La décision est tombée tard dans la soirée de mercredi 9 décembre : les ambassadeurs des États membres auprès de l'UE ont choisi Bucarest pour accueillir le siège du futur Centre de compétences en matière de cybersécurité.
La capitale roumaine a remporté la victoire contre Bruxelles, Munich, Vilnius, Luxembourg, Varsovie et León (Espagne), soit les six autres villes candidates. Bruxelles était en tête lors du premier tour de vote, avec 8 voix. Bucarest en a récolté 6, Vilnius 5, Luxembourg 3, Varsovie et León 2 et Munich 1. Cela s'est donc joué lors du second tour de vote entre Bruxelles et Bucarest, la première récoltant 12 voix et la seconde 15.
Selon le dossier de candidature, trois bâtiments sont susceptibles d'accueillir le futur centre : la Villa Rosetti, Nordului 94W et H Victoriei 109. Ils seront tous les trois disponibles dès l'adoption du règlement établissant le centre et seront capables d'accueillir une équipe de 60 personnes qui bénéficieront - en plus des avantages traditionnels - d'un « paquet promotionnel de services médicaux » pour elles et leur famille.
Mais ce qui a véritablement fait peser la balance en faveur de la Roumanie est le fait que le pays n'accueille actuellement aucune agence ni aucun organe de l'UE, ce qui a décidé bon nombre de « nouveaux États membres » à appuyer sa candidature.
Trilogues sur le centre de compétences
À ce stade, pourtant, le centre de compétences fait toujours l'objet d'intenses négociations entre le Parlement, le Conseil et la Commission (EUROPE 12615/12).
Une quatrième - et très certainement dernière - réunion de négociation est prévue pour le vendredi 11 décembre. L'objectif du nouveau règlement est d'améliorer la coordination de la recherche et de l'innovation dans le domaine de la cybersécurité dans l'UE.
Les principales pierres d'achoppement sur ce dossier sont : - la question des contributions financières des États membres, que les Vingt-sept veulent absolument garder volontaires ; - l'éventualité d'un droit de veto pour la Commission européenne au sein du conseil de direction ; - la pertinence d'un conseil consultatif, auquel s'oppose le Conseil de l'UE (EUROPE 12537/14, 12095/18, 12437/4).
D'autres initiatives sur la cybersécurité
L'UE ne ménage pas ses efforts pour prévenir et contrer les cyberattaques qui sont toujours plus nombreuses, comme en témoigne celle lancée la veille contre l'Agence européenne des médicaments (voir autre nouvelle).
Jeudi 10 décembre, l'Agence européenne de cybersécurité (ENISA) a publié de nouvelles lignes directrices pour aider les autorités européennes chargées de la sécurité des télécommunications à mettre en œuvre les exigences de sécurité du code européen des communications électroniques (CEEC) et de la boîte à outils 5G de l’UE.
Il s'agit, au travers de 29 objectifs de sécurité de haut niveau répertoriés sous 8 domaines de sécurité, d'une mise à jour de la directive technique 2014 de l'ENISA sur les mesures de sécurité au titre de l'article 13 bis de la directive-cadre de l'UE sur les télécommunications. La partie sur la 5G, elle, suggère 70 mesures de contrôle.
En outre, mercredi 16 décembre, la Commission européenne présentera un paquet de mesures qui s'articuleront autour d'une communication sur une stratégie de cybersécurité, une révision de la directive sur la sécurité des réseaux et des systèmes d'information (2016/1148) et une directive sur la résilience des entités d'importance critique (EUROPE 12595/27). (Sophie Petitjean)