Chaque pays a une approche spécifique de la législation et de la réglementation. D’un point de vue procédural, la législation est produite par un corps législatif (par exemple, le parlement), tandis que la réglementation (législation secondaire, législation déléguée ou législation subordonnée) est émise par la bureaucratie. Toutefois, la publication d’une directive particulière en matière de cybersécurité sous forme de législation ou de réglementation relève de la tradition politique et juridique de chaque pays.
En outre, les pays ne sont pas la seule source de réglementation de la cybersécurité : celle-ci peut également provenir d’organismes internationaux de plus haut niveau. Par exemple, le Forum mondial de l’harmonisation des règlements concernant les véhicules a adopté en 2020 un règlement des Nations Unies sur la cybersécurité des logiciels dans les véhicules. Dans le contexte africain, l’Union africaine (UA) a adopté la Convention sur la cybersécurité et la protection des données à caractère personnel (connue sous le nom de Convention de Malabo) en 2014. Cette convention a été suivie par la publication des Lignes directrices sur la protection des données personnelles pour l’Afrique, une mesure collaborative entre l’Internet Society et l’UA en 2018.
Dans bien des cas, les gouvernements nationaux sont libres de choisir s’ils adoptent les réglementations négociées au niveau international dans leurs propres lois et réglementations nationales. Cependant, les gouvernements peuvent avoir déjà accepté d’adopter toutes les réglementations émises par un organisme international spécifique. L’adoption de normes industrielles internationales fait également l’objet de fortes incitations économiques : par exemple, si un pays veut exporter des voitures, ses entreprises doivent respecter les normes internationales en matière de sécurité automobile.
Une façon de simplifier l’approche de la législation et de la réglementation consiste à commencer par la stratégie nationale. Cette stratégie doit définir la vision et les objectifs nationaux en matière de cybersécurité. Lors de l’élaboration de la stratégie, les responsables examinent quelle législation et quelle réglementation seront nécessaires pour atteindre ces objectifs et vérifient s’il existe des lacunes ou des faiblesses dans le cadre juridique et réglementaire existant. En présence de lacunes importantes ou lorsque des changements majeurs s’imposent, la stratégie peut stipuler qu’ils soient traités, par exemple en chargeant un ministère de préparer et de présenter au Parlement un projet de loi avant une certaine date.
Le Guide pour l’élaboration d’une stratégie nationale de cybersécurité décrit plusieurs éléments du cadre juridique et réglementaire sur lesquels une SNCS pourrait donner des instructions, à savoir :
(Source : Guide pour l’élaboration d’une stratégie nationale de cybersécurité, p.40, 46)