Cybersécurité des institutions en Europe : de nouvelles règles entrent en vigueur

Au mois de juin, Commission et Parlement européens avaient trouvé un accord sur une proposition de règlement. Il met en place des mesures « destinées à assurer un niveau élevé commun de cybersécurité dans les institutions, organes et organismes de l’Union ». Il est entré en vigueur le 7 janvier 2024.

• Cybersécurité : la Commission et le Parlement européens au diapason sur le cadre institutionnel – Next

Dans son Article 5, le règlement précise que, « au plus tard le 8 septembre 2024, le conseil interinstitutionnel de cybersécurité institué en vertu de l’article 10 publie […] des lignes directrices à l’intention des entités de l’Union […] ».

De plus, « au plus tard le 8 avril 2025, chaque entité de l’Union établit […] un cadre interne de gestion, de gouvernance et de contrôle des risques de cybersécurité (ci-après dénommé «cadre»). L’établissement du cadre est placé sous la supervision et la responsabilité du niveau hiérarchique le plus élevé de l’entité de l’Union ».

Ensuite, « au plus tard le 8 juillet 2025 et au moins tous les deux ans par la suite, chaque entité de l’Union procède à une évaluation de la maturité en matière de cybersécurité portant sur l’ensemble des éléments de son environnement TIC ».

Enfin, « dans les meilleurs délais et en tout état de cause au plus tard le 8 septembre 2025, chaque entité de l’Union prend, sous la supervision du niveau hiérarchique le plus élevé, des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées afin de gérer les risques de cybersécurité identifiés dans le cadre et de prévenir et réduire les conséquences des incidents ».

Source