Par Arailym, Patrick et Sondra
La route vers ce qui pourrait être appelé la maturité réglementaire est souvent longue. Dans la régulation de la cybersécurité de l’UE, une culture de collaboration verticale et horizontale est optimiste mais apparemment inefficace. Il laisse probablement l’agence de l’Union européenne pour la cybersécurité (EISA) se sentir quelque peu envieux des pouvoirs d’application centralisés récemment dévolus à la Lunder Authority (AMLA). Dans quelle mesure serait-il possible pour Enisa de suivre les traces d’Amla? Ce billet de blog examine s’il existe un espace réglementaire, ou même une base juridique solide pour la recherche à l’évolution. En raison des contextes différents de la prévention du crime financier et de la cybersécurité, les limites de l’analogie entre les trajectoires des deux agences deviendront claires.
Qu’est-ce que Enisa?
ENISA – L’Agence de l’Union européenne pour la cybersécurité, précédemment connue sous le nom d’agence européenne du réseau et de la sécurité de l’information, ce qui s’est établi en 2004 par le règlement n ° 460/2004. Il a été réformé par le règlement n ° 526/2013, qui s’est ensuite abrogé par la loi sur la cybersécurité.
La loi sur la cybersécurité a accordé à Eisa un mandat permanent ainsi que des responsabilités accrues, la transformant d’une agence «Cendrillon» en une entité de cybersécurité clé dans l’UE. Enisa vise à atteindre un niveau commun de cybersécurité élevé à travers l’Union. Ses principales tâches comprennent:
- Soutenir la mise en œuvre de la législation de l’UE et le développement des normes de cybersécurité à l’échelle de l’UE
- Améliorer la coopération opérationnelle et la coopération entre les États membres, les institutions syndicales et les acteurs du secteur privé
- Gérer les programmes de certification de cybersécurité pour accroître la confiance dans les technologies de l’information et de la communication (TIC)
Crédits photo: site Web d’Eisa
L’émergence d’Amla
L’évolution du cadre de lutte contre les arrosage de l’UE a connu des progrès notables, à partir de la directive initiale de lutte contre les lutte contre le monnaie (AMLD1) en 1990 aux dernières mises à jour avec AMLD6, Règlement sur le blanchiment de l’argent (AMLR) et la régulation de l’autorité de lutte contre le jardin (AMLAR). Cette évolution signifie l’élargissement de l’objectif réglementaire qui a ciblé à l’origine le trafic de médicaments dans les années 1990, évoluant vers un cadre robuste qui traite des crimes financiers complexes comme le blanchiment d’argent cyber-compatible. Un changement significatif s’est produit avec AMLD3, qui a adopté des approches basées sur le risque pour la diligence raisonnable des clients (CDD). La promulgation d’AMLD4 a amélioré la transparence en créant un registre central obligatoire pour les informations de propriété bénéfique, un raffinement encore augmenté par AMLD5 (2018), qui nécessitait l’accessibilité du public. Les introductions récentes d’AMLR, AMLAR et AMLD6 établissent une surveillance centralisée tout en s’adaptant aux progrès technologiques en créant un organe de surveillance unifié à travers l’UE, en standardissant efficace les initiatives anti-blanchiment parmi les nouveaux obstacles technologiques. Cette évolution illustre l’application directe et est une nouvelle forme de débordement fonctionnel qui provient de la pression interne et de la nécessité fonctionnelle, plutôt que de crises externes. Cela indique que la réalisation des objectifs de politique établis nécessite l’expansion et l’application uniforme du droit de l’UE. Ci-dessous, nous approfondissons pourquoi et comment l’application directe est essentielle pour que Eisa atteigne un niveau commun de cybersécurité élevé dans toute l’UE.
Pourquoi Enisa devrait-il suivre la même trajectoire que AMLA?
La fréquence et la sophistification croissantes des cybermenaces présentent des risques importants pour les activités économiques, les services publics et la vie privée des citoyens. Ces dernières années, l’UE a mis en œuvre plusieurs lois sur la cybersécurité, la recherche en tant que Loi sur la cybersécurité, la directive NIS 2, la Cyber Resilience Act et la Cyber Solidarity Act.
Les législations de thèse ont élargi les capacités d’Enisa, mais elles sont insuffisantes pour l’ambition de l’UE d’améliorer la cybersécurité à travers l’Union, car le succès des politiques de cybersécurité de l’UE repose sur la mise en œuvre des États membres. Par exemple, la directive NIS 2 n’a jusqu’à présent été que Transtod par seulement quatre États membres, ce qui a incité la Commission européenne à ouvrir une procédure d’infraction contre 23 États membres. Cela prérégle un réel risque de fragmentation à travers l’UE, ce qui entrave la cybersécurité efficace. Du point de vue de la réversion fonctionnelle, la menace croissante de la cybersécurité et les approches divergentes parmi les États membres suggèrent que le rôle d’Enisa pourrait avoir besoin d’évoluer au-delà de sa fonction consultative et coordonnée initiale vers les pouvoirs d’application.
La situation confrontée à Enisa reflète des agences de contexte antérieures d’Amla a émergé en réponse à des pratiques nationales fragmentées et à des menaces transfrontalières qui nécessitent des réponses unifiées et robustes. Cependant, alors que l’AMLA a obtenu des pouvoirs d’application limités en raison de l’inefficacité de l’approche desséchée précédente et de la laque de coopération entre les superviseurs nationaux de LMA / CFT, Eisa reste confinée aux fonctions de coordination et de conseil. Dans une certaine mesure, on pourrait faire valoir que l’affaire d’Enisa ressemble à AMLA et à l’octroi de pouvoirs d’application d’Enisa, la conformité aux normes de cybersécurité de l’UE et à atteindre un niveau commun de cybersécurité élevé à travers l’Union.
Cependant, cela pourrait être une mission impossible ou qui se trouve dans un avenir assez lointain … L’application directe pour la randonnée en Enisa fait face à une ascension abrupte, bloquée par les compétences limitées de l’UE en matière de sécurité, à la zone encore farouchement gardée par les États membres.
Comment cette trajectoire peut être bénéfique
Comme mentionné ci-dessus, la seule compétence des États membres en matière de sécurité publique et nationale (regatée en vertu de l’article 4, paragraphe 2), limite actuellement la capacité d’Enisa à acquérir des pouvoirs directs d’application directe; Il existe cependant un précédent pour dérogation de l’exemption de sécurité nationale, comme on peut le observer dans le cas international de la vie privée (paragraphe 44) en relation avec la directive E-Privacy.
Pour l’instant cependant, nous devons prendre de l’avance, mais envisagez plutôt certaines étapes préliminaires qui peuvent prendre à Enisa à une certaine distance le chemin du Beate d’Amla. Une condition préalable de toute centralisation est une délinaison sans équivoque du rôle de l’agence dans un environnement réglementaire bondé. L’élaboration du paysage de la cybersécurité de l’UE au cours des dernières années a conduit à un brouillage des frontières entre les compétences des entités impliquées, en particulier avec l’émergence de plusieurs réseaux et centres au niveau de l’UE visant à Pearare pour, répondre ou analyser les menaces et les incidents de cybersécurité. Bien que la notion de collaboration semble être privilégiée dans la politique de la cybersécurité de l’UE, le manque de spécialisation exclusive de la part d’Enisa ancien dans le mine de toute procédure d’application future pour l’agence. Ainsi, les décideurs doivent identifier les tâches et les responsabilités dont l’exécution permettrait à Eisa de contribuer de manière très optimale à l’amélioration de la cybersécurité de l’UE. Cette hiérarchisation des tâches permettrait à Eisa d’améliorer son efficacité opérationnelle, et finalement sa réputation, potentiel ouvrant la voie à une transition vers un rôle plus respectueusement autonome.
|
Enisa |
Amla |
|
|
Base juridique |
Cybersecurity Act (2019) & NIS2 Directive |
Règlement AML / CFT (2024) & AMLD6 |
|
Pouvoirs d’application |
Aucune application directe (soutient les autorités nationales) |
Application directe (40+ entités financières à haut risque (crypto, institutions transfrontalières)) |
|
Focus du secteur |
Tous les secteurs critiques (énergie, santé, transport, infra numérique) |
Priorité du secteur financier, surveillance limitée non financière |
|
Outils d’application |
Application technique, c’est-à-dire, certification de cybersécurité, rapport de vulnérabilité; Outils opérationnels, c’est-à-dire, la plate-forme de cyber d’exercice pour les simulations de crise, la coordination du réseau CSIRT; LETTRICUDE DE CONFORMATE |
Mesures correctives, à savoir, les restrictions des opérations, les structures gouvernementales; Sanction financière, à savoir, les amendes; Pouvoir d’investigation. |
|
Règlement des litiges |
Recommandations non contraignantes par le biais du groupe de coopération |
Arbitrage contraignant dans les conflits de supervision transfrontaliers |
Ce billet de blog est écrit par des master étudiants de l’Université Utrecht.
