre, l'ENISA devrait soutenir la coopération opérationnelle entre les États membres, à la demande d'un ou plusieurs États membres, dans le traitement des incidents d'un point de vue technique, en facilitant les échanges pertinents de solutions techniques entre les États membres, et en fournissant une contribution aux communications publiques. L'ENISA devrait soutenir la coopération opérationnelle en testant les arrangements pour une telle coopération à travers des exercices réguliers de cybersécurité.

(33) En soutenant la coopération opérationnelle, l'ENISA devrait utiliser l'expertise technique et opérationnelle disponible du CERT-UE par le biais d'une coopération structurée. Cette coopération structurée pourrait s'appuyer sur l'expertise de l'ENISA. Le cas échéant, des accords spécifiques entre les deux entités devraient être établis pour définir la mise en œuvre pratique d'une telle coopération et pour éviter la duplication des activités.

(34) Dans l'accomplissement de sa tâche de soutien à la coopération opérationnelle au sein du réseau des CSIRTs, l'ENISA devrait être en mesure de fournir un soutien aux États membres à leur demande, par exemple en fournissant des conseils sur la façon d'améliorer leurs capacités à prévenir, détecter et répondre aux incidents, en facilitant le traitement technique des incidents ayant un impact significatif ou substantiel ou en s'assurant que les cybermenaces et les incidents sont analysés. L'ENISA devrait faciliter le traitement technique des incidents ayant un impact significatif ou substantiel, notamment en soutenant le partage volontaire de solutions techniques entre les États membres ou en produisant des informations techniques combinées, telles que des solutions techniques volontairement partagées par les États membres. La recommandation (UE) 2017/1584 recommande aux États membres de coopérer de bonne foi et de partager entre eux et avec l'ENISA des informations sur les incidents et les crises à grande échelle liés à la cybersécurité sans retard excessif. Ces informations aideraient l'ENISA à remplir sa mission de soutien à la coopération opérationnelle.

(35) Dans le cadre de la coopération régulière au niveau technique pour soutenir la connaissance de la situation de l'Union, l'ENISA, en étroite collaboration avec les États membres, devrait préparer régulièrement un rapport de situation technique approfondi de l'UE sur la cybersécurité concernant les incidents et les cybermenaces, sur la base d'informations accessibles au public, de sa propre analyse et des rapports qui lui sont communiqués par les CSIRT des États membres ou les points de contact uniques nationaux sur la sécurité des réseaux et des systèmes d'information ("points de contact uniques") prévus par la directive (UE) 2016/1148, tous deux sur une base volontaire, le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol, le CERT-UE et, le cas échéant, le Centre de renseignement et de situation de l'Union européenne (EU INTCEN) du Service européen pour l'action extérieure. Ce rapport devrait être mis à la disposition du Conseil, de la Commission, du Haut représentant de l'Union européenne et de la Commission européenne. ReprésentantReprésentant Une personne physique ou morale établie dans l'Union explicitement désignée pour agir au nom d'un prestataire de services DNS, d'un registre de noms TLD, d'une entité fournissant des services d'enregistrement de noms de domaine, d'un prestataire de services d'informatique en nuage, d'un prestataire de services de centre de données, d'un prestataire de réseaux de diffusion de contenu, d'un prestataire de services gérés, d'un prestataire de services de sécurité gérés, ou d'un fournisseur d'une place de marché en ligne, d'un moteur de recherche en ligne ou d'une plateforme de services de réseautage social qui n'est pas établi dans l'Union et qui peut être contacté par une autorité compétente ou un CSIRT à la place de l'entité elle-même en ce qui concerne les obligations qui incombent à cette entité en vertu de la présente directive. - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de l'Union pour les affaires étrangères et la politique de sécurité et le réseau des CSIRT.

(36) Le soutien de l'ENISA pour les enquêtes techniques ex-post des incidents ayant un impact significatif ou substantiel entrepris à la demande des États membres concernés doit se concentrer sur la prévention de futurs incidents. Les États membres concernés doivent fournir les informations et l'assistance nécessaires pour permettre à l'ENISA de soutenir efficacement l'enquête technique ex-post.

(37) Les États membres peuvent inviter les entreprises concernées par l'incident à coopérer en fournissant les informations et l'assistance nécessaires à l'ENISA, sans préjudice de leur droit à protéger les informations commercialement sensibles et les informations relatives à la sécurité publique.

(38) Pour mieux comprendre les défis dans le domaine de la cybersécurité, et en vue de fournir des conseils stratégiques à long terme aux États membres et aux institutions, organes et organismes de l'Union, l'ENISA doit analyser les risques actuels et émergents en matière de cybersécurité. À cette fin, l'ENISA devrait, en coopération avec les États membres et, le cas échéant, avec des organismes statistiques et d'autres organismes, collecter des informations pertinentes accessibles au public ou partagées volontairement, effectuer des analyses des technologies émergentes et fournir des évaluations spécifiques sur l'impact sociétal, juridique, économique et réglementaire attendu des innovations technologiques sur la sécurité des réseaux et de l'information, en particulier la cybersécurité. L'ENISA devrait en outre aider les États membres et les institutions, organes et organismes de l'Union à identifier les risques émergents en matière de cybersécurité et à prévenir les incidents, en effectuant des analyses des cybermenaces, des vulnérabilités et des incidents.

(39) Afin d'accroître la résilience de l'Union, l'ENISA devrait développer une expertise dans le domaine de la cybersécurité des infrastructures, en particulier pour soutenir les secteurs énumérés à l'annexe II de la directive (UE) 2016/1148 et ceux utilisés par les fournisseurs des services numériques énumérés à l'annexe III de ladite directive, en fournissant des conseils, en publiant des lignes directrices et en échangeant les meilleures pratiques. En vue d'assurer un accès plus facile à des informations mieux structurées sur les risques de cybersécurité et les remèdes possibles, l'ENISA devrait développer et maintenir le "hub d'information" de l'Union, un portail à guichet unique fournissant au public des informations sur la cybersécurité provenant des institutions, organes, bureaux et agences de l'Union et des États membres. Faciliter l'accès à des informations mieux structurées sur les risques de cybersécurité et les remèdes possibles pourrait également aider les États membres à renforcer leurs capacités et à aligner leurs pratiques, augmentant ainsi leur résilience globale aux cyberattaques.

(40) L'ENISA devrait contribuer à sensibiliser le public aux risques de cybersécurité, y compris par une campagne de sensibilisation à l'échelle de l'UE, en promouvant l'éducation et en fournissant des conseils sur les bonnes pratiques pour les utilisateurs individuels destinés aux citoyens, aux organisations et aux entreprises. L'ENISA devrait également contribuer à la promotion des meilleures pratiques et solutions, y compris la cyberhygiène et la cyberculture au niveau des citoyens, des organisations et des entreprises, en collectant et en analysant les informations accessibles au public concernant les incidents significatifs, et en compilant et en publiant des rapports et des conseils pour les citoyens, les organisations et les entreprises, afin d'améliorer leur niveau général de préparation et de résilience. L'ENISA devrait également s'efforcer de fournir aux consommateurs des informations pertinentes sur les systèmes de certification applicables, par exemple en fournissant des lignes directrices et des recommandations. L'ENISA devrait en outre organiser, conformément au plan d'action pour l'éducation numérique établi dans la communication de la Commission du 17 janvier 2018 et en coopération avec les États membres et les institutions, organes et organismes de l'Union, des campagnes régulières de sensibilisation et d'éducation du public destinées aux utilisateurs finaux, afin de promouvoir un comportement en ligne plus sûr de la part des individus et la culture numérique, de sensibiliser aux cybermenaces potentielles, y compris les activités criminelles en ligne telles que les attaques par hameçonnage, les réseaux de zombies, la fraude financière et bancaire, les incidents de fraude de données, et de promouvoir l'authentification multifactorielle de base, les correctifs, le chiffrement, l'anonymisation et les conseils en matière de protection des données.

(41) L'ENISA devrait jouer un rôle central dans l'accélération de la sensibilisation des utilisateurs finaux à la sécurité des appareils et à l'utilisation sécurisée des services, et devrait promouvoir la sécurité dès la conception et la protection de la vie privée dès la conception au niveau de l'Union. Dans la poursuite de cet objectif, l'ENISA devrait utiliser les meilleures pratiques et l'expérience disponibles, en particulier les meilleures pratiques et l'expérience des institutions universitaires et des chercheurs en sécurité informatique.

(42) Afin de soutenir les entreprises opérant dans le secteur de la cybersécurité, ainsi que les utilisateurs de solutions de cybersécurité, l'ENISA devrait développer et maintenir un "observatoire du marché" en effectuant des analyses régulières et en diffusant des informations sur les principales tendances du marché de la cybersécurité, tant du côté de la demande que de l'offre.

(43) L'ENISA devrait contribuer aux efforts de l'Union pour coopérer avec les organisations internationales ainsi que dans les cadres de coopération internationale pertinents dans le domaine de la cybersécurité. En particulier, l'ENISA devrait contribuer, le cas échéant, à la coopération avec des organisations telles que l'OCDE, l'OSCE et l'OTAN. Cette coopération pourrait inclure des exercices conjoints de cybersécurité et une coordination conjointe de la réponse aux incidents. Ces activités doivent être menées dans le plein respect des principes d'inclusion, de réciprocité et d'autonomie décisionnelle de l'Union, sans préjudice du caractère spécifique de la politique de sécurité et de défense de tout État membre.

(44) Afin de s'assurer qu'elle atteint pleinement ses objectifs, l'ENISA doit se concerter avec les autorités de contrôle de l'Union concernées et avec d'autres autorités compétentes de l'Union, les institutions, organes et organismes de l'Union, y compris le CERT-UE, l'EC3, l'Agence européenne de défense (AED), l'Agence européenne des systèmes mondiaux de navigation par satellite (Agence GNSS européenne), l'Organe des régulateurs européens des communications électroniques (ORECE), l'Agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle dans le domaine de la liberté, de la sécurité et de la justice (eu-LISA), la Banque centrale européenne (BCE), l'Autorité bancaire européenne (ABE), le Conseil européen de la protection des données, l'Agence de coopération des régulateurs de l'énergie (ACER), l'Agence européenne de la sécurité aérienne (AESA) et toute autre agence de l'Union impliquée dans la cybersécurité. L'ENISA devrait également assurer la liaison avec les autorités chargées de la protection des données afin d'échanger le savoir-faire et les meilleures pratiques, et devrait fournir des conseils sur les questions de cybersécurité susceptibles d'avoir un impact sur leur travail. Les représentants des autorités nationales et de l'Union chargées de l'application de la loi et de la protection des données devraient pouvoir être représentés dans le groupe consultatif de l'ENISA. En liaison avec les autorités chargées de l'application de la loi concernant les questions de sécurité des réseaux et de l'information qui pourraient avoir un impact sur leur travail, l'ENISA devrait respecter les canaux d'information existants et les réseaux établis.

(45) Des partenariats pourraient être établis avec des institutions universitaires qui mènent des initiatives de recherche dans des domaines pertinents, et il devrait y avoir des canaux appropriés pour la contribution des organisations de consommateurs et d'autres organisations, qui devraient être prises en considération.

(46) L'ENISA, dans son rôle de secrétariat du réseau des CSIRT, devrait soutenir les CSIRT des États membres et le CERT-UE dans la coopération opérationnelle relative aux tâches pertinentes du réseau des CSIRT, comme indiqué dans la directive (UE) 2016/1148. En outre, l'ENISA devrait promouvoir et soutenir la coopération entre les CSIRT compétents en cas d'incidents, d'attaques ou de perturbations de réseaux ou d'infrastructures gérés ou protégés par les CSIRT et impliquant ou pouvant impliquer au moins deux CSIRT, tout en tenant dûment compte des éléments suivants StandardStandard Une spécification technique, adoptée par un organisme de normalisation reconnu, pour une application répétée ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes : (a) "norme internationale", une norme adoptée par un organisme international de normalisation ; b) "norme européenne", une norme adoptée par un organisme européen de normalisation ; c) "norme harmonisée", une norme européenne adoptée sur la base d'une demande d'application de la législation d'harmonisation de l'Union formulée par la Commission ; d) "norme nationale", une norme adoptée par un organisme national de normalisation - Définition selon l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil. Procédures opérationnelles du réseau des CSIRT.

(47) Afin d'améliorer la préparation de l'Union à la réponse aux incidents, l'ENISA devrait organiser régulièrement des exercices de cybersécurité au niveau de l'Union et, à leur demande, soutenir les États membres et les institutions, organes et organismes de l'Union dans l'organisation de tels exercices. Des exercices complets à grande échelle comprenant des éléments techniques, opérationnels ou stratégiques devraient être organisés tous les deux ans. En outre, l'ENISA devrait être en mesure d'organiser régulièrement des exercices moins complets dans le même but d'accroître la préparation de l'Union à la réponse aux incidents.

(48) L'ENISA devrait développer et maintenir son expertise en matière de certification de la cybersécurité en vue de soutenir la politique de l'Union dans ce domaine. L'ENISA devrait s'appuyer sur les meilleures pratiques existantes et promouvoir l'adoption de la certification en matière de cybersécurité au sein de l'Union, y compris en contribuant à l'établissement et au maintien d'un cadre de certification en matière de cybersécurité au niveau de l'Union (cadre européen de certification en matière de cybersécurité) en vue d'accroître la transparence de l'assurance en matière de cybersécurité des produits, services et processus TIC, renforçant ainsi la confiance dans le marché intérieur numérique et sa compétitivité.

(49) Des politiques de cybersécurité efficaces devraient reposer sur des méthodes d'évaluation des risques bien développées, tant dans le secteur public que dans le secteur privé. Les méthodes d'évaluation des risques sont utilisées à différents niveaux, sans qu'il y ait de pratique commune quant à la manière de les appliquer efficacement. La promotion et le développement de bonnes pratiques pour l'évaluation des risques et pour des solutions interopérables de gestion des risques dans les organisations des secteurs public et privé augmenteront le niveau de cybersécurité dans l'Union. À cette fin, l'ENISA devrait soutenir la coopération entre les parties prenantes au niveau de l'Union et faciliter leurs efforts relatifs à l'établissement et à l'adoption de normes européennes et internationales pour la gestion des risques et pour la sécurité mesurable des produits électroniques, des systèmes, des réseaux et des services qui, avec les logiciels, constituent le réseau et les systèmes d'information.

(50) L'ENISA devrait encourager les États membres, les fabricants ou les fournisseurs de produits TIC, de services TIC ou de processus TIC à relever leurs normes générales de sécurité afin que tous les utilisateurs de l'internet puissent prendre les mesures nécessaires pour assurer leur propre cybersécurité, et devrait offrir des incitations à cet effet. En particulier, les fabricants et les fournisseurs de produits, de services ou de processus TIC devraient fournir toutes les mises à jour nécessaires et rappeler, retirer ou recycler les produits, services ou processus TIC qui ne répondent pas aux normes de cybersécurité, tandis que les importateurs et les distributeurs devraient s'assurer que les produits, services et processus TIC qu'ils mettent sur le marché de l'Union sont conformes aux exigences applicables et ne présentent pas de risque pour les consommateurs de l'Union.

(51) En coopération avec les autorités compétentes, l'ENISA devrait être en mesure de diffuser des informations concernant le niveau de cybersécurité des produits, services et processus TIC offerts sur le marché intérieur, et devrait émettre des avertissements ciblant les fabricants ou fournisseurs de produits, services ou processus TIC et leur demandant d'améliorer la sécurité de leurs produits, services et processus TIC, y compris la cybersécurité.

(52) L'ENISA devrait tenir pleinement compte des activités de recherche, de développement et d'évaluation technologique en cours, en particulier des activités menées par les différentes initiatives de recherche de l'Union pour conseiller les institutions, organes et agences de l'Union et, le cas échéant, les États membres à leur demande, sur les besoins et les priorités en matière de recherche dans le domaine de la cybersécurité. Afin d'identifier les besoins et priorités de recherche, l'ENISA devrait également consulter les groupes d'utilisateurs concernés. Plus spécifiquement, une coopération avec le Conseil européen de la recherche, l'Institut européen pour l'innovation et la technologie et l'Institut d'études de sécurité de l'Union européenne pourrait être mise en place.

(53) L'ENISA devrait consulter régulièrement les organismes de normalisation, en particulier les organismes de normalisation européens, lors de la préparation des systèmes européens de certification en matière de cybersécurité.

(54) Les cybermenaces constituent un problème mondial. Il est nécessaire de renforcer la coopération internationale pour améliorer les normes de cybersécurité, y compris la nécessité de définir des normes communes de comportement, d'adopter des codes de conduite, d'utiliser des normes internationales et de partager les informations, de promouvoir une collaboration internationale plus rapide en réponse aux problèmes de sécurité des réseaux et de l'information et de promouvoir une approche mondiale commune de ces problèmes. À cette fin, l'ENISA devrait soutenir la participation et la coopération de l'Union avec les pays tiers et les organisations internationales en fournissant l'expertise et l'analyse nécessaires aux institutions, organes, bureaux et agences de l'Union concernés, le cas échéant.

(55) L'ENISA doit pouvoir répondre aux demandes ad hoc de conseil et d'assistance des États membres et des institutions, organes, bureaux et agences de l'Union sur les questions relevant du mandat de l'ENISA.

(56) Il est raisonnable et recommandé de mettre en œuvre certains principes concernant la gouvernance de l'ENISA afin de se conformer à la Déclaration commune et à l'Approche commune approuvées en juillet 2012 par le Groupe de travail interinstitutionnel sur les agences décentralisées de l'UE, dont le but est de rationaliser les activités des agences décentralisées et d'améliorer leur performance. Les recommandations de la Déclaration conjointe et de l'Approche commune devraient également être reflétées, le cas échéant, dans les programmes de travail de l'ENISA, les évaluations de l'ENISA, et les rapports et pratiques administratives de l'ENISA.

(57) Le Conseil d'administration, composé des représentants des États membres et de la Commission, doit établir la direction générale des opérations de l'ENISA et s'assurer qu'il exécute ses tâches conformément à ce règlement. Le Conseil d'Administration doit être doté des pouvoirs nécessaires pour établir le budget, vérifier l'exécution du budget, adopter des règles financières appropriées, établir des procédures de travail transparentes pour la prise de décision par l'ENISA, adopter le document unique de programmation de l'ENISA, adopter son propre règlement intérieur, nommer le Directeur Exécutif et décider de la prolongation et de la fin du mandat du Directeur Exécutif.

(58) Afin que l'ENISA fonctionne correctement et efficacement, la Commission et les États membres doivent s'assurer que les personnes à nommer au Conseil d'administration ont l'expertise et l'expérience professionnelles appropriées. La Commission et les États membres doivent également s'efforcer de limiter la rotation de leurs représentants respectifs au sein du conseil d'administration afin d'assurer la continuité de ses travaux.

(59) Le bon fonctionnement de l'ENISA exige que son directeur exécutif soit nommé sur la base de son mérite et de ses compétences documentées en matière d'administration et de gestion, ainsi que de ses compétences et de son expérience dans le domaine de la cybersécurité. Les fonctions du directeur exécutif devraient être exercées en toute indépendance. Le directeur exécutif devrait préparer une proposition pour le programme de travail annuel de l'ENISA, après consultation préalable avec la Commission, et devrait prendre toutes les mesures nécessaires pour assurer la bonne mise en œuvre de ce programme de travail. Le directeur exécutif doit préparer un rapport annuel à soumettre au conseil d'administration, couvrant la mise en œuvre du programme de travail annuel de l'ENISA, établir un projet d'état prévisionnel des recettes et des dépenses pour l'ENISA, et exécuter le budget. De plus, le Directeur Exécutif devrait avoir la possibilité de créer des groupes de travail ad hoc pour traiter des questions spécifiques, en particulier des questions de nature scientifique, technique, juridique ou socio-économique. En particulier, la création d'un groupe de travail ad hoc est jugée nécessaire pour l'élaboration d'un système européen de certification en matière de cybersécurité ("système candidat"). Le directeur exécutif devrait veiller à ce que les membres des groupes de travail ad hoc soient sélectionnés selon les normes d'expertise les plus élevées, afin d'assurer un équilibre entre les hommes et les femmes et un équilibre approprié, en fonction des questions spécifiques en jeu, entre les administrations publiques des États membres, les institutions, organes et organismes de l'Union et le secteur privé, y compris l'industrie, les utilisateurs et les experts universitaires en matière de sécurité des réseaux et de l'information.

(60) Le conseil exécutif devrait contribuer au bon fonctionnement du conseil d'administration. Dans le cadre de ses travaux préparatoires relatifs aux décisions du conseil d'administration, le conseil exécutif devrait examiner en détail les informations pertinentes, étudier les options disponibles et proposer des conseils et des solutions pour préparer les décisions du conseil d'administration.

(61) L'ENISA doit avoir un groupe consultatif de l'ENISA comme organe consultatif pour assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs et les autres parties prenantes concernées. Le groupe consultatif de l'ENISA, établi par le conseil d'administration sur proposition du directeur exécutif, doit se concentrer sur les questions pertinentes pour les parties prenantes et les porter à l'attention de l'ENISA. Le groupe consultatif de l'ENISA doit être consulté en particulier en ce qui concerne le projet de programme de travail annuel de l'ENISA. La composition du groupe consultatif de l'ENISA et les tâches qui lui sont assignées doivent assurer une représentation suffisante des parties prenantes dans le travail de l'ENISA.

(62) Le Stakeholder Cybersecurity Certification Group doit être établi afin d'aider l'ENISA et la Commission à faciliter la consultation des parties prenantes concernées. Le Stakeholder Cybersecurity Certification Group devrait être composé de membres représentant l'industrie dans des proportions équilibrées, tant du côté de la demande que du côté de l'offre de produits et de services TIC, et comprenant notamment des PME, des fournisseurs de services numériques, des organismes européens et internationaux de normalisation, des organismes nationaux d'accréditation, des autorités de contrôle de la protection des données et des organismes d'évaluation de la conformité conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil (16), ainsi que des universités et des organisations de consommateurs.

(63) L'ENISA doit avoir des règles en place concernant la prévention et la gestion des conflits d'intérêts. L'ENISA devrait également appliquer les dispositions pertinentes de l'Union concernant l'accès du public aux documents, telles que définies dans le règlement (CE) n° 1049/2001 du Parlement européen et du Conseil (17). Le traitement des données à caractère personnel par l'ENISA devrait être soumis au règlement (UE) 2018/1725 du Parlement européen et du Conseil (18). L'ENISA devrait se conformer aux dispositions applicables aux institutions, organes et organismes de l'Union, ainsi qu'à la législation nationale concernant le traitement des informations, en particulier les informations sensibles non classifiées et les informations classifiées de l'Union européenne (ICUE).

(64) Afin de garantir la pleine autonomie et l'indépendance de l'ENISA et de lui permettre d'accomplir des tâches supplémentaires, y compris des tâches d'urgence imprévues, l'ENISA devrait être dotée d'un budget suffisant et autonome dont les revenus devraient provenir principalement d'une contribution de l'Union et des contributions des pays tiers participant aux travaux de l'ENISA. Un budget approprié est primordial pour assurer que l'ENISA a une capacité suffisante pour effectuer toutes ses tâches croissantes et pour atteindre ses objectifs. La majorité du personnel de l'ENISA doit être directement engagée dans la mise en œuvre opérationnelle du mandat de l'ENISA. L'État membre hôte, et tout autre État membre, devrait être autorisé à faire des contributions volontaires au budget de l'ENISA. La procédure budgétaire de l'Union devrait rester applicable en ce qui concerne les subventions imputables au budget général de l'Union. De plus, la Cour des comptes devrait contrôler les comptes de l'ENISA afin de garantir la transparence et la responsabilité.

(65) La certification en matière de cybersécurité joue un rôle important dans le renforcement de la confiance et de la sécurité dans les produits, les services et les processus TIC. Le marché unique numérique, et en particulier l'économie des données et l'IdO, ne peut prospérer que si le grand public a confiance dans le fait que ces produits, services et processus offrent un certain niveau de cybersécurité. Les voitures connectées et automatisées, les dispositifs médicaux électroniques, les systèmes de contrôle de l'automatisation industrielle et les réseaux intelligents ne sont que quelques exemples de secteurs dans lesquels la certification est déjà largement utilisée ou est susceptible de l'être dans un avenir proche. Les secteurs réglementés par la directive (UE) 2016/1148 sont également des secteurs dans lesquels la certification de la cybersécurité est essentielle.

(66) Dans la communication de 2016 intitulée "Renforcer le système européen de cyberrésilience et promouvoir une industrie de la cybersécurité compétitive et innovante", la Commission a souligné la nécessité de disposer de produits et de solutions de cybersécurité de haute qualité, abordables et interopérables. L'offre de produits, de services et de processus TIC au sein du marché unique reste très fragmentée géographiquement. En effet, le secteur de la cybersécurité en Europe s'est développé en grande partie sur la base de la demande des gouvernements nationaux. En outre, l'absence de solutions interopérables (normes techniques), de pratiques et de mécanismes de certification à l'échelle de l'Union fait partie des autres lacunes qui affectent le marché unique dans le domaine de la cybersécurité. Il est donc difficile pour les entreprises européennes d'être compétitives aux niveaux national, communautaire et mondial. Cela réduit également le choix des technologies de cybersécurité viables et utilisables auxquelles les particuliers et les entreprises ont accès. De même, dans la communication de 2017 sur l'examen à mi-parcours de la mise en œuvre de la stratégie pour un marché unique numérique - Un marché unique numérique connecté pour tous, la Commission a souligné la nécessité de disposer de produits et de systèmes connectés sûrs et a indiqué que la création d'un cadre européen de sécurité des TIC fixant des règles sur la manière d'organiser la certification de la sécurité des TIC dans l'Union pourrait à la fois préserver la confiance dans l'internet et s'attaquer à la fragmentation actuelle du marché intérieur.

(67) Actuellement, la certification de la cybersécurité des produits, services et processus TIC n'est utilisée que dans une mesure limitée. Lorsqu'elle existe, elle se fait principalement au niveau des États membres ou dans le cadre de systèmes mis en place par l'industrie. Dans ce contexte, un certificat délivré par une autorité nationale de certification de la cybersécurité n'est en principe pas reconnu dans les autres États membres. Les entreprises peuvent donc être amenées à certifier leurs produits, services et processus TIC dans plusieurs États membres où elles opèrent, par exemple en vue de participer à des procédures nationales de passation de marchés, ce qui augmente leurs coûts. En outre, alors que de nouveaux systèmes apparaissent, il ne semble pas y avoir d'approche cohérente et holistique des questions horizontales de cybersécurité, par exemple dans le domaine de l'IdO. Les systèmes existants présentent des lacunes et des différences significatives en termes de couverture des produits, de niveaux d'assurance, de critères de fond et d'utilisation réelle, ce qui entrave les mécanismes de reconnaissance mutuelle au sein de l'Union.

(68) Des efforts ont été déployés pour assurer la reconnaissance mutuelle des certificats au sein de l'Union. Toutefois, ils n'ont été que partiellement couronnés de succès. L'exemple le plus important à cet égard est l'accord de reconnaissance mutuelle (ARM) du Groupe de hauts fonctionnaires - Sécurité des systèmes d'information (SOG-IS). Bien qu'il représente le modèle le plus important de coopération et de reconnaissance mutuelle dans le domaine de la certification de la sécurité, le SOG-IS n'inclut que certains États membres. Ce fait a limité l'efficacité de l'ARM SOG-IS du point de vue du marché intérieur.

(69) Il est donc nécessaire d'adopter une approche commune et d'établir un cadre européen de certification en matière de cybersécurité qui fixe les principales exigences horizontales pour l'élaboration de systèmes européens de certification en matière de cybersécurité et qui permette la reconnaissance et l'utilisation, dans tous les États membres, des certificats européens de cybersécurité et des déclarations de conformité de l'UE pour les produits TIC, les services TIC ou les processus TIC. Ce faisant, il est essentiel de s'appuyer sur les systèmes nationaux et internationaux existants, ainsi que sur les systèmes de reconnaissance mutuelle, en particulier le SOG-IS, et de permettre une transition sans heurts entre les systèmes existants relevant de ces systèmes et les systèmes relevant du nouveau cadre européen de certification en matière de cybersécurité. Le cadre européen de certification en matière de cybersécurité devrait avoir un double objectif. Premièrement, il devrait contribuer à accroître la confiance dans les produits, services et processus TIC qui ont été certifiés dans le cadre de systèmes européens de certification de la cybersécurité. Deuxièmement, il devrait permettre d'éviter la multiplication des systèmes nationaux de certification de la cybersécurité qui sont contradictoires ou se chevauchent, et donc de réduire les coûts pour les entreprises opérant sur le marché unique numérique. Les systèmes européens de certification en matière de cybersécurité devraient être non discriminatoires et fondés sur des normes européennes ou internationales, à moins que ces normes ne soient inefficaces ou inappropriées pour atteindre les objectifs légitimes de l'Union à cet égard.

(70) Le cadre européen de certification de la cybersécurité devrait être établi de manière uniforme dans tous les États membres afin d'éviter le "shopping de certification" fondé sur des niveaux de rigueur différents selon les États membres.

(71) Les systèmes européens de certification en matière de cybersécurité devraient s'appuyer sur ce qui existe déjà aux niveaux international et national et, si nécessaire, sur les spécifications techniques des forums et des consortiums, en tirant les leçons des points forts actuels et en évaluant et en corrigeant les faiblesses.

(72) Des solutions flexibles en matière de cybersécurité sont nécessaires pour que le secteur reste à la pointe des cybermenaces, et tout système de certification doit donc être conçu de manière à éviter le risque d'être rapidement dépassé.

(73) La Commission devrait être habilitée à adopter des systèmes européens de certification en matière de cybersécurité concernant des groupes spécifiques de produits, de services et de processus TIC. Ces systèmes devraient être mis en œuvre et supervisés par les autorités nationales de certification en matière de cybersécurité, et les certificats délivrés dans le cadre de ces systèmes devraient être valables et reconnus dans l'ensemble de l'Union. Les systèmes de certification gérés par l'industrie ou par d'autres organisations privées ne devraient pas entrer dans le champ d'application du présent règlement. Toutefois, les organismes gérant ces systèmes devraient pouvoir proposer à la Commission de les prendre en compte pour les approuver en tant que système européen de certification en matière de cybersécurité.

(74) Les dispositions du présent règlement devraient être sans préjudice du droit de l'Union prévoyant des règles spécifiques sur la certification des produits TIC, des services TIC et des processus TIC. En particulier, le règlement (UE) 2016/679 prévoit des dispositions pour l'établissement de mécanismes de certification et de sceaux et marques de protection des données, dans le but de démontrer la conformité des opérations de traitement effectuées par les responsables du traitement et les sous-traitants avec ledit règlement. Ces mécanismes de certification et ces sceaux et marques de protection des données devraient permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données des produits, services et processus TIC concernés. Le présent règlement est sans préjudice de la certification des opérations de traitement des données en vertu du règlement (UE) 2016/679, y compris lorsque ces opérations sont intégrées dans des produits TIC, des services TIC et des processus TIC.

(75) Les systèmes européens de certification en matière de cybersécurité devraient avoir pour objet de garantir que les produits, services et processus TIC certifiés dans le cadre de ces systèmes satisfont à des exigences spécifiques visant à protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées, transmises ou traitées, ou des fonctions ou services connexes offerts par ces produits, services et processus ou accessibles par leur intermédiaire, tout au long de leur cycle de vie. Il n'est pas possible d'exposer en détail les exigences de cybersécurité relatives à tous les produits, services et processus TIC dans le présent règlement. Les produits, services et processus TIC et les besoins de cybersécurité liés à ces produits, services et processus sont si divers qu'il est très difficile d'élaborer des exigences générales de cybersécurité valables en toutes circonstances. Il est donc nécessaire d'adopter une notion large et générale de la cybersécurité aux fins de la certification, qui devrait être complétée par un ensemble d'objectifs spécifiques en matière de cybersécurité à prendre en compte lors de la conception des systèmes européens de certification en matière de cybersécurité. Les modalités selon lesquelles ces objectifs doivent être atteints dans des produits, services et processus TIC spécifiques devraient ensuite être précisées en détail au niveau du système de certification individuel adopté par la Commission, par exemple par référence à des normes ou à des spécifications techniques s'il n'existe pas de normes appropriées.

(76) Les spécifications techniques à utiliser dans les systèmes européens de certification en matière de cybersécurité devraient respecter les exigences énoncées à l'annexe II du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil (19). Certains écarts par rapport à ces exigences pourraient toutefois être considérés comme nécessaires dans des cas dûment justifiés lorsque ces spécifications techniques doivent être utilisées dans un système européen de certification en matière de cybersécurité se référant au niveau d'assurance "élevé". Les raisons de ces dérogations devraient être rendues publiques.

(77) Une évaluation de la conformité est une procédure visant à déterminer si les exigences spécifiées relatives à un produit TIC, à un service TIC ou à un processus TIC ont été respectées. Cette procédure est menée par un tiers indépendant qui n'est pas le fabricant ou le fournisseur des produits TIC, des services TIC ou des processus TIC qui font l'objet de l'évaluation. Un certificat européen de cybersécurité devrait être délivré à l'issue de l'évaluation réussie d'un produit TIC, d'un service TIC ou d'un processus TIC. Un certificat européen de cybersécurité doit être considéré comme une confirmation que l'évaluation a été correctement effectuée. En fonction du niveau d'assurance, le système européen de certification en matière de cybersécurité devrait indiquer si le certificat européen de cybersécurité doit être délivré par un organisme privé ou public. L'évaluation de la conformité et la certification ne peuvent pas garantir en soi que les produits, services et processus TIC certifiés sont cybersécurisés. Il s'agit plutôt de procédures et de méthodologies techniques permettant d'attester que les produits, services et processus TIC ont été testés et qu'ils sont conformes à certaines exigences de cybersécurité définies ailleurs, par exemple dans des normes techniques.

(78) Le choix de la certification appropriée et des exigences de sécurité associées par les utilisateurs des certificats européens de cybersécurité doit se fonder sur une analyse des risques associés à l'utilisation des produits TIC, des services TIC ou des processus TIC. En conséquence, le niveau d'assurance doit être proportionnel au niveau de risque associé à l'utilisation prévue d'un produit TIC, d'un service TIC ou d'un processus TIC.

(79) Les systèmes européens de certification en matière de cybersécurité pourraient prévoir la réalisation d'une évaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur de produits, de services ou de processus TIC ("auto-évaluation de la conformité"). Dans ce cas, il devrait suffire que le fabricant ou le fournisseur de produits, de services ou de processus TIC effectue lui-même toutes les vérifications pour s'assurer que les produits, services ou processus TIC sont conformes au système européen de certification en matière de cybersécurité. L'auto-évaluation de la conformité devrait être considérée comme appropriée pour les produits, services ou processus TIC peu complexes qui présentent un faible risque pour le public, tels que des mécanismes de conception et de production simples. En outre, l'autoévaluation de la conformité ne devrait être autorisée pour les produits, services ou processus TIC que lorsqu'ils correspondent au niveau d'assurance "de base".

(80) Les systèmes européens de certification en matière de cybersécurité pourraient permettre à la fois des auto-évaluations de la conformité et des certifications de produits, de services ou de processus TIC. Dans ce cas, le système devrait prévoir des moyens clairs et compréhensibles permettant aux consommateurs ou autres utilisateurs de faire la distinction entre les produits TIC, les services TIC ou les processus TIC pour lesquels le fabricant ou le fournisseur des produits TIC, des services TIC ou des processus TIC est responsable de l'évaluation, et les produits TIC, les services TIC ou les processus TIC qui sont certifiés par une tierce partie.

(81) Le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC qui procède à une auto-évaluation de la conformité doit être en mesure de délivrer et de signer la déclaration UE de conformité dans le cadre de la procédure d'évaluation de la conformité. Une déclaration européenne de conformité est un document qui indique qu'un produit, un service ou un processus TIC spécifique est conforme aux exigences du système européen de certification en matière de cybersécurité. En délivrant et en signant la déclaration UE de conformité, le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC assume la responsabilité de la conformité du produit TIC, du service TIC ou du processus TIC avec les exigences légales du système européen de certification en matière de cybersécurité. Une copie de la déclaration de conformité UE doit être soumise à l'autorité nationale de certification en matière de cybersécurité et à l'ENISA.

(82) Les fabricants ou fournisseurs de produits TIC, de services TIC ou de processus TIC devraient mettre la déclaration de conformité UE, la documentation technique et toutes les autres informations pertinentes relatives à la conformité des produits TIC, des services TIC ou des processus TIC avec un système européen de certification en matière de cybersécurité à la disposition de l'autorité nationale de certification en matière de cybersécurité compétente pendant une période prévue dans le système européen de certification en matière de cybersécurité concerné. La documentation technique doit préciser les exigences applicables dans le cadre du système et couvrir la conception, la fabrication et le fonctionnement du produit TIC, du service TIC ou du processus TIC dans la mesure où cela est pertinent pour l'auto-évaluation de la conformité. La documentation technique doit être compilée de manière à permettre d'évaluer si un produit ou un service TIC est conforme aux exigences applicables dans le cadre de ce système.

(83) La gouvernance du cadre européen de certification en matière de cybersécurité tient compte de la participation des États membres ainsi que de la participation appropriée des parties prenantes, et établit le rôle de la Commission lors de la planification et de la proposition, de la demande, de la préparation, de l'adoption et du réexamen des systèmes européens de certification en matière de cybersécurité.

(84) La Commission devrait élaborer, avec le soutien du Groupe européen de certification en matière de cybersécurité (ECCG) et du Stakeholder Cybersecurity Certification Group et après une consultation ouverte et large, un programme de travail glissant de l'Union pour les systèmes européens de certification en matière de cybersécurité, et le publier sous la forme d'un instrument non contraignant. Le programme de travail glissant de l'Union devrait être un document stratégique permettant au secteur, aux autorités nationales et aux organismes de normalisation, en particulier, de se préparer à l'avance aux futurs systèmes européens de certification en matière de cybersécurité. Le programme de travail continu de l'Union devrait inclure une vue d'ensemble pluriannuelle des demandes de systèmes candidats que la Commission a l'intention de soumettre à l'ENISA pour préparation sur la base de motifs spécifiques. La Commission devrait tenir compte du programme de travail glissant de l'Union lors de l'élaboration de son plan glissant pour la normalisation des TIC et des demandes de normalisation adressées aux organismes européens de normalisation. À la lumière de l'introduction et de l'adoption rapides de nouvelles technologies, de l'émergence de risques de cybersécurité jusqu'alors inconnus et de l'évolution de la législation et du marché, la Commission ou l'ECCG devraient être habilités à demander à l'ENISA de préparer des schémas candidats qui n'ont pas été inclus dans le programme de travail glissant de l'Union. Dans de tels cas, la Commission et le CECAG devraient également évaluer la nécessité d'une telle demande, en prenant en compte les buts et objectifs généraux de ce règlement et le besoin d'assurer la continuité en ce qui concerne la planification et l'utilisation des ressources de l'ENISA.

Suite à une telle demande, l'ENISA devrait préparer les schémas candidats pour des produits TIC spécifiques, des services TIC et des processus TIC sans retard excessif. La Commission devrait évaluer l'impact positif et négatif de sa demande sur le marché spécifique en question, en particulier son impact sur les PME, sur l'innovation, sur les barrières à l'entrée de ce marché et sur les coûts pour les utilisateurs finaux. La Commission, sur la base du système candidat préparé par l'ENISA, devrait être habilitée à adopter le système européen de certification en matière de cybersécurité au moyen d'actes d'exécution. Compte tenu de la finalité générale et des objectifs de sécurité énoncés dans le présent règlement, les systèmes européens de certification en matière de cybersécurité adoptés par la Commission devraient spécifier un ensemble minimal d'éléments concernant l'objet, le champ d'application et le fonctionnement de chaque système. Ces éléments devraient comprendre, entre autres, le champ d'application et l'objet de la certification en matière de cybersécurité, y compris les catégories de produits, de services et de processus TIC couverts, la spécification détaillée des exigences de cybersécurité, par exemple par référence à des normes ou à des spécifications techniques, les critères et les méthodes d'évaluation spécifiques, ainsi que le niveau d'assurance prévu ("de base", "substantiel" ou "élevé") et les niveaux d'évaluation, le cas échéant. L'ENISA doit pouvoir refuser une demande de l'ECCG. De telles décisions doivent être prises par le conseil d'administration et doivent être dûment motivées.

(85) L'ENISA doit maintenir un site web fournissant des informations sur les systèmes européens de certification en matière de cybersécurité et les faisant connaître, qui doit inclure, entre autres, les demandes de préparation d'un système candidat ainsi que le retour d'information reçu lors du processus de consultation mené par l'ENISA au cours de la phase de préparation. Le site web doit également fournir des informations sur les certificats européens de cybersécurité et les déclarations de conformité de l'UE délivrés en vertu du présent règlement, y compris des informations concernant le retrait et l'expiration de ces certificats européens de cybersécurité et déclarations de conformité de l'UE. Le site web doit également indiquer les systèmes nationaux de certification en matière de cybersécurité qui ont été remplacés par un système européen de certification en matière de cybersécurité.

(86) Le niveau d'assurance d'un système européen de certification permet de s'assurer qu'un produit, un service ou un processus TIC satisfait aux exigences de sécurité d'un système européen spécifique de certification en matière de cybersécurité. Afin de garantir la cohérence du cadre européen de certification en matière de cybersécurité, un système européen de certification en matière de cybersécurité doit pouvoir spécifier des niveaux d'assurance pour les certificats européens de cybersécurité et les déclarations de conformité de l'UE délivrés dans le cadre de ce système. Chaque certificat européen de cybersécurité pourrait faire référence à l'un des niveaux d'assurance : "de base", "substantiel" ou "élevé", tandis que la déclaration de conformité de l'UE pourrait ne faire référence qu'au niveau d'assurance "de base". Les niveaux d'assurance correspondraient à la rigueur et à la profondeur de l'évaluation du produit, du service ou du processus TIC et seraient caractérisés par une référence aux spécifications techniques, aux normes et aux procédures y afférentes, y compris les contrôles techniques, dont l'objectif est d'atténuer ou de prévenir les incidents. Chaque niveau d'assurance devrait être cohérent entre les différents domaines sectoriels dans lesquels la certification est appliquée.

(87) Un système européen de certification en matière de cybersécurité pourrait prévoir plusieurs niveaux d'évaluation en fonction de la rigueur et de la profondeur de la méthode d'évaluation utilisée. Les niveaux d'évaluation devraient correspondre à l'un des niveaux d'assurance et être associés à une combinaison appropriée de composants d'assurance. Pour tous les niveaux d'assurance, le produit TIC, le service TIC ou le processus TIC devrait contenir un certain nombre de fonctions sécurisées, comme spécifié par le schéma, qui peuvent inclure : une configuration sécurisée prête à l'emploi, un code signé, des mises à jour sécurisées et des atténuations des exploits, ainsi que des protections de la pile complète ou de la mémoire du tas. Ces fonctions devraient avoir été développées, et être maintenues, en utilisant des approches de développement axées sur la sécurité et des outils associés pour garantir que des mécanismes logiciels et matériels efficaces sont incorporés de manière fiable.

(88) Pour le niveau d'assurance "de base", l'évaluation doit être guidée au moins par les éléments d'assurance suivants : l'évaluation doit au moins comprendre un examen de la documentation technique du produit TIC, du service TIC ou du processus TIC par l'organisme d'évaluation de la conformité. Lorsque la certification porte sur des processus TIC, le processus utilisé pour concevoir, développer et maintenir un produit ou un service TIC doit également faire l'objet d'un examen technique. Lorsqu'un système européen de certification en matière de cybersécurité prévoit une auto-évaluation de la conformité, il devrait suffire que le fabricant ou le fournisseur de produits TIC, de services TIC ou de processus TIC ait procédé à une auto-évaluation de la conformité du produit TIC, du service TIC ou du processus TIC avec le système de certification.

(89) Pour le niveau d'assurance "substantiel", l'évaluation, outre les exigences relatives au niveau d'assurance "de base", devrait être guidée au moins par la vérification de la conformité des fonctionnalités de sécurité du produit, du service ou du processus TIC avec sa documentation technique.

(90) Pour le niveau d'assurance "élevé", l'évaluation, outre les exigences relatives au niveau d'assurance "substantiel", doit être guidée au moins par un test d'efficacité qui évalue la résistance des fonctionnalités de sécurité du produit TIC, du service TIC ou du processus TIC à des cyberattaques élaborées menées par des personnes disposant de compétences et de ressources importantes.

(91) Le recours à la certification européenne en matière de cybersécurité et aux déclarations de conformité de l'Union devrait rester volontaire, sauf disposition contraire du droit de l'Union ou du droit des États membres adopté conformément au droit de l'Union. En l'absence de droit de l'Union harmonisé, les États membres sont en mesure d'adopter des réglementations techniques nationales prévoyant une certification obligatoire dans le cadre d'un système européen de certification en matière de cybersécurité, conformément à la directive (UE) 2015/1535 du Parlement européen et du Conseil (20). Les États membres ont également recours à la certification européenne en matière de cybersécurité dans le cadre des marchés publics et de la directive 2014/24/UE du Parlement européen et du Conseil (21).

(92) Dans certains domaines, il pourrait être nécessaire à l'avenir d'imposer des exigences spécifiques en matière de cybersécurité et de rendre la certification obligatoire pour certains produits, services ou processus TIC, afin d'améliorer le niveau de cybersécurité dans l'Union. La Commission devrait contrôler régulièrement l'incidence des systèmes européens de certification de la cybersécurité adoptés sur la disponibilité de produits, de services et de processus TIC sûrs dans le marché intérieur et devrait évaluer régulièrement le niveau d'utilisation des systèmes de certification par les fabricants ou les fournisseurs de produits, de services ou de processus TIC dans l'Union. L'efficacité des systèmes européens de certification en matière de cybersécurité, et la question de savoir si certains systèmes devraient être rendus obligatoires, devraient être évaluées à la lumière de la législation de l'Union relative à la cybersécurité, en particulier la directive (UE) 2016/1148, en tenant compte de la sécurité du réseau et des systèmes d'information utilisés par les opérateurs de services essentiels.

(93) Les certificats européens de cybersécurité et les déclarations de conformité de l'UE devraient aider les utilisateurs finaux à faire des choix en connaissance de cause. Par conséquent, les produits, services et processus TIC qui ont été certifiés ou pour lesquels une déclaration de conformité de l'UE a été délivrée devraient être accompagnés d'informations structurées adaptées au niveau technique attendu de l'utilisateur final. Toutes ces informations doivent être disponibles en ligne et, le cas échéant, sous forme physique. L'utilisateur final doit avoir accès aux informations concernant le numéro de référence du système de certification, le niveau d'assurance, la description des risques de cybersécurité associés au produit, au service ou au processus TIC, et l'autorité ou l'organisme émetteur, ou doit pouvoir obtenir une copie du certificat européen de cybersécurité. En outre, l'utilisateur final devrait être informé de la politique d'assistance en matière de cybersécurité, c'est-à-dire de la durée pendant laquelle il peut s'attendre à recevoir des mises à jour ou des correctifs de cybersécurité, de la part du fabricant ou du fournisseur de produits TIC, de services TIC ou de processus TIC. Le cas échéant, il convient de fournir des orientations sur les actions ou les paramètres que l'utilisateur final peut mettre en œuvre pour maintenir ou renforcer la cybersécurité du produit TIC ou du service TIC, ainsi que les coordonnées d'un point de contact unique pour signaler et recevoir une assistance en cas de cyberattaque (en plus du signalement automatique). Ces informations devraient être régulièrement mises à jour et mises à disposition sur un site web fournissant des informations sur les systèmes européens de certification de la cybersécurité.

(94) Afin d'atteindre les objectifs du présent règlement et d'éviter la fragmentation du marché intérieur, les systèmes ou procédures nationaux de certification en matière de cybersécurité pour les produits, services ou processus TIC couverts par un système européen de certification en matière de cybersécurité devraient cesser de produire leurs effets à compter d'une date fixée par la Commission au moyen d'actes d'exécution. En outre, les États membres ne devraient pas introduire de nouveaux systèmes nationaux de certification en matière de cybersécurité pour les produits, services ou processus TIC déjà couverts par un système européen de certification en matière de cybersécurité existant. Toutefois, les États membres ne devraient pas être empêchés d'adopter ou de maintenir des systèmes nationaux de certification en matière de cybersécurité à des fins de sécurité nationale. Les États membres devraient informer la Commission et le GCEC de toute intention d'élaborer de nouveaux systèmes nationaux de certification en matière de cybersécurité. La Commission et le CECG devraient évaluer l'impact des nouveaux systèmes nationaux de certification en matière de cybersécurité sur le bon fonctionnement du marché intérieur et à la lumière de tout intérêt stratégique à demander un système européen de certification en matière de cybersécurité.

(95) Les systèmes européens de certification en matière de cybersécurité sont destinés à contribuer à l'harmonisation des pratiques de cybersécurité au sein de l'Union. Ils doivent contribuer à accroître le niveau de cybersécurité dans l'Union. La conception des systèmes européens de certification en matière de cybersécurité devrait prendre en compte et permettre le développement d'innovations dans le domaine de la cybersécurité.

(96) Les systèmes européens de certification en matière de cybersécurité devraient tenir compte des méthodes actuelles de développement des logiciels et du matériel et, en particulier, de l'incidence des mises à jour fréquentes des logiciels ou des microprogrammes sur les différents certificats européens de cybersécurité. Les systèmes européens de certification en matière de cybersécurité devraient préciser les conditions dans lesquelles une mise à jour peut exiger qu'un produit, un service ou un processus TIC soit recertifié ou que la portée d'un certificat européen de cybersécurité spécifique soit réduite, en tenant compte de tout effet négatif éventuel de la mise à jour sur le respect des exigences de sécurité de ce certificat.

(97) Une fois qu'un système européen de certification en matière de cybersécurité aura été adopté, les fabricants ou les fournisseurs de produits TIC, de services TIC ou de processus TIC devraient pouvoir présenter des demandes de certification de leurs produits TIC ou services TIC à l'organisme d'évaluation de la conformité de leur choix, n'importe où dans l'Union. Les organismes d'évaluation de la conformité devraient être accrédités par un organisme national d'accréditation s'ils satisfont à certaines exigences spécifiées dans le présent règlement. L'accréditation doit être délivrée pour une durée maximale de cinq ans et être renouvelable dans les mêmes conditions, à condition que l'organisme d'évaluation de la conformité réponde toujours aux exigences. Les organismes nationaux d'accréditation doivent restreindre, suspendre ou révoquer l'accréditation d'un organisme d'évaluation de la conformité lorsque les conditions d'accréditation n'ont pas été remplies ou ne le sont plus, ou lorsque l'organisme d'évaluation de la conformité enfreint le présent règlement.

(98) Les références, dans la législation nationale, à des normes nationales qui ont cessé d'être efficaces en raison de l'entrée en vigueur d'un système européen de certification en matière de cybersécurité peuvent être une source de confusion. Par conséquent, les États membres devraient tenir compte de l'adoption d'un système européen de certification en matière de cybersécurité dans leur législation nationale.

(99) Afin de parvenir à des normes équivalentes dans l'ensemble de l'Union, de faciliter la reconnaissance mutuelle et de promouvoir l'acceptation globale des certificats européens de cybersécurité et des déclarations de conformité de l'UE, il est nécessaire de mettre en place un système d'évaluation par les pairs entre les autorités nationales de certification en matière de cybersécurité. L'examen par les pairs devrait couvrir les procédures de supervision de la conformité des produits, services et processus TIC avec les certificats européens de cybersécurité, de contrôle des obligations des fabricants ou fournisseurs de produits, services ou processus TIC qui procèdent à l'autoévaluation de la conformité, de contrôle des organismes d'évaluation de la conformité, ainsi que de l'adéquation des compétences du personnel des organismes délivrant des certificats pour le niveau d'assurance "élevé". La Commission devrait être en mesure, au moyen d'actes d'exécution, d'établir au moins un plan quinquennal pour les évaluations par les pairs, ainsi que de définir des critères et des méthodes pour le fonctionnement du système d'évaluation par les pairs.

(100) Sans préjudice du système général d'évaluation par les pairs qui doit être mis en place dans toutes les autorités nationales de certification en matière de cybersécurité au sein du cadre européen de certification en matière de cybersécurité, certains systèmes européens de certification en matière de cybersécurité peuvent inclure un mécanisme d'évaluation par les pairs pour les organismes qui délivrent des certificats européens de cybersécurité pour les produits, les services et les processus TIC avec un niveau d'assurance "élevé" dans le cadre de ces systèmes. L'ECCG devrait soutenir la mise en œuvre de ces mécanismes d'évaluation par les pairs. Les évaluations par les pairs devraient notamment permettre de déterminer si les organismes concernés s'acquittent de leurs tâches de manière harmonisée, et peuvent comprendre des mécanismes d'appel. Les résultats des évaluations par les pairs devraient être rendus publics. Les organismes concernés peuvent adopter des mesures appropriées pour adapter leurs pratiques et leur expertise en conséquence.

(101) Les États membres devraient désigner une ou plusieurs autorités nationales de certification en matière de cybersécurité pour superviser le respect des obligations découlant du présent règlement. Une autorité nationale de certification en matière de cybersécurité peut être une autorité existante ou nouvelle. Un État membre devrait également pouvoir désigner, après accord avec un autre État membre, une ou plusieurs autorités nationales de certification en matière de cybersécurité sur le territoire de cet autre État membre.

(102) Les autorités nationales de certification en matière de cybersécurité devraient notamment contrôler et faire respecter les obligations des fabricants ou des fournisseurs de produits, de services ou de processus TIC établis sur leur territoire respectif en ce qui concerne la déclaration de conformité de l'UE, aider les organismes nationaux d'accréditation à contrôler et à superviser les activités des organismes d'évaluation de la conformité en leur fournissant des compétences et des informations pertinentes, autoriser les organismes d'évaluation de la conformité à s'acquitter de leurs tâches lorsque ces organismes satisfont à des exigences supplémentaires énoncées dans un système européen de certification en matière de cybersécurité, et suivre les évolutions pertinentes dans le domaine de la certification en matière de cybersécurité. Les autorités nationales de certification en matière de cybersécurité devraient également traiter les plaintes déposées par des personnes physiques ou morales concernant les certificats européens de cybersécurité délivrés par ces autorités ou les certificats européens de cybersécurité délivrés par des organismes d'évaluation de la conformité, lorsque ces certificats indiquent un niveau d'assurance "élevé", enquêter, dans la mesure appropriée, sur l'objet de la plainte et informer le plaignant de l'avancement et du résultat de l'enquête dans un délai raisonnable. En outre, les autorités nationales de certification en matière de cybersécurité devraient coopérer avec d'autres autorités nationales de certification en matière de cybersécurité ou d'autres autorités publiques, notamment en partageant des informations sur l'éventuelle non-conformité de produits, services et processus TIC avec les exigences du présent règlement ou avec des systèmes européens spécifiques de certification en matière de cybersécurité. La Commission devrait faciliter ce partage d'informations en mettant à disposition un système électronique général d'aide à l'information, par exemple le système d'information et de communication sur la surveillance du marché (ICSMS) et le système d'alerte rapide pour les produits non alimentaires dangereux (RAPEX), déjà utilisés par les autorités de surveillance du marché en vertu du règlement (CE) n° 765/2008.

(103) Afin d'assurer l'application cohérente du cadre européen de certification en matière de cybersécurité, il convient d'établir un ECCG composé de représentants des autorités nationales de certification en matière de cybersécurité ou d'autres autorités nationales compétentes. Les principales tâches de l'ECCG devraient être de conseiller et d'assister la Commission dans ses travaux visant à assurer la mise en œuvre et l'application cohérentes du cadre européen de certification en matière de cybersécurité, d'assister et de coopérer étroitement avec l'ENISA dans la préparation des systèmes candidats de certification en matière de cybersécurité, dans des cas dûment justifiés, de demander à l'ENISA de préparer un système candidat, d'adopter des avis adressés à l'ENISA sur les systèmes candidats et d'adopter des avis adressés à la Commission sur la maintenance et l'examen des systèmes européens existants de certification en matière de cybersécurité. L'ECCG devrait faciliter l'échange de bonnes pratiques et d'expertise entre les différentes autorités nationales de certification en matière de cybersécurité qui sont responsables de l'autorisation des organismes d'évaluation de la conformité et de la délivrance des certificats européens de cybersécurité.

(104) Afin de sensibiliser le public et de faciliter l'acceptation des futurs systèmes européens de certification de la cybersécurité, la Commission peut publier des lignes directrices générales ou sectorielles en matière de cybersécurité, par exemple sur les bonnes pratiques en matière de cybersécurité ou le comportement responsable en matière de cybersécurité, en soulignant l'effet positif de l'utilisation de produits, de services et de processus TIC certifiés.

(105) Afin de faciliter davantage les échanges, et compte tenu du fait que les chaînes d'approvisionnement en TIC sont mondiales, des accords de reconnaissance mutuelle concernant les certificats de cybersécurité européens peuvent être conclus par l'Union conformément à l'article 218 du traité sur le fonctionnement de l'Union européenne (TFUE). La Commission, en tenant compte de l'avis de l'ENISA et du Groupe européen de certification en matière de cybersécurité, peut recommander l'ouverture de négociations à ce sujet. Chaque système européen de certification en matière de cybersécurité devrait prévoir des conditions spécifiques pour de tels accords de reconnaissance mutuelle avec des pays tiers.

(106) Afin d'assurer des conditions uniformes de mise en œuvre du présent règlement, il convient de conférer des compétences d'exécution à la Commission. Ces compétences devraient être exercées conformément au règlement (UE) n° 182/2011 du Parlement européen et du Conseil (22).

(107) La procédure d'examen devrait être utilisée pour l'adoption d'actes d'exécution sur les systèmes européens de certification de la cybersécurité pour les produits TIC, les services TIC ou les processus TIC, pour l'adoption d'actes d'exécution sur les modalités de réalisation d'enquêtes par l'ENISA, pour l'adoption d'actes d'exécution sur un plan pour l'examen par les pairs des autorités nationales de certification de la cybersécurité, ainsi que pour l'adoption d'actes d'exécution sur les circonstances, les formats et les procédures de notification des organismes d'évaluation de la conformité accrédités par les autorités nationales de certification de la cybersécurité à la Commission.

(108) Les opérations de l'ENISA doivent être soumises à une évaluation régulière et indépendante. Cette évaluation devrait tenir compte des objectifs de l'ENISA, de ses pratiques de travail et de la pertinence de ses tâches, en particulier ses tâches relatives à la coopération opérationnelle au niveau de l'Union. Cette évaluation devrait également porter sur l'impact, l'efficacité et l'efficience du cadre européen de certification en matière de cybersécurité. En cas de révision, la Commission devrait évaluer comment le rôle de l'ENISA en tant que point de référence pour le conseil et l'expertise peut être renforcé et devrait également évaluer la possibilité d'un rôle pour l'ENISA dans le soutien à l'évaluation des produits TIC, des services TIC et des processus TIC des pays tiers qui ne sont pas conformes aux règles de l'Union, lorsque ces produits, services et processus pénètrent dans l'Union.

(109) Étant donné que les objectifs du présent règlement ne peuvent pas être réalisés de manière suffisante par les États membres, mais peuvent plutôt, en raison de ses dimensions et de ses effets, être mieux réalisés au niveau de l'Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l'article 5 du traité sur l'Union européenne (TUE). Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre ces objectifs.

(110) Il convient d'abroger le règlement (UE) n° 526/2013,

ONT ADOPTÉ CE RÈGLEMENT :