UNE ANALYSE L’Union européenne (UE) souhaite une plus grande normalisation de la législation et de la réglementation européennes en matière de cybersécurité, selon l’agence de cybersécurité du bloc.
L’UE considère les normes comme essentielles pour accroître la sécurité dans l’ensemble du bloc, ainsi que pour garantir la cohérence des mesures de cybersécurité entre les États membres. Cela, selon la Commission européenne, permettra aux fournisseurs de sécurité et aux entreprises en général de travailler plus facilement au-delà des frontières.
Des normes européennes sont envisagées pour la certification des produits et la législation sur l’utilisation abusive des ordinateurs.
CONSEILLÉ Le plan d’authentification Web « dangereux » de l’UE menace de saper le système de certification par navigateur
Les travaux sont menés par l’ENISA, l’agence de l’UE pour la cybersécurité.
« Compte tenu de la complexité croissante d’un environnement de cybermenaces en évolution, les normes de cybersécurité peuvent être un outil essentiel grâce auquel une organisation peut améliorer sa position en matière de cybersécurité en s’assurant que sa stratégie et ses politiques de cybersécurité sont mises en œuvre de manière cohérente et mesurable », a déclaré un porte-parole de l’ENISA. La gorgée quotidienne.
Paysage législatif
L’ENISA travaille avec la Commission européenne et les agences de normalisation européennes, notamment l’ETSI, le CEN et le CENELEC, pour promouvoir la normalisation. Jusqu’à présent, l’ENISA a produit deux rapports, l’un revoir les normes existantes en matière de gestion des risques et un autre regarder la 5G.
Les travaux s’appuient à la fois sur la loi américaine sur la cybersécurité (CSA), qui confie à l’ENISA un rôle de chef de file dans l’établissement de normes de sécurité, et sur la La stratégie de normalisation de l’UEprésenté plus tôt cette année.
L’UE directive SRIqui définit des mesures pour renforcer la cybersécurité dans l’ensemble du bloc, appelle spécifiquement les pays de l’UE à utiliser des normes européennes ou internationalement acceptées pour sécuriser les réseaux et les systèmes d’information.
L’UE Loi sur la cybersécurité mettra en place un « cadre européen de certification de cybersécurité pour les produits, services et processus TIC », selon l’ENISA. La normalisation est considérée comme cruciale pour l’efficacité du cadre. Jusqu’à présent, l’ENISA et les agences de normalisation ont enquêté sur la normalisation de la sécurité dans la 5G, l’intelligence artificielle, les portefeuilles d’identité numérique, les infrastructures et les chaînes d’approvisionnement et la protection des données.
« Les normes dans le domaine de l’informatique et de la technologie sont essentielles pour assurer l’interopérabilité – sans elles, les systèmes des différents fournisseurs ne fonctionneraient pas ensemble », a déclaré l’ENISA. La gorgée quotidienne. L’ENISA prévoit de fournir des conseils indépendants aux fournisseurs et autres parties prenantes sur les normes de cybersécurité dans la future législation.
Faciliter la conformité au RGPD
Le processus de normalisation de la cybersécurité ne fait pas partie du règlement général sur la protection des données (RGPD) de l’UE. Bien qu’à certains égards, le RGPD ait ouvert la voie, en établissant des normes de confidentialité des données, le règlement ne dit pas aux organisations comment se conformer à la loi. Les normes seront donc un élément clé pour assurer la conformité au RGPD.
«Le RGPD était un règlement qui était applicable dans tout le bloc lorsqu’il est entré en vigueur. La plupart des autres travaux dans cet espace ont pris la forme de directives qui doivent être transposées dans les lois nationales », explique Jon France, RSSI de l’organisme de sécurité (ISC)2. La gorgée quotidienne.
« Il est largement reconnu que la cybersécurité est une exigence fondamentale dans tous les États membres de l’UE, mais cela reste un domaine très vaste couvrant les produits, les services, le développement, l’exploitation et plus encore dans de nombreux secteurs et industries. »
Tâche délicate
La France estime que l’ENISA s’attaque à une tâche ardue.
« Le paysage réglementaire à travers l’Europe est à certains égards évident et facile à comprendre », explique-t-il. « Cependant, la mise en œuvre n’est pas aussi facile avec une pléthore de règles, de réglementations et de moyens de les traiter à prendre en compte, aggravée par le fait que la sécurité reste un droit souverain réservé à chaque État membre, chacun conservant la possibilité de choisir dans de nombreux cas ce qu’il faut mettre en œuvre. et comment mettre en œuvre dans le cadre de la réglementation et de la loi locales. »
Et bien que l’UE reconnaisse que les normes sont une question internationale et que l’organisation participe à des groupements internationaux tels que l’ISO, l’ENISA ne travaille pas actuellement avec des « pays tiers » sur ce sujet. Cela pourrait cependant changer à l’avenir.
« Une approche normalisée au sein de l’UE refléterait des initiatives similaires dans d’autres régions, par exemple les États-Unis, qui ont eu du succès avec les normes NIST pour l’évaluation des risques et les tests de pénétration qui sont en train d’être adoptées dans le monde entier », a déclaré Phil Robinson, consultant principal et fondateur de Prism Infosec, raconte La gorgée quotidienne.
Selon lui, l’établissement de normes permettrait aux entreprises d’utiliser une évaluation des risques cohérente dans toute l’UE.
« De plus, de la même manière qu’une ‘kitemark’ de sécurité, les produits et services peuvent également avoir une certification standardisée qui signifie qu’un consommateur, une entreprise ou un particulier [other individual]peuvent être assurés de la certification de cybersécurité dans toute la région.
