Ce cadre commun a été conçu comme un outil à l’intention des autorités chargées de superviser le secteur des communications électroniques conformément à l’article 13 bis et à l’article 4. L’élaboration de ce cadre unique présente un double avantage :
- Pour les fournisseurs de télécommunications : cela simplifie la conformité.
- Pour les autorités (régulateurs des télécommunications, autorités de protection des données) : cela permet une surveillance cohérente et facilite la collaboration entre les autorités aux niveaux national et international.
Ce cadre comprend 26 objectifs de sécurité de haut niveau, regroupés en 7 domaines. Chaque objectif précise sa pertinence au regard de l'article 13 bis et/ou de l'article 4. Il détaille également les mesures de sécurité associées, ainsi que les éléments de preuve attestant de leur mise en œuvre. Afin de souligner qu'il ne s'agit pas d'une solution unique, les mesures sont classées en 3 niveaux de sophistication : basique, standard et avancé.
Staffan Lindmark, chef de section adjoint à l' Autorité suédoise des postes et télécommunications et membre du groupe d'experts en réglementation des télécommunications de l'ENISA, a déclaré à propos de cette initiative : « L'accès à des communications électroniques fiables est essentiel dans la société actuelle. Les articles 13 a et 4 constituent ensemble un cadre réglementaire complet pour la sécurité de l'information dans le secteur des télécommunications, conçu pour garantir aux utilisateurs des services fiables et une protection adéquate de la grande majorité des données transmises quotidiennement. Ce cadre commun, élaboré par l'ENISA, permet aux autorités compétentes d'appliquer ces règles de manière cohérente à travers l'Europe. »
Le directeur exécutif d'ENISA, Udo Helmbrecht,a commenté le projet : « La sécurité est une question complexe et une priorité absolue pour l'UE. Nous devons éviter les chevauchements et les incohérences entre les différentes législations. Les experts des autorités nationales soulignent qu'il existe un chevauchement d'environ 80 % dans les mesures de sécurité que les opérateurs de télécommunications doivent prendre pour protéger la sécurité des réseaux et des services, ainsi que le traitement des données personnelles. ENISA joue un rôle de liaison entre les régulateurs des télécommunications, les autorités de protection des données et les opérateurs, aidant ainsi les États membres à mettre en œuvre la législation existante de manière efficace et économique. »
Ce cadre a été élaboré avec la contribution d'un groupe d'experts des autorités nationales compétentes (autorités nationales de régulation (ANR) et autorités de protection des données (APD)), en s'appuyant sur les expériences et les discussions antérieures relatives au suivi des articles 13 bis et 4. Ce rapport, issu des lignes directrices de l'ENISA sur les mesures de sécurité prévues à l'article 13 bis, reprend les mesures techniques et organisationnelles abordées dans les recommandations de l'ENISA pour la mise en œuvre technique de l'article 4 (section 5.2). L'ENISA continuera de collaborer avec les autorités nationales de l'UE et d'appuyer le suivi des mesures de sécurité dans le secteur des télécommunications.
