L'Acte pour la cybersécurité, négocié pendant deux ans par le Parlement et le Conseil, entre en application jeudi 27 juin. Ce règlement instaure les toutes premières règles de l'UE en matière de certification de cybersécurité des produits, processus et services. Par ailleurs, il renforce le mandat de l'Agence chargée de la sécurité des réseaux et de l'information (ENISA).
« C'est une journée importante et un message important : en moins de 2 ans, nous avons pu allier la vitesse à la qualité », a commenté la commissaire chargée de l'Économie et la Société numériques, Mariya Gabriel, qualifiant ce règlement de « pierre angulaire » des mesures présentées par la Commission pour renforcer les capacités de défense de l'UE dans le cyberespace.
La principale nouveauté tient à l'introduction d'un cadre de certification européen permettant aux entreprises qui souhaitent y participer d'obtenir un certificat valable dans toute l'UE, attestant de la sécurité de leur produit. Trois niveaux d'assurance, proportionnés au niveau de risque associé à l'utilisation, sont prévus : élémentaire, substantiel, élevé.
Interrogées sur le calendrier, plusieurs sources à la Commission ont indiqué qu'un appel à manifestation d'intérêt pour constituer le groupe des parties prenantes pour la certification (SCCG) serait lancé le 27 juin. En ce qui concerne les domaines potentiellement couverts par le nouveau cadre, il pourrait s'agir de l'informatique en nuage, de l'internet des objets ou encore de la 5G. Le règlement prévoit la publication d'un premier programme de travail glissant d'ici au 28 juin 2020. Règlement : https://bit.ly/2KCOSsD. (Sophie Petitjean)