stratégie pour une plus grande sécurité des institutions

Entrée en vigueur le 7 janvier 2024, le nouveau règlement de l’Union européenne sur la cybersécurité représente une étape importante pour accroître le niveau de cybersécurité au sein des institutions et organes de l’UE.

Le règlement vise à renforcer la cybersécurité des entités de l’Union et autres aligner l’administration de l’UE sur les normes imposées aux États membres, conformément à la directive NIS 2 sur des niveaux élevés communs de cybersécurité. Son adoption rapide démontre l’engagement de l’UE en faveur d’un objectif de plus grande cybersécurité. Dans un contexte où les cybermenaces deviennent de plus en plus omniprésentes et sophistiquées, le règlement joue un rôle clé pour garantir une administration publique européenne ouverte, efficace, sûre et résiliente, comme l’a souligné le commissaire européen Johannes Hahn.

En particulier, le règlement établit des mesures visant à établir un cadre interne de gestion des risques, de gouvernance et de contrôle pour chaque entité de l’Union et crée un nouveau Conseil interinstitutionnel de la cybersécurité (IICB) surveiller et soutenir la mise en œuvre des règles. L’équipe de réponse informatique d’urgence de l’UE (CERT-EU) est rebaptisée Service de cybersécurité pour les institutions, organes et organismes de l’Union, assumant un rôle central en tant que centre de renseignement sur les menaces et de coordination de la réponse aux incidents.

Les entités de l’Union suivront un calendrier défini par le règlement pour établir des processus internes de gouvernance de la cybersécurité et mettre progressivement en œuvre des mesures spécifiques de gestion des risques. L’IICB sera opérationnel dès que possible, dans le but d’assurer l’orientation stratégique du Cert-EU dans son mandat étendu, de fournir des orientations et un soutien aux entités de l’Union et de surveiller la mise en œuvre du règlement.

Le règlement prévoit également que les entités de l’Union peuvent notifier les incidents, les cybermenaces, les vulnérabilités et les quasi-accidents au CERT-EU, en partageant les détails techniques permettant de détecter ou d’atténuer et de réagir à des incidents similaires dans d’autres entités de l’Union. Chaque entité de l’Union nomme un responsable local de la cybersécurité, qui facilite la mise en œuvre du règlement et rend directement compte au plus haut niveau de direction.

Le règlement contient également un guide permettant de déterminer l’existence et la gravité d’une cyberattaque ainsi qu’un protocole opérationnel de reporting et de partage. Un incident est considéré comme significatif s’il entraîne une perturbation opérationnelle grave ou une perte financière importante, ou s’il affecte de manière significative d’autres personnes physiques ou morales. Les entités de l’Union sont tenues de soumettre une alerte précoce au CERT-EU dans les 24 heures suivant la prise de connaissance d’un incident important et une notification détaillée dans les 72 heures.

Ce règlement représente une avancée importante dans la protection des infrastructures critiques de l’Union européenne et dans la gestion des défis croissants posés par les cybermenaces. En mettant en œuvre ces mesures, l’UE se positionne comme un leader dans l’adoption d’une approche proactive et globale en matière de cybersécurité.

Pour plus d’informations sur texte intégral