La Présidence slovène du Conseil de l’UE a présenté aux membres du groupe horizontal 'Questions liées au cyberespace', vendredi 29 octobre, sa proposition de compromis relative aux mesures visant à assurer un niveau élevé de cybersécurité au sein de l’Union européenne (EUROPE 12792/22).
Concernant le champ d’application, la proposition de la Commission prévoyait la définition de critères communs au sein de l’UE permettant d’identifier quelles entités doivent bénéficier d’une surveillance accrue.
En la matière, la Présidence du Conseil de l’UE entend qu’il revienne aux entités répondant à ces critères de « s’enregistrer » auprès des autorités compétentes alors qu’il était précédemment question de les « notifier ».
Cette « autonotification » devrait notamment comprendre le nom de l’entité, son adresse et le secteur auquel elle appartient, détaille le document.
La nouvelle version du document précise également les informations que devront fournir les États membres à la Commission européenne concernant les micro et petites entités répondant à certains critères prouvant leur rôle clé pour l’économie ou la société et entrant ainsi dans le champ d’application.
Il reviendra aux États membres d’établir la liste - qui devra mentionner le secteur et le type de services fournis - de ces micro et petites entités afin de la soumettre à la Commission européenne.
Enfin, la nouvelle version du texte de compromis du Conseil de l’UE ajoute les domaines de la sécurité nationale et de la défense dans la liste des administrations publiques qui devraient être exclues du champ d’application de la directive.
Le choix du destinataire
En outre, la proposition de la Commission émettait la possibilité aux États membres, de manière sectorielle, de mettre en place un mécanisme « commun, automatique et direct de notification des incidents et des cybermenaces » aux autorités compétentes. Il pourrait notamment s’agir des autorités dont les missions sont définies par les dispositions sectorielles ou encore des équipes d’intervention en cas d’incident de sécurité informatique (CSIRT).
Sur ce point, le document de compromis du Conseil souhaite donner le choix aux États membres de déterminer qui des différentes autorités potentielles ou des CSIRT seront les destinataires des notifications.
Si la Présidence du Conseil de l’UE poursuit son travail sur ce dossier, le Parlement européen, pour sa part, est déjà prêt à entamer les négociations interinstitutionnelles (‘trilogue’).
Le texte, porté par l’eurodéputé néerlandais Bart Groothuis (Renew Europe), a été adopté jeudi 28 octobre en commission de l'industrie, de la recherche et de l’énergie (ITRE) du Parlement européen (EUROPE 12822/11). Les eurodéputés membres de la commission ITRE se sont également prononcés favorablement, le même jour, sur le mandat de négociation du PE.
Voir la proposition de compromis : https://bit.ly/2ZF3uAU (Thomas Mangin)