Bouclier cyber européen : l'UE réécrit les règles pour garder les technologies « dangereuses » à distance

L'Union européenne prépare une importante mise à jour des règles de cybersécurité – et il ne s'agit pas simplement de protection contre les hackers. La Commission européenne a proposé de revoir le Cybersecurity Act pour réduire la dépendance aux fournisseurs considérés comme potentiellement non sécurisés à Bruxelles et prendre un contrôle plus strict sur les chaînes d'approvisionnement numériques.

Ce que l'on sait

Le prétexte formel est l'augmentation des attaques sur les infrastructures critiques et les systèmes gouvernementaux. En pratique, l'UE avance activement vers l'idée de « cybersécurité par défaut » : les produits et services numériques doivent être sécurisés dès la phase de conception, et non être réparés après leur lancement.

Un des éléments clés de la réforme est la simplification du système de certification de cybersécurité européen. Les certificats, gérés par l'Agence de l'UE pour la cybersécurité (ENISA), resteront volontaires mais deviendront en fait un « label de qualité » universel pour les entreprises opérant sur le marché de l'UE. En outre, il sera possible de certifier non seulement les appareils et services, mais aussi les processus, les services gérés et même le niveau de cybersécurité général de l'entreprise.

Un accent particulier est mis sur les réseaux de télécommunication. Les nouvelles règles permettent aux pays de l'UE de « nettoyer » de force les infrastructures des fournisseurs jugés à haut risque. Cela s'inscrit dans la logique de la boîte à outils de sécurité 5G, qui était jusqu'à présent appliquée de manière inégale. Désormais, la sécurité des chaînes d'approvisionnement est officiellement reconnue comme une question non seulement technique, mais aussi politique.

En parallèle, Bruxelles souhaite simplifier la mise en œuvre de la directive NIS2. Cela devrait réduire la charge pour presque 29 000 entreprises, y compris les petites entreprises : moins de bureaucratie, plus de simplicité dans les rapports d'incidents et une meilleure coordination au niveau de l'UE.

Si les propositions sont approuvées par le Parlement européen et le Conseil de l'UE, les États membres auront un an pour mettre en œuvre les nouvelles règles. En fait, l'Europe fait un autre pas vers la souveraineté numérique, même si cela signifie des filtres plus stricts pour les technologies extérieures.

Source : CE