Les négociateurs du Parlement et du Conseil ne sont pas parvenus à un accord final sur l'Acte pour la cybersécurité lors de leur réunion du mercredi 28 novembre. Ils se sont donc donné rendez-vous le 10 décembre pour un trilogue final. Deux à trois réunions techniques devraient encore se dérouler d'ici là (EUROPE 12146).
Pour rappel, le projet de règlement, présenté en septembre 2017, renforce les tâches de l'actuelle Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et établit un cadre européen de certification de la cybersécurité (EUROPE 11865). Les colégislateurs espéraient parvenir à un accord sur ce texte lors de leur quatrième réunion, le 28 novembre. Mais il n'a pas été possible de régler toutes les questions ouvertes en une heure.
D'après nos informations, les colégislateurs seraient parvenus à régler certaines questions durant ce laps de temps, par exemple, la périodicité des exercices de cybersécurité (article 6). Mais ils ne sont pas encore parvenus à une solution sur la gouvernance du cadre européen de certification de la cybersécurité (articles 20a et 43b) et l'implication des parties prenantes ni sur le caractère obligatoire du système (article 48a). Sur cette dernière question, il importe de nuancer le contenu du mandat accordé le 23 novembre à la Présidence autrichienne par rapport à ce que nous indiquions dans EUROPE 12146 (à savoir que le Conseil pourrait être prêt à envisager un système obligatoire sur la base d'une évaluation de la Commission) : le dernier compromis indique en effet que « le Conseil pourrait être prêt à envisager de prévoir une possibilité dans une législation future après une évaluation menée par la Commission ». Le mandat de la Présidence du Conseil enjoint à la Commission européenne de prendre en compte, dans son étude, la situation pour les produits/services non certifiés, l'impact coûts/bénéfices des mesures sur les fabricants et les utilisateurs, la législation en vigueur, les résultats d'une consultation publique ainsi que l'élaboration d'un délai de mise en œuvre et d'une période transitoire.
En ce qui concerne l'autre volet de la proposition, les colégislateurs discutent encore des capacités techniques de la nouvelle Agence (article 7a). Le document 4 colonnes est accessible à la page : https://goo.gl/KCvHck
(Sophie Petitjean)