La commission de l’Industrie, de la Recherche et de l’Énergie (ITRE) du Parlement européen a adopté jeudi (7 décembre) son projet de rapport de la loi sur la cybersolidarité (Cyber Solidarity Act), tandis que le dossier est toujours en suspens au Conseil de l’UE.
Le Cyber Solidarity Act vise à renforcer les capacités de cyberrésilience de l’UE afin de détecter et de répondre aux menaces et incidents cybernétiques à grande échelle en établissant une « cyberréserve » de fournisseurs de confiance certifiés pour mener des activités de prévention et de réponse.
Les eurodéputés espèrent commencer les négociations interinstitutionnelles l’année prochaine. Toutefois, lors d’une réunion ministérielle qui s’est tenue mardi (5 décembre), de nombreux États membres de l’UE ont exprimé leur scepticisme à l’égard de la proposition et ont appelé à éviter la duplication des structures existantes.
« Ce texte législatif vise à accroître la coopération entre les États membres, à gagner en capacités et à développer rapidement des compétences pour être plus résilient et préserver nos démocraties et le bien-être des citoyens », a expliqué à Euractiv Lina Gálvez Muñoz, rapporteure et vice-présidente de la commission ITRE qui a porté le dossier.
Dans la dernière version du projet de rapport, des amendements ont été proposés sur des questions budgétaires, des liens plus forts pour soutenir le partage d’informations sur les menaces entre les secteurs public et privé, ainsi que des liens avec d’autres initiatives.
D’autres aspects importants du texte sont l’accès aux renseignements sur les cybermenaces pour les centres d’opérations de sécurité (SOC) transfrontaliers, l’exclusion des pays qui ne font pas partie de l’accord de l’Organisation mondiale du commerce (OMC) sur les marchés publics, et des mesures plus concrètes pour les évaluations.
« C’est une bonne chose que le Parlement ait clarifié le fait que la réserve ne devrait être composée que de fournisseurs de confiance qui ne sont pas excessivement contrôlés ou influencés par des gouvernements de pays tiers qui ne sont pas des partenaires de confiance », a déclaré l’eurodéputée démocrate-chrétienne Angelika Niebler à Euractiv.
Les principaux changements
L’un des changements les plus importants par rapport au texte original concerne le budget. En effet, les initiatives telles que le mécanisme de cybersécurité et la cyberréserve n’étaient pas prévues pour la période 2021-2027 du budget à long terme de l’UE, le cadre financier pluriannuel (CFP).
« Je trouve problématique que la Commission ait proposé de réaffecter les fonds des projets d’IA et de développement des compétences pour financer ces nouvelles mesures. Une main-d’œuvre solide et diversifiée dans le domaine de la cybersécurité est la base d’un dispositif de cybersécurité résilient », a expliqué Mme Niebler.
En réduisant le budget de la cyberréserve, le Parlement européen veut s’assurer que les nouvelles initiatives aient le moins d’impact possible sur la réduction du financement d’autres priorités du programme pour une Europe numérique (DIGITAL).
« Le montant des ressources financières consacrées à la réserve de cybersécurité […] devrait être principalement tiré des marges non allouées sous les plafonds du CFP ou mobilisé par le biais des instruments spéciaux non thématiques du CFP », peut-on lire dans le projet de rapport.
L’Agence de l’Union européenne pour la cybersécurité (ENISA) devrait recevoir des fonds supplémentaires pour soutenir la mise en place de la cyberréserve de l’UE sans mettre en péril le programme pour une Europe numérique.
Un délai de 24 heures est désormais imposé pour répondre aux demandes de la cyberréserve de l’UE. Le projet de rapport chargeait en outre la cyberréserve d’assurer le développement des microentreprises, des PME et des start-ups, ainsi que l’investissement dans la recherche et l’innovation (R&I) pour les technologies de pointe.
Afin d’éviter le chevauchement des initiatives, la Commission sera chargée d’échanger avec les gouvernements nationaux et l’Organisation du traité de l’Atlantique Nord (OTAN).
Les centres nationaux d’opérations de sécurité devraient pour leur part renforcer la coopération et le partage d’informations entre les entités publiques et privées. Le texte prévoit un lien plus étroit entre ces centres et les centres de partage et d’analyse de l’information (ISAC) dirigés par l’industrie, ce qui devrait améliorer l’échange de renseignements sur les cybermenaces.
Pour aider les centres d’opérations de sécurité ou les centres de réponses aux incidents de sécurité informatique (CSIRT) à détecter les menaces et à partager les informations, les amendements leur permettent désormais de demander à un fournisseur de services de sécurité gérés des données de télémesure, la journalisation et les données fournies par des capteurs concernant des infrastructures critiques nationales.
Les centres d’opérations de sécurité transfrontaliers pourraient acquérir des renseignements sur les cybermenaces auprès d’entreprises de pays partageant les mêmes idées, excluant les pays tiers qui ne font pas partie de l’accord sur les marchés publics.
Il est intéressant de noter que la Chine et la Russie négocient actuellement leur adhésion à cet accord de l’OMC.
Afin d’assurer un contrôle adéquat de la mise en œuvre du Cyber Solidarity Act, le Parlement européen a chargé la Commission d’évaluer tous les deux ans le fonctionnement des mesures et de soumettre un rapport au Parlement et au Conseil de l’UE.
Les travaux du Conseil
Lors du Conseil « Transports, télécommunications et énergie », qui s’est tenu mardi (5 décembre), les ministres européens du numérique ont pris note du rapport sur l’état d’avancement de la proposition, convenant que des travaux supplémentaires sont nécessaires au niveau technique pour parvenir à une position afin de pouvoir débuter les négociations avec le Parlement européen.
Il y a deux semaines, le Conseil a déjà discuté du dossier au niveau des ambassadeurs. Les sujets de préoccupation comprenaient l’accessibilité de la cyberréserve aux pays tiers, le rôle des centres de réponses aux incidents de sécurité informatique, et les risques de duplication des centres d’opérations de sécurité et des équipes de réponses aux incidents de sécurité informatique nationaux et transfrontaliers.
Au niveau technique, le rôle de l’ENISA, le fonctionnement et la gestion de la cyberréserve et la duplication avec les structures administratives et les initiatives existantes, notamment la directive NIS-2, font partie des sujets de discussion.
« Nous espérons pouvoir entamer les négociations avec le Conseil dès que possible afin de rendre possible cette législation, qui renforcera l’autonomie stratégique ouverte de l’UE », a ajouté l’eurodéputée Mme Gálvez Muñoz.
[Édité par Anne-Sophie Gayet]