Déjà, la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (JO L 333 du 27.12.2022, p. 80) visait à « améliorer […] la cyberrésilience et les capacités de réaction en cas d’incident des entités publiques et privées, des autorités et organismes compétents ainsi que de l’Union dans son ensemble.»

Comme le pose un des considérants de ce règlement, il s’agit maintenant de s’appliquer à soi-même de manière précise ce qui est prévu  pour tous dans l’UE, à savoir « veiller à ce que les entités de l’Union suivent cet exemple, en formulant des règles qui soient compatibles avec la directive (UE) 2022/2555 et correspondent à son niveau d’ambition.»

Voici quelques autres considérants intéressants :

« Les actifs et les risques de cybersécurité identifiés dans le cadre ainsi que les conclusions tirées des évaluations régulières de la maturité en matière de cybersécurité devraient être reflétés dans le plan de cybersécurité établi par chaque entité de l’Union. Le plan de cybersécurité devrait inclure les mesures de gestion des risques de cybersécurité qui ont été adoptées.
« Étant donné qu’assurer la cybersécurité est un processus continu, il conviendrait de réexaminer régulièrement l’adéquation et l’efficacité des mesures prises au titre du présent règlement, à la lumière de l’évolution des risques de cybersécurité, des actifs et de la maturité en matière de cybersécurité des entités de l’Union. Le cadre devrait être révisé à intervalles réguliers et au moins tous les quatre ans, tandis que le plan de cybersécurité devrait être révisé tous les deux ans ou plus fréquemment, le cas échéant, à la suite des évaluations de la maturité en matière de cybersécurité ou de toute révision substantielle du cadre.
« Les mesures de gestion des risques de cybersécurité prises par les entités de l’Union devraient inclure des politiques visant, lorsque c’est possible, à rendre le code source transparent, tout en tenant compte des garanties qui protègent les droits des tiers et des entités de l’Union. Ces politiques devraient être proportionnées aux risques de cybersécurité et chercher à faciliter l’analyse des cybermenaces, sans créer d’obligation de divulguer le code d’un tiers ni de droit d’accès à ce même code qui aille outre les conditions contractuelles applicables.
« Les outils et applications de cybersécurité dont le code source est ouvert peuvent contribuer à augmenter le degré d’ouverture. Les normes ouvertes facilitent l’interopérabilité entre les outils de sécurité, ce qui profite à la sécurité des acteurs. Les outils et applications de cybersécurité en sources ouvertes peuvent mobiliser la communauté des développeurs au sens large, ce qui permet de diversifier les fournisseurs. Les sources ouvertes peuvent conduire à un processus de vérification plus transparent des outils liés à la cybersécurité et à un processus de détection des vulnérabilités mené par la communauté. Les entités de l’Union devraient donc être en mesure de promouvoir l’utilisation de logiciels libres et de normes ouvertes, en appliquant des politiques relatives à l’utilisation de données ouvertes et de codes sources ouverts dans le cadre de la sécurité par la transparence.
« En raison des différences entre les entités de l’Union, il y a lieu de faire preuve de souplesse dans la mise en œuvre du présent règlement. Les mesures en faveur d’un niveau élevé commun de cybersécurité prévu dans le présent règlement ne devraient pas inclure d’obligations qui interfèrent directement avec l’exercice des missions des entités de l’Union ou qui empiètent sur leur autonomie institutionnelle. Il convient, par conséquent, que ces entités établissent leurs propres cadres et adoptent leurs propres mesures de gestion des risques de cybersécurité et plans de cybersécurité. Lors de la mise en œuvre de ces mesures, il convient de tenir dûment compte des synergies existant entre les entités de l’Union, en vue d’une bonne gestion des ressources et d’une optimisation des coûts. Il convient également de veiller comme il se doit à ce que les mesures n’aient pas d’incidence négative sur l’efficacité de l’échange d’informations et de la coopération entre les entités de l’Union et entre les entités de l’Union et les homologues des États membres.
« En vue d’une utilisation optimale des ressources, le présent règlement devrait prévoir la possibilité que deux ou plusieurs entités de l’Union dotées de structures similaires coopèrent pour réaliser les évaluations de la maturité en matière de cybersécurité de leurs entités respectives.
« Pour éviter d’imposer une charge financière et administrative excessive aux entités de l’Union, il convient que les exigences en matière de gestion des risques de cybersécurité soient proportionnées aux risques de cybersécurité pesant sur le réseau et les systèmes d’information concernés, compte tenu de l’état de la technique en ce qui concerne ces mesures. Chaque entité de l’Union devrait s’efforcer d’allouer un pourcentage adéquat de son budget TIC à l’amélioration de son niveau de cybersécurité. À plus long terme, un objectif indicatif de l’ordre de 10 % au minimum devrait être poursuivi. L’évaluation de la maturité en matière de cybersécurité devrait déterminer si les dépenses de cybersécurité de l’entité de l’Union sont proportionnées aux risques de cybersécurité auxquels elle est confrontée. Sans préjudice des règles des traités relatives au budget annuel de l’Union, la Commission devrait tenir compte, lorsqu’elle présente sa proposition de premier budget annuel à la suite de l’entrée en vigueur du présent règlement, des obligations découlant du présent règlement lorsqu’elle évalue les besoins en matière de budget et de personnel des entités de l’Union tels qu’ils ressortent de leurs estimations de dépenses.»