Les négociations interinstitutionnelles vont pouvoir démarrer entre le Parlement européen et le Conseil de l'UE sur l'acte pour la cybersécurité. Mardi 10 juillet, la commission de l'industrie (ITRE) a en effet donné son appui à une large majorité au rapport d'Angelika Niebler (PPE, allemande) sur le projet de règlement et la plénière ne devrait pas s'y opposer, en septembre prochain.
Pour rappel, le projet de règlement, présenté le 13 septembre, octroie un mandat permanent à l'actuelle Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Il établit également un cadre européen de certification de la cybersécurité pour les produits et services des technologies de l'information et de la communication (TIC) et des règles communes régissant les systèmes européens de certification de la cybersécurité (EUROPE 11865).
Certification principalement 'volontaire'
La position de la commission ITRE reprend l'idée d'une certification européenne « volontaire (...) sauf lorsque cela est justifié par une analyse de risque ». Concrètement, le rapport de la commission ITRE autorise l'auto-évaluation par les fabricants lorsque le risque est faible (niveau d'assurance 'basic') et oblige seulement les opérateurs de services essentiels à recourir à certains produits, processus ou services certifiés spécifiques (identifiés par la Commission par voie d'acte délégué).
Ces dispositions ont été décriées par le Bureau européen des unions de consommateurs (BEUC) : « Il y a des règles pour sécuriser nos voitures ou nos aliments. Mais il n'y a pas de règles pour sécuriser les produits connectés », a réagi Monique Goyens, directrice générale du BEUC. « Il est très décevant que les institutions de l'UE semblent encore sous-estimer la dimension du problème et ne soient pas disposées à y répondre en imposant la sécurité à la conception et par défaut. » A contrario, Digital Europe, qui représente l'industrie de la technologie numérique, s'est réjoui de cette approche et a appelé les colégislateurs à ne pas la remettre en question durant leurs négociations. La fédération des employeurs privés, elle, estime que le recours à l'auto-évaluation est trop restrictif.
Agence de l'UE pour la cybersécurité
Le rapport de Mme Niebler renforce également les tâches de l'Agence de l'UE pour la cybersécurité (ex ENISA). En matière de certification, par exemple, l'agence pourra procéder à des évaluations des procédures de délivrance des certificats européens de cybersécurité mises en place par les organismes d'évaluation de la conformité et à des contrôles ex post périodiques indépendants sur la conformité des produits et services TIC certifiés. Plus largement, sur demande de la Commission ou d'un État membre, elle pourra effectuer régulièrement des audits de sécurité informatique des infrastructures transfrontalières critiques dans le but d'identifier les risques potentiels pour la cybersécurité et d'identifier des recommandations pour renforcer leur résilience. Autre nouveauté : les eurodéputés suggèrent la création d'un groupe de certification des parties prenantes au sein de l'Agence, en tant qu'organe consultatif, afin d'assurer un dialogue régulier avec le secteur privé, les organisations de consommateurs, les universités et les autres parties prenantes concernées.
La position de la commission ITRE, adoptée par 56 voix pour, 5 contre et 1 abstention, représente le mandat de négociation du Parlement européen, à moins que celui-ci soit remis aux voix lors de la prochaine plénière. Si ce n'est pas le cas, vu que le Conseil a adopté sa position le 8 juin dernier, les négociations devraient démarrer après l'été (EUROPE 12037). (Sophie Petitjean)