Les certifications européennes de cybersécurité devraient attendre 2024

L’Union européenne a récemment adopté la révision de la directive NIS relative à la cybersécurité. Toutefois, la politique commune d’évaluation et de labellisation des technologies de cybersécurité, qui aurait dû être effective en même temps que NIS 2, tarde à aboutir.

Selon plusieurs professionnels du secteur, l’adoption de ces certifications européennes de cybersécurité n’adviendra pas avant 2024.

Le but de cette normalisation est de permettre aux agences nationales de cybersécurité (comme l’ANSSI) ou aux CESTI nationaux d’établir des audits de solutions cyber valables dans toute l’Union européenne. Ce qui faciliterait l’adoption de technologies robustes et communes, chaque État pouvant bénéficier des meilleurs logiciels des Vingt-Sept.

Mais les groupes de travail peinent à trouver un terrain d’entente sur ces certifications. Certes, les négociateurs ont réussi à s’entendre sur deux niveaux de labellisation de la cybersécurité en ligne, l’un correspondant à la certification allemande C5, l’autre, plus exigeant, reprenant le SecNumCloud français.

Les discussions continuent d’achopper sur l’imperméabilité au droit étranger, notamment américain. La France plaide pour une rigueur maximale, et veut interdire aux entreprises les plus sensibles l’utilisation de technologies cloud tombant sous le coup de la loi américaine.

D’autres États, notamment à l’Est de l’Europe, ne veulent pas s’opposer à leur allié américain dans un contexte géopolitique aussi tendu.