Les ambassadeurs nationaux auprès de l'UE (Coreper) ont donné leur accord, vendredi 25 mai, sur le projet de compromis préparé par la Présidence bulgare du Conseil sur le projet de règlement concernant l'Acte pour la cybersécurité et l'Agence européenne de la cybersécurité. Cette étape ouvre la voie à une approche générale des ministres européens au Conseil 'Télécommunications' du 8 juin.
Pour rappel, la proposition législative, présentée le 13 septembre, octroie un mandat permanent à l'actuelle Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Elle établit également un cadre européen de certification de la cybersécurité pour les produits et services des technologies de l'information et de la communication (TIC) et des règles communes régissant les systèmes européens de certification de la cybersécurité (EUROPE 11865).
Au Conseil, les ministres doivent se prononcer sur leur position le 8 juin, tandis qu'au Parlement, le vote en commission de l'industrie est prévu le 19 juin.
Le compromis sur la table
Le projet de compromis préparé par la Présidence bulgare reprend les grands principes de la proposition de règlement, tout en veillant à ne pas forcer la main aux États membres (EUROPE 12008). Il précise, par exemple, que la future Agence européenne pour la cybersécurité peut soutenir les États membres « à leur demande ». Il stipule également que le recours à la certification européenne en matière de cybersécurité et à la déclaration de conformité de l'UE devrait rester « volontaire », à moins qu'il en soit autrement dans le droit national ou européen.
Le changement le plus notable porte sur l'introduction d'un « système européen d'auto-évaluation de la cybersécurité », qui relèverait de la responsabilité des fabricants et des fournisseurs de produits et services TIC (considérant 55). Ce système, qui devrait être clairement identifiable par le consommateur, s'appliquerait aux produits et services à faible complexité (comme les mécanismes de production et la conception simple) qui présentent un faible risque pour l'intérêt public. Le fabricant ou le fournisseur devrait néanmoins adresser une copie de la déclaration de conformité européenne à l'autorité de certification nationale et à l'Agence européenne de cybersécurité et conserver les documents pendant une période « déterminée » dans le régime de certification (au lieu des 10 ans envisagés précédemment).
Pour le reste, le texte prévoit que le niveau d'assurance soit proportionnel au niveau de risque associé à l'utilisation prévue d'un processus, d'un produit ou d'un service TIC. Il souligne que les spécifications techniques à utiliser dans le système européen de certification devraient être identifiées en respectant les principes énoncés dans le règlement sur la normalisation européenne (1025/2012), sauf dans des cas « dûment justifiés » qui doivent être rendus publics. Et il prévoit la création d'un Groupe européen de certification en cybersécurité.
Pour le Parlement, le rapport d'Angelika Niebler (PPE, allemande), qui sera soumis au vote le 19 juin, est disponible depuis fin mars (EUROPE 11994). La position de la commission du marché intérieur, qui intervient en tant que commission associée, a été adoptée le 17 mai (EUROPE 12022). (Sophie Petitjean)