Acte de cybersolidarité: les États membres conviennent d'une position commune pour renforcer les capacités de cybersécurité dans l'UE
Afin de renforcer la solidarité et les capacités de l'UE à détecter, préparer et répondre aux menaces et incidents de cybersécurité, les représentants des États membres (Coreper) sont parvenus à une position commune sur ce que l'on appelle « l'acte de cybersolidarité » . Le projet de règlement établit les capacités de l'UE pour rendre l'Europe plus résiliente et plus réactive face aux cybermenaces , tout en renforçant les mécanismes de coopération.
L'accord d'aujourd'hui constitue une nouvelle étape vers l'amélioration de la cyber-résilience en Europe. Cela renforcera certainement les capacités de l'UE et des États membres à se préparer, à prévenir, à réagir et à se remettre des cybermenaces et attaques à grande échelle de manière plus efficace et efficiente.
Principaux objectifs de la proposition de la Commission
La proposition de la Commission vise principalement à :
- soutenir la détection et la sensibilisation aux menaces et incidents de cybersécurité importants ou à grande échelle
- renforcer la préparation et protéger les entités critiques et les services essentiels, tels que les hôpitaux et les services publics
- renforcer la solidarité au niveau de l’UE, la gestion concertée des crises et les capacités de réponse dans tous les États membres
- contribuer à garantir un paysage numérique sûr et sécurisé pour les citoyens et les entreprises
Afin de détecter rapidement et efficacement les cybermenaces majeures, le projet de règlement établit un « cyber bouclier européen » , qui est une infrastructure paneuropéenne composée de centres d'opérations de sécurité (SOC) nationaux et transfrontaliers dans toute l'UE. Il s’agit d’entités chargées de partager des informations et chargées de détecter et d’agir contre les cybermenaces. Ils utiliseront des technologies de pointe, telles que l’intelligence artificielle (IA) et l’analyse avancée des données, pour détecter et partager en temps opportun des alertes sur les cybermenaces et les incidents transfrontaliers. À leur tour, les autorités et les entités concernées seront en mesure de réagir plus efficacement aux incidents majeurs.
Le projet de règlement prévoit également la création d’un mécanisme de cyber-urgence pour accroître la préparation et renforcer les capacités de réponse aux incidents dans l’UE. Il prendra en charge :
- des actions de préparation , notamment en testant les entités des secteurs hautement critiques (santé, transports, énergie, etc.) pour détecter les vulnérabilités potentielles, sur la base de scénarios et de méthodologies de risque communs
- une nouvelle réserve de cybersécurité de l'UE composée de services de réponse aux incidents fournis par des prestataires de confiance du secteur privé pré-contractés et donc prêts à intervenir, à la demande d'un État membre ou d'institutions, organes et agences de l'UE, en cas de problème de cybersécurité important ou à grande échelle incident
- assistance mutuelle en termes financiers, où un État membre pourrait offrir son soutien à un autre État membre
- Enfin, le règlement proposé établit un mécanisme d'examen des incidents de cybersécurité visant à renforcer la résilience de l'UE en examinant et en évaluant les incidents de cybersécurité importants ou à grande échelle après qu'ils se sont produits, en tirant les enseignements tirés et, le cas échéant, en émettant des recommandations visant à améliorer la cyberposture de l'UE. À la demande de la Commission ou des autorités nationales, l' agence de cybersécurité de l'UE (ENISA) examinerait certains incidents de cybersécurité et présenterait un rapport contenant les enseignements tirés et des recommandations.
Les amendements du Conseil
La position du Conseil maintient l'orientation générale de la proposition de la Commission mais modifie le projet de règlement sur les aspects suivants :
- il clarifie la terminologie et adapte le texte aux spécificités des États membres, notamment en ce qui concerne les SOC et le cyberbouclier
- en ce qui concerne l'objet et la portée , le libellé a été amélioré sur les mesures de réponse et de rétablissement, ainsi que sur les dispositions faisant référence à la sécurité nationale
- les définitions ont été modifiées et alignées sur d'autres législations, principalement la directive récemment révisée sur les réseaux et les systèmes d'information («NIS 2»)
- le caractère volontaire de la participation des États membres aux mécanismes établis par la proposition de la Commission a été souligné tout au long du texte et les interactions entre les entités existantes et celles définies par le projet de règlement ont été clarifiées
- le rôle de l'agence européenne pour la cybersécurité (ENISA) a été renforcé et clarifié tout au long du texte
- des améliorations ont été apportées en matière de passation des marchés, de financement, de partage d'informations et de mécanisme d'examen des incidents.
Prochaines étapes
L'accord intervenu aujourd'hui sur la position commune du Conseil (« mandat de négociation ») permettra à la prochaine présidence d'entamer des négociations avec le Parlement européen (« trilogues ») sur la version finale de la législation proposée.
Arrière-plan
Le 18 avril 2023, la Commission a adopté la proposition de règlement établissant des mesures visant à renforcer la solidarité et les capacités de l'UE à détecter les menaces et incidents de cybersécurité, à s'y préparer et à y répondre, dénommée «acte de cybersolidarité».
L’origine d’une telle proposition législative est multiple. La stratégie de cybersécurité de l’UE adoptée en décembre 2020 mentionnait la création d’un cyber-bouclier européen, renforçant les capacités de détection des cybermenaces et de partage d’informations au sein de l’UE. Les 8 et 9 mars 2022, les ministres des États membres de l'UE en charge des télécommunications se sont réunis de manière informelle à Nevers et ont exprimé le souhait que l'UE se prépare pleinement à faire face à des cyberattaques à grande échelle. Les conclusions du Conseil de mai 2022 sur la cyber-posture ont souligné la nécessité de combler les lacunes en termes de réponse et de préparation aux cyberattaques, en demandant à la Commission de présenter une proposition relative à un nouveau fonds d'intervention d'urgence pour la cybersécurité.
La proposition de la Commission introduit donc un « cyber bouclier européen », composé de centres d'opérations (SOC), regroupés au sein de plusieurs plateformes SOC multi-pays financées par le programme Europe numérique. Le budget total de toutes les actions menées dans le cadre de la loi européenne sur la cyber-solidarité s'élève à 1,1 milliard d'euros, dont environ les deux tiers seront financés par l'UE via le programme pour une Europe numérique.