Se connecter
Cybersécurité : l'UE cherche à harmoniser la certification des services managés
L'UE arrive au terme d'une procédure législative visant à inclure les services managés dans le périmètre des schémas européens de certification cyber.
Haro sur les schémas de certification nationaux ? C'est en quelque sorte la posture de l'UE concernant les services de sécurité managés.
La Commission européenne, en tout cas, a constaté des "divergences", si ce n'est des "incohérences" entre les schémas que certains États membres ont commencé à adopter. Aussi a-t-elle a soumis, en avril 2023, une proposition de règlement visant à amender le Cybersecurity Act.
Ce texte adopté en 2019 ouvre la voie à un cadre de certification européen de cybersécurité. Il y inclut les produits, les services et les processus TIC. Mais pas les services managés. Alors même que ces derniers joueront, entre autres, un rôle important dans le "mécanisme d'urgence" que doit instaurer le Cyber Solidarity Act*.
Ledit mécanisme englobe des actions de préparation, une assistance mutuelle entre autorités nationales... et une "réserve de cybersécurité". Laquelle donnera accès à des services de sécurité managés qui accompagneront la réponse aux incidents "importants" ou "majeurs" (tels que définis dans la NIS 2) touchant des entités de secteurs critiques ou hautement critiques.
Alignement avec la directive NIS 2
Dans ce contexte, Bruxelles veut modifier le Cybersecurity Act pour permettre, au moyen d'actes d'exécution, l'adoption de schémas européens de certification pour les services de sécurité managés. Leur définition découle de celle que la NIS 2 donne des MSSP.
Les schémas en question devront notamment assurer :
- La fourniture des services concernés avec la compétence, l'expertise et l'expérience requises
- Que le fournisseur a mis en place des procédures internes appropriées pour garantir la qualité
- La protection des données impliquées
- Un rétablissement rapide en cas d'indisponibilité
- La journalisat
- La sécurisation dès la conception
Le trilogue avait débuté en décembre 2023. Le Parlement européen a adopté le texte en avril. Avec quelques précisions, dont le fait qu'il peut exister des schémas séparés pour différents services. Le Conseil doit désormais réaliser la même démarche.
* Parlement et Conseil ont trouvé un accord politique sur le Cyber Solidarity Act en début d'année. Il leur reste à le formaliser.
Illustration © garrykillian - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité
Par Alain Clapaud
Par Clément Bohic
Par Shaked Reiner *
Par Clément Bohic
Par George Gardon et Raul Salagean *
