Les négociateurs du Parlement européen et du Conseil de l'UE sont parvenus à boucler, dans la soirée de lundi 10 décembre, les derniers détails de l'Acte pour la cybersécurité destiné à protéger l'Europe contre les attaques en ligne. Le Parlement a accepté d'abandonner l'idée d'une certification obligatoire à court terme, se contentant d'une clause de révision.
Selon la Commission européenne, les attaques informatiques au moyen de rançongiciels ont triplé entre 2015 et 2017 tandis que les effets de la cybercriminalité sur l'économie ont été multipliés par cinq depuis 2013.
Les nouvelles règles accordent donc un mandat permanent et des tâches renforcées à l'Agence européenne pour la cybersécurité (ENISA) dont le mandat aurait expiré autrement en 2020. Elles introduisent également un système européen de certification de cybersécurité visant à garantir que les normes de cybersécurité sont respectées par les produits et services commercialisés dans les pays de l’UE. « C’est la première fois que nous avons une loi dans le marché intérieur qui relève le défi de renforcer la sécurité des produits connectés », s'est félicité la commissaire Mariya Gabriel, en conférence de presse.
Les dernières questions sont réglées
Plusieurs questions étaient restées en suspens lors de la quatrième réunion de négociation, le 28 novembre (EUROPE 12148). Finalement, sur le caractère contraignant ou non du système de certification pour les infrastructures critiques, les colégislateurs ont choisi d'opter pour un mécanisme non contraignant, comme le voulait le Conseil. Toutefois, pour répondre aux demandes du Parlement européen, ils ont introduit une clause de révision qui charge la Commission d'évaluer, d'ici 2023, le besoin de prévoir un mécanisme obligatoire. Parallèlement, le texte prévoit la possibilité pour les entreprises de certifier elles-mêmes leurs propres produits pour certains des certificats nécessaires pour garantir un niveau minimal de cybersécurité.
À la demande du Parlement européen, les colégislateurs ont retenu la création d'un groupe (consultatif) des parties prenantes pour la certification chargé d'identifier les priorités du programme de travail pour la certification. Ils ont également accordé au groupe européen de certification la possibilité de soumettre à l'ENISA un système candidat sans que cela soit prévu dans le programme de travail. Ils ont par ailleurs validé le principe selon lequel les consommateurs devaient être mieux informés sur le niveau de cybersécurité des produits et services certifiés.
En ce qui concerne l'agence ENISA, les colégislateurs se sont mis d'accord pour doubler son budget. « À l'heure actuelle, ENISA dispose de 10 millions d'euros par an. À l'avenir, elle en aura 23 millions par an », a commenté Mariya Gabriel, rebondissant sur une information du rapporteur, Angelika Niebler (PPE, allemande), selon laquelle les membres de l'agence allaient passer de 80 personnes aujourd'hui à 160 à l'avenir. Il est à noter que le mandat du directeur exécutif de l'agence sera limité à 5 ans, comme le demandait le Parlement européen. (Sophie Petitjean)