La commission du marché intérieur et de la protection des consommateurs (IMCO) du Parlement européen estime que le système de certification en matière de cybersécurité devrait être rendu « obligatoire » pour les produits et les services présentant un risque élevé et liés à des services essentiels. C'est l'une des propositions qui figure dans son rapport d'avis sur le règlement relatif à l'Agence pour la cybersécurité, adopté le 17 mai.
Pour rappel, la Commission a présenté en septembre 2017 sa nouvelle stratégie en matière de cybersécurité dans laquelle elle suggère de renforcer le mandat de l'ENISA ainsi que de mettre en place, à l'échelle de l'UE, un cadre de certification volontaire permettant d'évaluer les propriétés de sécurité d'un produit des technologies de l'information et la communication (TIC) spécifique (EUROPE 11865).
Le travail vient de démarrer au Conseil (EUROPE 12008). Au Parlement européen, la commission des libertés civiles (LIBE) a déjà rendu son avis mi-mars. La commission du marché intérieur (IMCO) intervient ici en tant que commission associée (article 54 du règlement intérieur du Parlement) ; la commission de l'industrie (ITRE), responsable sur le fond, doit, elle, voter en juin (EUROPE 11994).
Les suggestions de la commission IMCO
Globalement, la commission du marché intérieur et de la protection des consommateurs soutient les grandes lignes de la proposition de règlement.
En ce qui concerne le système de certification, d'une part, elle étoffe les objectifs de sécurité desdits systèmes, qu'elle qualifie de liste « minimum » (qui comprend notamment la « sécurité à la conception » (security by design)), et ses éléments constitutifs, comme la période maximale de validité des certificats. La principale nouveauté porte sur le caractère obligatoire de la certification pour les dispositifs à risque utilisés pour offrir des services dits « essentiels ». Par ailleurs, tout comme le projet de compromis de la Présidence bulgare au Conseil, l'avis de la commission IMCO suggère d'autoriser l'autocertification en vertu de laquelle les fabricants pourraient déclarer eux-mêmes que leur produit ou leur service est conforme aux critères d'un système de certification spécifique.
En ce qui concerne l'Agence, d'autre part, elle propose d'élargir ses fonctions. Elle suggère de lui donner : - une fonction de contrôle, à savoir évaluer les procédures de délivrance des certificats européens de cybersécurité et effectuer des contrôles ex post périodiques indépendants sur la conformité des produits et services TIC certifiés ; - la charge de rédiger des lignes directrices, sur la procédure de partage de l'information entre les États membres et sur les exigences minimales de sécurité pour les dispositifs informatiques mis sur le marché dans l'Union ou exportés de l'Union. Les députés prévoient aussi l'élaboration d'un programme de travail, 6 mois après l'entrée en vigueur du règlement, qui devra être réexaminé tous les 2 ans.
Pour le reste, le rapport introduit un mécanisme d'examen par les pairs pour les autorités nationales de surveillance de la certification (article 50a). (Sophie Petitjean)