Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Agence de cybersécurité de l'UE (ENISA) et certification de cybersécurité des TIC ("Cybersecurity Act")

2017/0225(COD)

Le Parlement européen a adopté par 586 voix pour, 44 contre et 36 abstentions, une résolution législative sur la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité).

La position du Parlement européen arrêtée en première lecture suivant la procédure législative ordinaire a modifié la proposition de la Commission comme suit :

Pouvoirs renforcés pour l’Agence de l’UE pour la cybersécurité (ENISA)

En vue d'assurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, le règlement proposé fixerait les objectifs, les tâches et les questions organisationnelles concernant l'ENISA (l'Agence de l'Union européenne pour la cybersécurité).

L’ENISA exécuterait ses tâches dans le but de parvenir à un niveau commun élevé de cybersécurité dans l'ensemble de l'Union, y compris en aidant activement les États membres et les institutions, organes et organismes de l'Union à améliorer la cybersécurité. Elle servirait de point de référence pour les conseils et compétences en matière de cybersécurité pour les institutions, organes et organismes de l'Union ainsi que pour les autres parties prenantes concernées de l'Union. À cette fin, elle devrait développer ses ressources propres, y compris ses capacités et aptitudes techniques.

L’ENISA devrait, entre autres :

 

  • assister les États membres et les institutions, organes et organismes de l'Union i) à mettre en place les capacités et la préparation requises pour prévenir et détecter les cybermenaces et incidents et y réagir ; ii) à élaborer et à promouvoir des politiques en matière de cybersécurité visant à soutenir la disponibilité ou l'intégrité générales du noyau public de l'internet ouvert; iii) à mettre en œuvre, sur une base volontaire, des politiques en matière de divulgation des vulnérabilités;
  • favoriser le partage d'informations et la coordination au niveau de l'Union, entre les États membres, les institutions, organes et organismes de l'Union et les parties prenantes concernées des secteurs public et privé en ce qui concerne les questions liées à la cybersécurité ;
  • favoriser le recours à la certification européenne de cybersécurité en vue d'éviter la fragmentation du marché intérieur ;
  • soutenir les États membres dans le domaine de la sensibilisation et de l'éducation à la cybersécurité en favorisant une coordination plus étroite et l'échange de bonnes pratiques entre les États membres. Un tel soutien pourrait consister à développer un réseau de points de contact nationaux en matière d'éducation ainsi qu’une plateforme de formation à la cybersécurité ;
  • sensibiliser le public aux risques liés à la cybersécurité et fournir, à l'intention des citoyens, des organisations et des entreprises, des orientations sur les bonnes pratiques à adopter par les utilisateurs individuels, y compris en matière d'hygiène informatique et d'habileté numérique;
  • faciliter la gestion technique des incidents ayant un impact significatif ou substantiel, en particulier en soutenant le partage volontaire de solutions techniques entre États membres ou en produisant des informations techniques combinées, telles que des solutions techniques partagées volontairement par les États membres ;
  • promouvoir les concepts de sécurité dès la conception et de protection de la vie privée dès la conception au niveau de l'Union ;
  • contribuer, s'il y a lieu, à une coopération avec des organisations telles que l'OCDE, l'OSCE et l'OTAN par exemple au moyen d’exercices conjoints dans le domaine de la cybersécurité.

L’ENISA devrait tenir le Parlement européen régulièrement informé de ses activités.

Réseau des agents de liaison nationaux

Le conseil d'administration devrait créer, sur proposition du directeur exécutif, un réseau des agents de liaison nationaux composé de représentants de tous les États membres (les agents de liaison nationaux). Ce réseau faciliterait l'échange d'informations entre l'ENISA et les États membres et aiderait l'ENISA à faire connaître ses activités et à diffuser les résultats de ses travaux et ses recommandations auprès des parties prenantes concernées dans l'ensemble de l'Union.

Cadre européen de certification de cybersécurité

Le texte amendé crée le premier dispositif européen de certification en matière de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.

La Commission devrait publier, au plus tard un an après l'entrée en vigueur du règlement, un programme de travail glissant de l'Union pour la certification européenne de cybersécurité qui recense les priorités stratégiques pour les futurs schémas européens de certification de cybersécurité. Elle devrait tenir à jour un site internet dédié fournissant des informations sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l'UE.

Dans un souci d'équivalence des normes, dans l'ensemble de l'Union, en ce qui concerne les certificats de cybersécurité européens et les déclarations de conformité de l'UE, les autorités nationales de certification de cybersécurité feraient l'objet d'un examen par les pairs.