Un amendement au règlement (UE) 2019/881 du parlement européen et du conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013) (règlement sur la cybersécurité, ou CSA) a été publié en janvier 2025 afin d’intégrer les services de sécurité gérés aux côtés des produits, services et processus des technologies de l’information et de la communication (TIC) comme cibles possibles de schémas de certification en cybersécurité européens.
Adopté en décembre 2024, le règlement (UE) 2025/37 du parlement européen et du conseil du 19 décembre 2024 modifiant le règlement (UE) 2019/881 en ce qui concerne les services de sécurité gérés permet de traiter les services de sécurité gérés comme une catégorie à part entière de services certifiables dans le cadre du CSA. En plus des objectifs déjà visés par le CSA, comme la réduction de la fragmentation du marché européen en matière de certification en cybersécurité et l’amélioration générale du niveau de cybersécurité de l’UE à travers l’acquisition de certifications à portée dans toute l’UE, cet amendement permet de soutenir la mise en œuvre d’autres initiatives européennes en la matière. En effet, les fournisseurs de services de sécurité gérés sont considérés comme des acteurs cruciaux pour aider les entreprises à atteindre une certaine capacité et maturité en cyberdéfense, telle que demandée pour les entités concernées par la directive (UE) 2022/2555 du parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (la directive NIS 2) ou les forces vives de la réserve cybersécurité du règlement (UE) 2025/38 du parlement européen et du conseil du 19 décembre 2024 établissant des mesures destinées à renforcer la solidarité et les capacités dans l’Union afin de détecter les cybermenaces et incidents, de s’y préparer et d’y réagir et modifiant le règlement (UE) 2021/694 (règlement sur la cybersolidarité). La certification, à travers un schéma de certification européen harmonisé, de ces acteurs fournira un gage de haute qualité des professionnels qui les constituent. Précisons toutefois qu’un tel schéma est à construire par l’ENISA (l’agence européenne de cybersécurité).
Des exemples typiques de services de sécurité gérés incluent la consultance en sécurité informatique, la prestation de tests de pénétration des systèmes des TIC, la réalisation d’audits, et la gestion des incidents de sécurité. Cependant, d’autres activités sont également concernées : threat intelligence, gestion des vulnérabilités, etc.
Rappelons qu’au Grand-Duché de Luxembourg, l’autorité nationale de certification en cybersécurité (ANCC) telle que définie par le CSA est l’ILNAS. Pour plus d’informations sur le cadre général du CSA et les schémas de certifications en cybersécurité actifs ou en développement, vous pouvez consulter le site de certification de l’ENISA.