Le Conseil de l’UE envisage de limiter le système européen d’auto-évaluation de la cybersécurité aux produits et services présentant un risque et un niveau de complexité faible. C’est ce qui ressort du nouveau projet de compromis bulgare qui sera examiné par le groupe de travail les 26 et 27 avril en vue d'un accord politique de principe espéré au Conseil 'Télécommunications' du vendredi 8 juin.
Pour rappel, la Commission a présenté en septembre 2017 sa nouvelle stratégie en matière de cybersécurité dans laquelle elle suggère de renforcer le mandat de l'ENISA ainsi que de mettre en place, à l'échelle de l'UE, un cadre de certification volontaire permettant d'évaluer les propriétés de sécurité d'un produit des technologies de l'information et la communication (TIC) spécifique (EUROPE 11865). Le vote en commission de l'industrie (ITRE) du PE est prévu le 19 juin (EUROPE 11994). Au Conseil, les travaux vont bon train.
Nouveau texte de compromis de la Présidence
À la suite du dernier échange de vues en groupe de travail, le 10 avril, et en vue des discussions prévues pour la fin de la semaine, la Présidence bulgare du Conseil a modifié à la marge sa précédente proposition de compromis (EUROPE 11964).
Parmi les changements les plus notables, elle propose toujours d'introduire un système européen d'auto-évaluation de la cybersécurité tout en précisant qu'il ne s'appliquerait qu'aux « produits et services TIC présentant un risque et un niveau de complexité faible correspondant au niveau d'assurance de base » (article 47a). Dans le considérant 55, elle précise que le fabricant ou le fournisseur devrait rédiger et signer la déclaration UE de conformité (qui serait reconnue dans tous les États membres de l'UE) et la conserver 10 ans. Dans de précédentes moutures déjà, le Conseil proposait de distinguer différents niveaux d'assurance : basique, substantiel ou élevé.
Le projet de compromis liste ensuite les éléments constitutifs des systèmes européens de certification de la cybersécurité (article 47), tout en précisant que ces éléments ne sont qu'un minimum. Il précise qu'il revient aux organes d'évaluation de conformité de remettre un tel certificat, sauf pour les dispositifs à haut risque où, en règle générale, cette compétence revient aux autorités nationales de certification.
« La certification ne peut pas garantir en soi que les produits et services certifiés TIC sont sécurisés sur Internet. C'est plutôt une procédure et une méthodologie technique pour attester que les produits et services TIC ont été testés et qu'ils sont conformes à certaines exigences en matière de cybersécurité », indique, dans les définitions, le texte de la Présidence.
Enfin, le nouveau texte suggère de détailler davantage certaines tâches de l'Agence pour la cybersécurité (ex-ENISA). Ainsi, dans un article distinct sur la sensibilisation et l'éducation, il propose, entre autres, que l'Agence fournisse des orientations sur les bonnes pratiques à l'intention des utilisateurs individuels et soutienne l'échange de bonnes pratiques entre États membres (article 9a).
Voir le nouveau texte de compromis: https://drive.google.com/file/d/1Ts0Rv4qcAUrVc65QNBKYRbUIYg3ntDgH/view?usp=sharing . (Sophie Petitjean)