La Présidence tchèque du Conseil de l’UE a remis aux États membres, le 30 septembre, la dernière version de son texte de compromis concernant les mesures pour un niveau commun élevé de cybersécurité dans les institutions, agences et organes de l’UE (EUROPE 13023/9).
Concrètement, outre des changements sémantiques mineurs sur certaines définitions, le texte revient surtout sur l’importance - parallèlement à l'extension des tâches et du rôle de l'équipe d'intervention en cas d'urgence informatique pour les institutions, organes et agences de l'UE (CERT-UE) - de la création d’un Conseil interinstitutionnel de cybersécurité (IICB). Celui-ci aurait pour rôle exclusif de faciliter l’établissement d’un niveau commun de cybersécurité entre les États membres de l’UE.
Le document détaille la composition de l’IICB, qui regrouperait des représentants issus de 13 institutions, organes ou agences de l’UE, en particulier le PE, le Conseil européen, le Conseil de l’UE, la Commission, la Cour de justice de l’UE, la Cour des comptes ou encore de la Banque centrale européenne.
Ce Conseil interinstitutionnel devrait se réunir, à la demande de son ou sa présidente - ou à la demande du CERT-T - au moins trois fois par an. Son secrétariat serait assuré par l’Agence de l'Union européenne pour la cybersécurité (ENISA), et non pas par la Commission.
L’IICB devrait également soutenir la création d'un groupe informel réunissant les agents locaux de cybersécurité de toutes les entités et ainsi faciliter l'échange des meilleures pratiques et des informations. En outre, l’IICB devrait aussi élaborer un plan de gestion des cybercrises afin de soutenir la gestion coordonnée des incidents majeurs au niveau opérationnel touchant les entités de l’Union.
Par ailleurs, le Conseil interinstitutionnel de cybersécurité pourrait demander à l’entité concernée - lorsqu’il considère qu’il y a une « violation continue » des dispositions du règlement par une entité de l’UE « résultant directement d'actions ou d'omissions d'un fonctionnaire ou autre agent » - de prendre des mesures appropriées, y compris de nature disciplinaire.
L’IICB pourrait aussi nommer un comité exécutif pour l'assister dans ses travaux et lui déléguer certains de ses pouvoirs ou tâches, notamment en ce qui concerne les tâches nécessitant une expertise spécifique de ses membres, comme l'approbation du catalogue de services et de ses mises à jour ultérieures ou les évaluations des documents et rapports soumis par les entités de l'Union à l’IICB.
Par ailleurs, le document prévoit des dispositions dans le cadre d’échanges d’informations qui pourraient être de nature sensible entre les États membres et les institutions, organes et agences de l’UE. Sur cet aspect, le texte de compromis propose que l’IICB puisse émettre, « en dernier recours », un avis destiné à tous les États membres et entités de l'Union recommandant la suspension temporaire des flux de données vers l'entité de l’UE accusée de manquements « durables, délibérés, répétitifs et/ou graves ». Cette suspension devrait alors être en place jusqu'à ce que l'état de la cybersécurité de cette entité soit rectifié.
Voir le document : https://aeur.eu/f/3gd (Thomas Mangin)