Le règlement relatif aux services de sécurité gérés a été publié au JO de l’UE le 15 janvier. Il est applicable depuis le 12 février 2025. Il concerne un grand nombre d’acteurs comme nous l’avions indiqué dans notre précédent article.
Les entreprises proposant le traitement des incidents, les tests d’intrusion, les audits de sécurité et le conseil, liés à l’assistance technique, soutient à la prévention, la détection, l’analyse et l’atténuation des incidents, ainsi que la préparation et la réaction à ces incidents et le rétablissement à la suite de ceux-ci mais aussi, la fourniture de renseignements sur les cybermenaces et l’évaluation des risques liés à l’assistance technique… sont concernés par ce texte depuis le mois de février.
Le règlement intègre les services de sécurité gérés aux côtés des produits, services et processus des technologies de l’information et de la communication (TIC) dans les schémas de certification en cybersécurité européens.
Des acteurs cruciaux
Les services de sécurité gérés devront désormais être certifiés. Les fournisseurs de services de sécurité gérés sont considérés comme des acteurs cruciaux pour aider les entreprises à atteindre une certaine capacité et maturité en cyberdéfense, telle que demandée pour les entités concernées par la directive (UE) 2022/2555 du parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Par ailleurs, le texte met en œuvre un mécanisme de solidarité et de réserve de fournisseurs certifiés pour accroitre les capacités dans l’Union afin de détecter les cybermenaces et incidents, de s’y préparer et d’y réagir.
Le schéma de certification reste à construire par l’ENISA (l’agence européenne de cybersécurité).
