Principaux renseignements

• Les discussions autour d’un système volontaire de certification de la cybersécurité pour les services en nuage (EUCS) sont confrontées à des retards.
• Il est peu probable que des progrès soient réalisés au cours du premier semestre 2023 en raison de désaccords politiques, notamment en ce qui concerne les exigences de souveraineté défendues par la France et son schéma existant SecNum Cloud.
• Les groupes industriels restent sceptiques quant à des percées dans l’impasse de l’EUCS et exhortent la Commission à adopter rapidement le dernier projet d’EUCS.

Les discussions autour d’un système de certification volontaire de cybersécurité pour les services en nuage (EUCS) sont confrontées à des retards. Malgré les efforts de la Pologne, qui préside actuellement les réunions ministérielles de l’UE, il est peu probable que des progrès soient réalisés au cours du premier semestre 2023.

L’initiative, initiée par l’ENISA en 2019 à la demande de la Commission européenne, vise à permettre aux entreprises de démontrer le niveau de protection de la cybersécurité de leurs solutions TIC pour le marché de l’UE. Cependant, des désaccords politiques, notamment concernant les exigences de souveraineté défendues par la France et son dispositif existant SecNum Cloud, ont bloqué le processus. Cette division nécessite un avis du groupe européen de certification de la cybersécurité, dont la prochaine réunion est potentiellement prévue pour février au plus tôt.

La Pologne

La Pologne prévoit de mettre l’accent sur la cybersécurité pendant sa présidence, notamment en accueillant une réunion des ministres des télécommunications et une conférence sur la normalisation de l’ENISA. Les groupes industriels restent cependant sceptiques quant à une avancée dans l’impasse de l’EUCS. La BSA, qui représente l’industrie mondiale du logiciel, a exprimé sa déception face à l’impasse persistante après quatre ans de discussions, soulignant que la protection des données devrait être prioritaire par rapport aux considérations politiques. Ils exhortent la Commission à adopter rapidement le dernier projet d’EUCS, en soulignant la nécessité pour l’Europe de disposer d’une solide résilience en matière de cybersécurité.

Revue de la Commission

Certains pensent que la Commission pourrait reporter la révision du processus EUCS jusqu’à ce qu’un examen de la loi sur la cybersécurité (CSA) soit achevé. La CSA, mise en œuvre en 2019, habilite l’ENISA à élaborer des systèmes de certification. Bien qu’elle ait fait l’objet d’une évaluation l’année dernière, aucune révision n’a été apportée. Sur les deux certifications proposées depuis 2019, seule celle concernant les produits TIC de référence a été approuvée ; une autre sur la 5G reste en cours d’élaboration. La lettre de mission de la nouvelle commissaire européenne Henna Virkkunen souligne sa volonté de renforcer la cybersécurité en améliorant l’adoption des systèmes de certification européens.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!