Le Conseil de l'UE a adopté, vendredi 8 juin, sa position de négociation sur le règlement relatif à la cybersécurité, sans le soutien de la Hongrie, qui s'est abstenue. Du côté des parties prenantes, la fédération des employeurs privés et l'association des consommateurs ont toutes deux émis des réserves sur ce texte, sur lequel le Parlement doit se prononcer le 19 juin prochain.
Ce projet fixe les objectifs, les tâches et les aspects organisationnels de l'Agence de l'Union européenne pour la cybersécurité (ENISA) et crée un cadre pour l'établissement de systèmes européens de certification de cybersécurité. La position du Conseil, qui avait déjà reçu le soutien des ambassadeurs nationaux, reprend dans les grandes lignes les propositions de la Commission.
Lors du tour de table, de nombreuses délégations ont insisté sur l'importance de doter l'Agence de suffisamment de moyens. La Lituanie, de son côté, a insisté sur le rôle « opérationnel » que devait jouer l'ENISA, c'est-à-dire 'sur demande' et pour 'compléter' l'action des États membres.
Plusieurs délégations ont appelé à améliorer le texte lors des négociations interinstitutionnelles avec le Parlement européen. Ainsi, la Pologne a insisté sur l'importance de retravailler les conditions de conformité et les pouvoirs des États membres pour définir les conditions de sécurité et le Royaume-Uni a souligné l'importance d'agir sur la durée de vie des produits, afin que ceux-ci soient sûrs dès leur conception. Les Pays-Bas ont été plus virulents puisqu'ils ont regretté que l'orientation générale ne soutienne pas un mécanisme de certification et d'auto-évaluation « obligatoire ». « Nous déplorons que ce soit facultatif, car nous pensons que ce ne sera pas suffisant pour faire face aux menaces », a déclaré la ministre néerlandaise pour l'Infrastructure et la Gestion des eaux, Cora Van Nieuwenhuizen.
La Hongrie, de son côté, s'est abstenue invoquant notamment qu'une grande partie des pièces composant un produit TIC était fabriquée dans des pays tiers. « Les exigences de certification devraient être suffisamment détaillées et les États membres devraient disposer d'outils de sauvegarde efficaces en ayant la possibilité de contester la validité de la certification dans des cas justifiés », note la délégation dans une déclaration jointe au procès-verbal.
Réactions
La fédération des employeurs privés, BusinessEurope, a immédiatement publié un communiqué de presse regrettant que l'industrie ne soit pas davantage associée au mécanisme de certification. Elle a aussi mis en garde contre des velléités de rendre ce système obligatoire, ce qui, selon elle, entrainerait de la fragmentation et ne serait pas adapté aux développements futurs.
Le Bureau européen des unions de consommateurs (BEUC) a exprimé l'avis contraire, déplorant que le système de certification ne soit que volontaire. Il a également regretté l'absence d'« exigences minimales en matière de cybersécurité » pour les fabricants, telles que les mises à jour de sécurité ou le cryptage d'objets. L'approche générale peut être consultée à la page : https://bit.ly/2kPSEjk . (Sophie Petitjean)