La Commission européenne a présenté, mercredi 16 décembre, une série de propositions en matière de cybersécurité ayant trait tant au volet numérique qu'aux affaires intérieures et aux affaires étrangères. Elle propose notamment de passer à la majorité qualifiée (plutôt que l'unanimité) pour le régime de sanctions contre les cyberattaques.
« Ce paquet commence par reconnaître que nos outils remontent à une époque totalement différente. Il souligne le besoin de s'adapter et de se moderniser et d'améliorer nos capacités, notre préparation et notre résilience », a indiqué, en conférence de presse, le vice-président Margarítis Schinás.
Concrètement, la Commission publie une communication générale exposant les principaux chantiers. Elle présente également deux actes législatifs : une révision de la directive 2016/1148 sur la sécurité des réseaux et infrastructures (SRI) et une révision de la directive 2008/114 sur la résilience des entités critiques (CER) (voir autre nouvelle). Elle soumet également un deuxième rapport de progrès sur la sécurité des infrastructures 5G, en particulier sur la mise en œuvre de la boîte à outils qui recommande une approche basée sur le risque et encourage une approche « multifournisseur » (EUROPE 12414/7, 12222/23).
Ce paquet devrait être complété « en février 2021 » par une proposition établissant une unité commune de cybersécurité, d'après le calendrier exposé par le commissaire Thierry Breton.
SRI : de nouvelles entités « importantes »
Le Bureau européen des Unions de consommateurs (BEUC) s'est félicité de ce nouveau paquet de mesures, notamment de son volet numérique. Il se réjouit que la Commission européenne envisage, dans sa stratégie générale, « d'éventuelles nouvelles règles horizontales pour améliorer la cybersécurité de tous les produits connectés et services associés mis sur le marché intérieur ». Le document laisse entendre que la future proposition « pourrait inclure un nouveau devoir de diligence pour les fabricants d'appareils connectés ».
Le lobby des consommateurs accueille également très positivement la révision de la directive sur la sécurité des réseaux et infrastructures (SRI), pourtant en application depuis 2 ans seulement. La proposition élimine la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques. Par contre, elle crée une nouvelle catégorie - les entités « importantes » pour l'économie et la société - et inclut les administrations publiques. La proposition renforce les exigences de sécurité imposées aux entreprises du secteur public et privé. Elle prévoit aussi des amendes pouvant aller jusqu'à 2% du chiffre d'affaires annuel mondial total (et maximum 10 millions d'euros) de l'entreprise à laquelle appartient l'entité essentielle ou importante.
Sur le rapport relatif à la 5G, la Commission adopte une approche prudente, notant que les conclusions de juillet demeurent valables (EUROPE 12535/3). « En ce qui concerne les fournisseurs à haut risque, depuis novembre 2020, des mesures visant à appliquer des restrictions basées sur le profil de risque des fournisseurs ont été adoptées, proposées ou prévues dans presque tous les États membres, en tenant compte de l'approche recommandée dans la boîte à outils. Seule une petite minorité d'États membres n'a pas encore défini de plans clairs pour mettre en œuvre ces mesures », note-t-elle. Rappelons que l'exclusion de Huawei est en marche, notamment en Finlande, en Suède et au Royaume-Uni.
[NIS 2 : http://bit.ly/3qWbgzf et rapport 5G : http://bit.ly/2Kd790Z ]
Renforcer les actions dans le cadre international
La Commission européenne entend aussi renforcer son action sur le plan international. Pour cela, la stratégie met en avant 20 propositions d’actions, sans pour autant annoncer de calendrier clair.
La Commission propose de renforcer la boîte à outils cyberdiplomatique de l'UE adoptée en juin 2017 (EUROPE 11811/27) « pour empêcher les actes de cybermalveillance, les décourager, les prévenir et y faire face », mettant une nouvelle fois en avant la possibilité d’introduire le vote à la majorité qualifiée pour les sanctions dans le cadre du régime contre les cyberattaques. Ce régime date de mai 2019 (EUROPE 12257/9) et s'applique actuellement à l'encontre de huit personnes et quatre entités.
Le Haut Représentant de l’UE pour les Affaires étrangères et la Politique de sécurité, Josep Borrell, compte aussi présenter une mise à jour des lignes directrices de mise en œuvre de cette boîte à outils. « L'UE devrait intégrer davantage la boîte à outils dans les mécanismes de crise de l'UE, rechercher des synergies avec les efforts visant à contrer les menaces hybrides, la désinformation et l'ingérence étrangère », précise la stratégie.
M. Borrell présentera également une proposition visant à ce que l'UE définisse plus précisément sa posture de cyberdissuasion. Il entend aussi encourager et faciliter la création d’un groupe de travail des États membres sur le cyberespionnage au sein du Centre de situation et de renseignement de l'UE (INTCEN) « afin de faire progresser la coopération en matière de renseignement stratégique sur les menaces et les activités informatiques » et assurer davantage de coopération en matière de cyberdéfense, notamment entre les équipes militaires européennes d'intervention en cas d'urgence informatique (MilCERT). Devant les médias, M. Borrell a souhaité que les équipes de réaction rapide aux cyberattaques, développées dans le cadre d’un projet de la coopération structurée permanente, deviennent pleinement opérationnelles.
L’UE souhaite aussi réviser son cadre politique de cyberdéfense et faciliter le développement d'une ‘Vision et d’une stratégie militaires de l'UE sur le cyberespace en tant que domaine d'opérations’ pour les missions et opérations militaires de la PSDC, selon la stratégie.
Comme à son habitude, la Commission mise sur une coopération accrue au niveau international. Elle propose donc d'aider, y compris via les missions de PSDC civiles, à accroître la cyberrésistance et les capacités des partenaires à enquêter et poursuivre les cybercrimes. L’UE devrait aussi créer un réseau informel de cyberdiplomatie, via ses délégations, pour promouvoir la vision européenne du cyberespace, échanger des informations et coordonner régulièrement les développements dans le cyberespace.
La Commission entend également mener les discussions sur les normes et standards internationaux. Cela devrait passer par les relations diplomatiques et la coopération multilatérale, la mise en place de mesures de confiance, le renforcement des partenariats par le biais d'échanges avec la société civile, les universitaires et le secteur privé.
Voir la stratégie : http://bit.ly/3qXxz7L (Sophie Petitjean et Camille-Cerise Gessant)