Cybersécurité à l’ère numérique : la Commission renforce et simplifie les règles

Le saviez-vous ?

Plus de 9 000 milliards d'euros, c'est le coût mondial de la cybercriminalité pour l'année 2005. Cyberattaques et attaques hybrides constituent une menace croissante dans le monde, et l'Europe n'est pas épargnée. Parmi leurs cibles privilégiées : les services essentiels tels que les réseaux énergétiques, les hôpitaux, les banques et les administrations publiques. C'est pourquoi la Commission européenne présente un nouveau paquet de mesures afin de renforcer la cybersécurité au sein de l'UE.

Mieux protéger l'ensemble des chaînes d'approvisionnement dans les infrastructures critiques

Les produits et services numériques font partie de chaînes d'approvisionnement des TIC (technologies de l'information et de la communication) internationales complexes. Un cadre européen commun pour 18 secteurs critiques permettra de mieux identifier les risques dans ces chaînes et de les traiter de manière ciblée.

Cette approche tient compte à la fois de la sécurité technique mais aussi des dépendances et des ingérences étrangères potentielles. Pour les composants sensibles des réseaux, l'UE pourra limiter le recours à des fournisseurs à haut risque, sur base d'une analyse du marché et d'une analyse d'impact.

Un cadre de certification plus simple et plus clair

La Commission propose un cadre européen renouvelé et simplifié pour la certification en matière de cybersécurité (ECCF). Des tests de sécurité plus efficaces, un délai fixe maximal de 12 mois et des procédures plus claires rendent le système plus accessible aux entreprises.

Les entreprises pourront ainsi démontrer plus facilement leur conformité aux réglementations européennes. Cela réduira les coûts et renforcera tant leur position concurrentielle que la confiance des utilisateurs. Outre leurs produits et services, les organisations pourront également faire certifier leur approche générale en matière de cybersécurité et ainsi démontrer qu'elles gèrent les risques numériques de manière sûre et responsable.

Une réduction des charges administratives pour les entreprises

Le paquet comprend également des modifications ciblées de la directive NIS2, qui régit la cybersécurité des secteurs essentiels. Pour des milliers d'entreprises, parmi lesquelles de nombreuses micro- et petites entreprises, les règles seront plus claires et plus faciles à appliquer.

Une nouvelle catégorie de petites entreprises à moyenne capitalisation permettra de mieux adapter les obligations à leur taille et aux risques qu'elles encourent. Parallèlement, la Commission clarifie les règles applicables aux entreprises transfrontalières et simplifie la notification des attaques par ransomware.

Renforcement du rôle de l'Agence européenne chargée de la cybersécurité

Le rôle de l'Agence européenne chargée de la cybersécurité (ENISA) sera renforcé afin de participer plus efficacement à l'élaboration de normes de cybersécurité aux niveaux européen et international conformément aux valeurs de l'UE.

L'agence continuera de soutenir les entreprises et les parties prenantes actives dans l'UE en lançant des alertes précoces concernant les cybermenaces et les cyberincidents. En coopération avec Europol et les centres de réponse aux incidents de sécurité informatique, elle aidera les entreprises à réagir aux attaques par rançongiciel et à s'en relever. L'ENISA mettra également au point une approche à l'échelle de l'Union en vue fournir aux parties prenantes de meilleurs services de gestion des vulnérabilités. Elle utilisera le guichet unique pour la notification des incidents proposée dans le règlement omnibus numérique. Cela permettra un partage plus rapide et plus efficace des informations.

L'ENISA continuera de jouer un rôle clé en vue d'étoffer la main-d'œuvre qualifiée dans le domaine de la cybersécurité en Europe. Pour ce faire, elle pilotera l'académie des compétences en matière de cybersécurité et mettra en place des systèmes d'attestation des compétences en matière de cybersécurité à l'échelle de l'UE.

Plus de sécurité et de confiance dans l'UE numérique

Avec cet ensemble de mesures sur la cybersécurité, la Commission européenne renforce la résilience numérique de l'Europe. Ce paquet complète le futur paquet sur le développement du cloud et de l'IA (CADA) ainsi que l'omnibus numérique.

La combinaison d'une meilleure protection des systèmes critiques, de règles plus simples et d'un soutien supplémentaire aidera les citoyens, les entreprises et les administrations à travailler de manière plus sûre dans une société de plus en plus numérique.

Prochaines étapes

Le règlement sur la cybersécurité sera applicable dès son adoption par le Parlement européen et le Conseil de l'UE. Les modifications de la directive SRI 2 qui l'accompagnent seront également présentées pour adoption. Une fois la directive adoptée, les États membres auront un an pour la transposer en droit interne et communiquer la législation correspondante à la Commission.

Plus d'info

• Communiqué de presse
• Questions-réponses
• Fiche info
• Proposition de règlement relatif au règlement de l'UE sur la cybersécurité
• Proposition de directive sur la simplification et l'alignement sur le règlement sur la cybersécurité
• Mise en œuvre de la directive SRI 2 en Belgique

Détails