Loi sur la cybersécurité : cadre de l'UE pour les certificats de cybersécurité
Le cadre de l'UE pour la loi sur la cybersécurité arrive. Le Parlement européen, les États membres et la Commission européenne se sont mis d'accord sur la "loi sur la cybersécurité".
En décembre dernier, le Parlement européen, les États membres et la Commission européenne se sont mis d'accord sur la "loi sur la cybersécurité". Un seul certificat doit servir la cybersécurité d'un produit informatique en Europe : Au cours du processus politique de ces derniers mois, la proposition initiale a été considérablement améliorée - notamment en ce qui concerne la transparence et la participation de l'industrie. Néanmoins, de l'avis de la VDMA, cette loi-cadre ne peut être qu'une première étape. Bien qu'il réglemente l'attribution des certificats, ce cadre ne représente pas une véritable réglementation du marché intérieur. Il est décevant de constater que seule une utilisation limitée de l'autodéclaration du fabricant est possible.
À l'avenir, il y aura un "groupe européen de certification en matière de cybersécurité" et un "groupe de participation des parties prenantes", par le biais desquels les États membres ou l'industrie peuvent soumettre des propositions à la Commission européenne si une certification réglementée à l'échelle européenne pour un certain groupe de produits semble nécessaire. Si la proposition est acceptée, l'Agence européenne pour la sécurité informatique (ENISA) en réglera les détails avec la participation des industries concernées. La Commission européenne a alors le dernier mot et le système de certification devient valable dans toute l'Europe.
À partir de ce moment, les systèmes nationaux perdent leur validité. Le cadre de certification est essentiellement volontaire, mais le législateur se réserve le droit d'introduire une obligation dans le cadre d'autres actes législatifs.
Améliorations envisagées
Lors du trilogue, le Parlement européen et les États membres ont également obtenu des améliorations significatives en termes de transparence et de participation de l'industrie. Par exemple, un plan de travail public est désormais prévu. Cependant, un défaut de conception majeur n'a été que insuffisamment éliminé : L'option d'autodéclaration du fabricant, importante pour l'innovation et l'efficacité, est désormais prévue, mais seulement pour un niveau de cybersécurité de base. En principe, la loi sur la cybersécurité repose en grande partie sur la certification par un tiers, ce qui, selon la VDMA, la Fédération allemande des ingénieurs e.V., ne convient que dans des cas exceptionnels et une procédure d'évaluation autrement coûteuse et lourde.
La VDMA considère la loi sur la cybersécurité comme une première étape. Le marché unique européen a plutôt besoin d'une réglementation juridique uniforme qui garantisse l'échange sécurisé des données relatives aux entreprises et aux produits.
