Angelika Niebler (PPE, allemande) suggère à l'Union européenne de se doter d'un système de certification fondé sur le risque. C'est l'une des propositions qu'elle fait dans son projet de rapport, publié fin mars, sur la proposition de règlement relatif à l'Agence européenne pour la sécurité des réseaux et de l'information (ENISA).
Globalement, l'eurodéputée soutient l'approche de la Commission européenne, en particulier le renforcement du mandat de l'ENISA. Ses principales propositions portent sur le cadre de certification et la gouvernance.
Pour rappel, la Commission a présenté en septembre 2017 sa nouvelle stratégie en matière de cybersécurité dans laquelle elle suggère de renforcer le mandat de l'ENISA ainsi que de mettre en place, à l'échelle de l'UE, un cadre de certification volontaire permettant d'évaluer les propriétés de sécurité d'un produit des technologies de l'information et la communication (TIC) spécifique (EUROPE 11865).
Tandis que le Comité économique et social européen a adopté son avis le 6 mars, le Parlement européen et le Conseil n'ont pas encore établi leur position.
Au Parlement européen, la commission de l'industrie (ITRE) est responsable, la commission du marché intérieur (IMCO) intervenant en tant que commission associée (article 54 du règlement intérieur du Parlement). À noter que la commission des libertés civiles (LIBE) a déjà rendu son avis mi-mars.
Les propositions de Mme Niebler
Angelika Niebler soutient la création d'un système de certification à l'échelon européen pour les produits et les services, comme proposé par la Commission, mais elle y ajoute les processus.
La députée suggère aussi d'adopter une approche fondée sur le risque (plutôt qu'un système à « taille unique ») : selon elle, le système devrait être volontaire en règle générale, et obligatoire pour les produits, processus et services présentant un haut niveau de risque. Soit « lorsqu'une attaque contre un produit, un processus ou un service des TIC compromet la disponibilité, l'authenticité, l'intégrité, la confidentialité ou d'autres objectifs importants, et qu'elle met raisonnablement en danger la souveraineté nationale ou la sécurité publique des États ».
Le projet de rapport introduit en outre un nouvel article qui oblige les fabricants à doter leurs produits d'une déclaration présentant des informations structurées en matière de certification (article 47a).
En matière de gouvernance, l'eurodéputée recommande de rendre la structure de gouvernance plus transparente, notamment via l'adoption d'un programme de travail pluriannuel de l'Union qui identifie les actions communes à entreprendre au niveau de l'Union et les domaines de certification prioritaires.
Sur la question du mandat de l'ENISA, Angelika Niebler soutient l'idée d'un mandat renouvelé permanent, tout en appelant à rester réaliste « considérant le nombre encore peu élevé d'experts employés par l'ENISA par rapport à la taille du personnel de certaines autorités nationales de surveillance de la certification ».
Voir le projet de rapport : https://bit.ly/2uKtOcG (Sophie Petitjean)