Règlement (UE) 2025/37 du Parlement européen et du Conseil du 19 décembre 2024 modifiant le règlement (UE) 2019/881 en ce qui concerne les services de sécurité gérés

JOUE Série L du 15 janvier 2025 et rectificatif publié au JOUE Série L du 24 janvier 2025

Le règlement 2019/881 du 17 avril 2019 établit un cadre pour la mise en place de schémas européens de certification de cybersécurité afin de garantir un niveau adéquat de cybersécurité des produits des technologies de l’information et de la communication (TIC), des services TIC et des processus TIC dans l’Union européenne.
Ce texte apporte des modifications au sein de ce règlement pour mettre en place des schémas européens de certification de cybersécurité pour les services de sécurité gérés.
Il fixe, ainsi, des objectifs de sécurité auxquels ces services de sécurité gérés doivent répondre pour assurer leur fiabilité. Ces objectifs incluent un très haut niveau de compétences, d’expertises et d’expériences ainsi que des procédures internes appropriées.
Ces services fournis à un tiers consistent à effectuer « des activités liées à la gestion des risques en matière de cybersécurité, ou à fournir une assistance dans le cadre de ces activités, telles que le traitement des incidents, les tests d’intrusion, les audits de sécurité et le conseil, y compris les conseils d’experts, liés à l’assistance technique » (reprise de la définition donnée par la directive 2022/2555 du 14 décembre 2022). En conséquence, les fournisseurs de ces services sont considérés comme étant des entités essentielles ou importantes appartenant à un secteur hautement critique au titre de cette directive.
Dans ce cadre, le texte insiste sur la nécessité pour ces entités essentielles et importantes de faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés. Précisément, la certification des services de sécurité gérés doit avoir un impact dans la sélection des fournisseurs de services de sécurité gérés de confiance.
Par ailleurs, le texte préconise l’accessibilité des schémas européens de certification de cybersécurité (y compris pour les petits acteurs tels que les microentreprises ou les collectivités locales).
Ces schémas peuvent mentionner un ou plusieurs niveaux d’assurance pour les produits TIC, services TIC, processus TIC et services de sécurité gérés (élémentaire, substantiel ou élevé). Le niveau d’assurance correspond au niveau de risque associé à l’utilisation prévue du produit, service, processus ou service de sécurité géré, en termes de probabilité et de répercussions d’un incident.
Enfin, ce texte clarifie certaines dispositions du règlement 2019/881 du 17 avril 2019 en ce qui concerne la préparation et le fonctionnement des schémas européens de certification de cybersécurité (des précisions sont apportées concernant notamment les informations que l’Agence de l’Union européenne pour la cybersécurité doit fournir lorsqu’elle transmet un schéma candidat et les groupes de travail ad hoc établis pour chaque schéma candidat).
Ce texte a fait l’objet d’un rectificatif publié au JOUE Série L du 24 janvier 2025 (correction d’une coquille).