En début d’année, la directive SRI 2 (ou NIS 2 en anglais) entrait en vigueur. Quand elle sera répercutée dans les États membres, elle fournira un cadre pour resserrer la cybersécurité autour d’exigences communes, particulièrement au sein du privé et en matière de coordination face aux cyberattaques.
L’Europe prépare cependant un autre cadre, cette fois pour « renforcer la cybersécurité dans les institutions, organes et organismes » de l’Union. Justement, la proposition de règlement vient de faire l’objet d’un accord entre la Commission et le Parlement européens.
Ce règlement doit établir « un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité dans l’ensemble des entités de l’UE et créera un conseil interinstitutionnel de cybersécurité chargé de surveiller sa mise en œuvre ». La CERT-EU sera rebaptisé « Service de cybersécurité pour les institutions, organes et organismes de l’Union », tout en conservant son appellation actuelle pour des questions pratiques. Son mandat sera étendu.
Les principaux objectifs du règlement sont la création d’un cadre de gouvernance, de gestion et de contrôle des risques, la mise en place d’évaluations régulières de la maturité, la mise en œuvre de mesures de cybersécurité, la mise en œuvre d’un plan visant à améliorer la sécurité des institutions et autres organes, ainsi que le partage des informations relatives aux incidents avec la CERT-EU.