L’Agence nationale de la sécurité des systèmes d’information (ANSSI) se félicite de l’adoption définitive du Cybersecurity Act, paru au Journal Officiel de l’Union européenne le 7 juin.
« Le règlement marque une véritable avancée pour l’autonomie stratégique européenne », indique l’ANSSI qui s’est pleinement investie depuis septembre 2017 pour défendre les positions françaises lors des négociations. Ce Cybersecurity Act a un double objectif : l’adoption du mandat permanent de l’ENISA, l’Agence européenne pour la cybersécurité, qui facilite les échanges entre les Etats membres, et la définition d’un cadre européen de certification de cybersécurité harmonisé. L’ANSSI s’st particulièrement investi sur cette certification. « Forte de vingt années d’expérience en matière de certification, la France a joué un rôle moteur lors des négociations européennes, avec pour objectif d’élever le niveau de sécurité en Europe. Il est primordial de réconcilier la croissance du marché avec les enjeux de cybersécurité » affirme Guillaume Poupard, directeur général de l’ANSSI.
Trois niveaux sont définis dans ce Cybersecurity Act. Le niveau élémentaire cible typiquement des objets grand public, non critiques (exemple : IoT). Le niveau substantiel qui cible le risque médian (exemple : informatique en nuage – Cloud). Le niveau élevé qui cible les solutions pour lesquelles il existe un risque d’attaques menées par des acteurs avec des compétences et ressources significatives (exemple : véhicules ou dispositifs médicaux connectés). « L’expertise de la France en matière de certification se reflète dans le niveau élevé d’assurance du règlement européen », se réjouit l’Agence.
Le Cybersecurity Act est un acte juridique européen, de portée générale, obligatoire dans toutes ses dispositions. Les États membres sont tenus d’appliquer les dispositions telles qu’elles sont définies par le règlement. Ils disposent de deux ans pour se mettre en conformité.