L’agence européenne sur la cybersécurité semble être victime de son succès. Le Conseil de l’UE a adopté des conclusions dans lesquelles il estime que l’agence s’éparpillait et il lui demande donc de se concentrer sur ses missions prioritaires en y accordant les moyens suffisants. En parallèle, il reconnaît le rôle central de l’agence dans l’architecture européenne de cybersécurité. C’est pourquoi, il lui assigne toute une série de missions à remplir.
Quelle est la situation ?
Les défis découlant du cyberespace mondial n'ont jamais été aussi complexes, diversifiés et graves qu'ils le sont aujourd'hui, en raison de la sophistication des cybermenaces qui se font jour, de l'évolution constante de l'environnement de sécurité et des tensions géopolitiques actuelles. Par conséquent, l'UE et ses États membres devraient poursuivre leurs efforts pour devenir plus résilients en vue de recenser et de relever efficacement les menaces et les défis actuels et émergents.
Remettre de l’ordre en se focalisant sur l’essentiel
Simplifier un écosystème complexe
Le Conseil invite la Commission à voir comment en tirer parti pour simplifier l'écosystème complexe de la cybersécurité En effet, il relève qu'un grand nombre d'acteurs, dont les autorités des États membres chargées de la cybersécurité, le groupe de coopération SRI, le réseau européen d'organisations de liaison en cas de crises de cybersécurité (UE-CyCLONe), le réseau de centres nationaux de coordination, le groupe européen de certification de cybersécurité (GECC), la Commission, le Service européen pour l'action extérieure (SEAE), l'Agence de l'Union européenne pour la cybersécurité (ENISA), le Centre de compétences européen en matière de cybersécurité, le CERT-UE, l'Agence européenne de défense (AED) et le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol, font partie de l'écosystème de la cybersécurité de l'UE, chacun participant à la mise en œuvre du cadre de cybersécurité à l'échelle de l'Union.
Pour l’ENISA, établir une hiérarchie des priorités
Au cours des vingt dernières années, l'ENISA s'est révélée être une entité extrêmement utile dans l'écosystème européen de cybersécurité, jouant un rôle crucial pour ce qui est de soutenir activement les États membres et les institutions de l'UE. Or, les responsabilités de l'ENISA ont été considérablement élargies par des initiatives législatives récentes, notamment la directive SRI 2, le règlement sur la cyberrésilience et le règlement sur la cybersolidarité. Il de mande donc de renforcer l'efficacité et la bonne utilisation des ressources. Par conséquent, il la Commission à veiller à ce que le mandat de l'ENISA soit ciblé et clairement défini, et assorti d'objectifs stratégiques concrets et de tâches hiérarchisées, en plus d'une répartition plus précise des tâches et des compétences par rapport aux autres acteurs.
Se concentrer sur son cœur de mission
Pour le Conseil, il s’agit d’envisager de rationaliser le rôle de l'ENISA en ce qui concerne les tâches qui ne sont pas au cœur de sa mission. En outre, l'élargissement des responsabilités de l'Agence et la complexité croissante des menaces et des défis dans le cyberdomaine ont donné lieu à une augmentation considérable de ses tâches, qui devrait se traduire par des ressources adéquates – humaines, financières et techniques – afin de permettre pleinement à l'ENISA d'exécuter toutes les tâches relevant de sa compétence. À cette fin, le Conseil invite la Commission à hiérarchiser les mesures et à accorder la priorité aux tâches visant à aider les États membres à renforcer leur cyberrésilience, leur coopération opérationnelle ainsi que l'élaboration et la mise en œuvre du droit de l’Union.
Allouer davantage de ressources aux missions prioritaires
Le Conseil rappelle que l'ENISA est responsable de la mise en place et du maintien de la plateforme unique de communication d'informations au titre du règlement sur la cyberrésilience, qui aura une valeur ajoutée opérationnelle concrète, en particulier pour les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité des produits comportant des éléments numériques. Par conséquent, demande à l'ENISA, en plus d'allouer des ressources humaines suffisantes, d'accélérer la mise en place de la plateforme en tant que priorité absolue afin qu'elle puisse être prête dans le délai fixé dans le règlement sur la cyberrésilience.
… Mais en même temps remplir toutes les missions allouées
Le Conseil est conscient du rôle de l'ENISA dans la création d'une base de données européenne sur les vulnérabilités,. Compte tenu de l'expiration du délai de transposition de la directive SRI 2, il l’invite à redoubler d'efforts pour assurer le bon fonctionnement de cette base de données.
En outre, l'ENISA devrait jouer un rôle central dans l'administration et le fonctionnement de la réserve de cybersécurité de l'UE. Il invite l'ENISA à commencer de répertorier les services nécessaires et leur disponibilité dès l'entrée en vigueur du règlement sur la cybersolidarité. Une fois que cette mission lui aura été confiée, il l’invite à associer les États membres, en fournissant des informations sur les appels d'offres à venir, à un stade précoce du processus de mise en place de la réserve de cybersécurité.
Enfin, l'ENISA joue un rôle essentiel dans l'élaboration de schémas européens de certification de cybersécurité, Il invite la Commission à saisir l'occasion qu'offre l'évaluation du règlement sur la cybersécurité pour trouver des moyens d'adopter une approche plus souple, plus transparente, plus rapide et fondée sur les risques.
Tout en développant ses compétences
Dans le domaine des technologies émergentes
Le Conseil souligne qu'il est essentiel de suivre les tendances concernant les technologies émergentes dans un domaine en évolution rapide comme le domaine cyber afin de maintenir et renforcer encore la posture cyber de l’Union. Il encourage l'ENISA à contribuer davantage à ces tâches.
Concernant les activités de prospective et l’évaluation de la menace
Le Conseil réaffirme la nécessité d'améliorer l'appréciation commune de la situation au niveau de l'UE, qui contribue à la posture cyber de l'UE, en ce qui concerne la détection et la prévention des incidents de cybersécurité et la réponse qui y est apportée. Il souligne à cet égard l'importance des activités de prospective, des rapports réguliers et des évaluations de la menace réalisés par l'ENISA, qui contribuent tous à améliorer l'appréciation de la situation. Dans ce contexte, il mesure le rôle important joué par l'ENISA, en collaboration avec le CERT-UE et Europol, dans le soutien apporté au Conseil au moyen de notes d'information sur la situation dans le cadre de la boîte à outils cyberdiplomatique complétant l'appréciation de la situation fournie par la capacité unique d'analyse du renseignement (SIAC). Il souligne la nécessité de dresser un tableau complet des menaces émanant de différentes sources, y compris le secteur privé.
Au sujet de la normalisation en matière de cybersécurité
Le Conseil invite la Commission et l'ENISA à envisager comment renforcer la collaboration entre l'ENISA et les organismes européens de normalisation. Il souligne la nécessité pour l'ENISA d'accroître son expertise concernant la normalisation européenne en matière de cybersécurité, notamment en assurant un suivi des activités de normalisation et en y participant.
Concernant les exercices de cybersécurité
Le Conseil estime qu'il importe d'organiser régulièrement des exercices de cybersécurité qui renforcent considérablement la préparation de l'UE à réagir aux incidents et aux crises. Il souligne que l4ENISA qu'elle devrait demeurer l'un des acteurs centraux au niveau de l'U. Il invite à ce titre l'ENISA, le réseau des CSIRT et UE-CyCLONe à faire le meilleur usage possible des exercices réguliers existants pour tester et améliorer le cadre de l'UE pour la réaction aux crises, et à exploiter au mieux les enseignements tirés.
Le tout en misant sur les collaborations
Avec le Centre de compétences européen en matière de cybersécurité
Le Conseil encourage l'ENISA et le Centre de compétences européen en matière de cybersécurité à poursuivre leur étroite coopération, en particulier en ce qui concerne les besoins et les priorités en matière de recherche et d'innovation, ainsi que les cyber- compétences, afin d'accroître la compétitivité du secteur de la cybersécurité de l'Union.
Il invite la Commission à examiner comment optimiser encore les synergies dans le fonctionnement de l'ENISA et du Centre de compétences européen en matière de cybersécurité et comment mieux rationaliser les activités conformément à leur mandat respectif.
Le Conseil rappelle en outre que l'UE et ses États membres ont souvent mis en évidence des lacunes sur le plan des compétences en matière de cybersécurité.
Il prend acte du fait que l'ENISA et le Centre de compétences européen en matière de cybersécurité sont tous deux chargés de promouvoir les compétences dans l'ensemble de l'Union.
Il invite l'ENISA à soutenir en priorité les efforts des États membres en matière de compétences et d'éducation, à sensibiliser davantage le grand public et à collaborer avec le Centre de compétences européen en matière de cybersécurité.
Avec Europol
Le Conseil insiste sur la valeur ajoutée des rapports d'évaluation conjointe de la cybersécurité (JCAR) de l'UE, qui sont le résultat de la collaboration entre l'ENISA, l'EC3 d'Europol et le CERT-UE, et qui ont déjà apporté une contribution précieuse, parmi lesquels la lutte contre la cybercriminalité. Il invite l'ENISA et Europol à continuer de collaborer de manière structurée à l'avenir.
Avec la communauté militaire
Le Conseil insiste sur le fait qu'il importe d'approfondir et de rationaliser la coopération civilo-militaire dans le domaine cyber au sein de l'UE et de procéder notamment à une répartition claire des rôles et des responsabilités entre les deux communautés, militaire et civile (à laquelle appartient l’ENISA) et entre l'UE et l'OTAN. Il encourage l'ENISA à poursuivre les arrangements de travail avec l'Agence de communication et d'information de l'OTAN (NCIA).
Avec le secteur privé
Le Conseil prend note du fait que l'ENISA a développé ces dernières années une coopération avec le secteur privé. Il l’encourage par conséquent à renforcer la coopération avec le secteur privé, en étroite collaboration avec les États membres et dans l'ensemble des entités de l'UE.
synthèse du texte par Pierre Berthelet alias securiteinterieure.fr
A lire sur securiteinterieure.fr :
- Le projet de cyberacadémie : le monde de la sécurité intérieure est aussi concerné
- Politique européenne de cyberdéfense: l'UE veut utiliser les dernières technologies d'intelligence artificielle pour se prémunir contre les cyberattaques
- L'impulsion politique est donnée pour des schémas de certification de cybersécurité, une capacité de cyber-renseignement et des centres de surveillance des cybermenaces
- Cybersécurité: l'Europe densifie son architecture institutionnelle pour se doter d'un "cyberbouclier"
- Directive "SRI 2" : l’Europe crée un CyCLONe pour gérer les crises cyber
- Cadre européen de certification, centre de recherche, cyberdissuasion : les nouveautés du plan européen de 2017 en matière de cybersécurité
- "L’agence européenne de cybersécurité ne doit pas être un donneur d’ordre aux agences nationales"
- Cybersécurité : un rapport préconise d’avoir une vision plus harmonisée des opérateurs de services essentiels (OES)
- L'Europe veut se doter d'un "Réseau de compétences en cybersécurité" et d'un "Centre européen de compétences industrielles"
Aucun commentaire:
Enregistrer un commentaire
remarques et suggestions à formuler à securiteinterieure [à] securiteinterieure.fr
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.