Recherche

Cybersécurité : l'UE cherche à harmoniser la certification des services managés

L'UE arrive au terme d'une procédure législative visant à inclure les services managés dans le périmètre des schémas européens de certification cyber.

Publié par Clément Bohic le | Mis à jour le
Lecture
2 min
  • Imprimer
Cybersécurité : l'UE cherche à harmoniser la certification des services managés
© garrykillian - Adobe Stock

Haro sur les schémas de certification nationaux ? C'est en quelque sorte la posture de l'UE concernant les services de sécurité managés.

La Commission européenne, en tout cas, a constaté des "divergences", si ce n'est des "incohérences" entre les schémas que certains États membres ont commencé à adopter. Aussi a-t-elle a soumis, en avril 2023, une proposition de règlement visant à amender le Cybersecurity Act.

Ce texte adopté en 2019 ouvre la voie à un cadre de certification européen de cybersécurité. Il y inclut les produits, les services et les processus TIC. Mais pas les services managés. Alors même que ces derniers joueront, entre autres, un rôle important dans le "mécanisme d'urgence" que doit instaurer le Cyber Solidarity Act*.

Ledit mécanisme englobe des actions de préparation, une assistance mutuelle entre autorités nationales... et une "réserve de cybersécurité". Laquelle donnera accès à des services de sécurité managés qui accompagneront la réponse aux incidents "importants" ou "majeurs" (tels que définis dans la NIS 2) touchant des entités de secteurs critiques ou hautement critiques.

Alignement avec la directive NIS 2

Dans ce contexte, Bruxelles veut modifier le Cybersecurity Act pour permettre, au moyen d'actes d'exécution, l'adoption de schémas européens de certification pour les services de sécurité managés. Leur définition découle de celle que la NIS 2 donne des MSSP.

Les schémas en question devront notamment assurer :

  • La fourniture des services concernés avec la compétence, l'expertise et l'expérience requises
  • Que le fournisseur a mis en place des procédures internes appropriées pour garantir la qualité
  • La protection des données impliquées
  • Un rétablissement rapide en cas d'indisponibilité
  • La journalisat
  • La sécurisation dès la conception

Le trilogue avait débuté en décembre 2023. Le Parlement européen a adopté le texte en avril. Avec quelques précisions, dont le fait qu'il peut exister des schémas séparés pour différents services. Le Conseil doit désormais réaliser la même démarche.

* Parlement et Conseil ont trouvé un accord politique sur le Cyber Solidarity Act en début d'année. Il leur reste à le formaliser.

Illustration © garrykillian - Adobe Stock

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page