Les ministres des États membres chargés du Numérique ont fait le point, mardi 5 décembre, en Conseil des ministres, sur le règlement de l’UE sur la cybersolidarité ('Cybersolidarity Act'), présenté le 18 avril dernier par la Commission européenne (EUROPE 13164/1).
Une partie importante des discussions a porté sur la future réserve de cybersécurité, qui aurait la tâche d’intervenir, à la demande d'un État membre, des institutions, organes ou agences de l’UE, en cas d'incident de cybersécurité important ou de grande ampleur.
Un certain nombre d’États membres, à l’instar de la France, des Pays-Bas ou encore de la Pologne, ont appelé à renforcer le rôle de l’Agence de l'Union européenne pour la cybersécurité (ENISA) et des États membres dans le cadre de cette ‘réserve’.
La France, quant à elle, souhaiterait proposer une approche à deux niveaux sur cette question. Le premier niveau placerait la priorité sur les financements européens à destination « des entités européennes pour favoriser un écosystème de réponse aux incidents » tandis que le second volet élargirait la future 'réserve cyber' à l’ensemble des États membres de la Communauté politique européenne.
« Les États membres doivent être associés à l’étape de la constitution de la réserve, dont le schéma de gouvernance doit être développé au sein du texte, pour que le mécanisme soit facilement ‘activable’ », a avancé le ministre français chargé de la Transition numérique, Jean-Noël Barrot.
« La réserve doit être facilement accessible et nous devons aussi impliquer les pays tiers », a jugé pour sa part le ministre estonien des Technologies, Tiit Riisalo.
Les États membres appellent à éviter les doublons
En outre, une large majorité des États membres ont aussi insisté pour éviter que le futur règlement sur la cybersolidarité créée de doublons avec les législations ou structures déjà existantes, notamment pour la partie relative à la mise en place du réseau de centres d’opérations de sécurité (‘SOCs’), chargés de détecter et de contrer les cybermenaces grâce à l’intelligence artificielle, au supercalcul et à l’analyse avancée de données.
Sur ce point, la France souhaiterait conserver le caractère volontaire de la participation des États membres et « veiller à ne pas dupliquer les activités de structures déjà existantes au niveau national pour maintenir la lisibilité de la gouvernance à l'échelle nationale et européenne » dans le cadre du réseau de 'SOCs'.
Pour d’autres États membres, comme la Lettonie, la question des ‘SOCs’ manque pour le moment de « clarté ». Pour la Croatie, en revanche, c’est sur la terminologie qu’il faudra poursuivre les discussions et les travaux.
« Nous devons voir comment consolider les mesures, les mettre en place et éviter les doublons », a résumé la ministre néerlandaise de la Numérisation, Alexandra van Huffelen, appelant à ne pas oublier les cadres et structures existants.
De son côté, si le commissaire européen chargé du Marché intérieur, Thierry Breton, a reconnu l’importance de respecter les « prérogatives nationales », il a rappelé la nécessité, selon la Commission, d’avoir des réponses collectives dans le domaine de la cybersécurité.
« Pas un seul État membre, aussi puissant soit-il, ne peut protéger tout ce qui se passe sur le territoire de l’UE. (…) Quand il y a une menace systémique, que celle-ci dépasse les frontières, il faut intervenir ensemble. C’est cette architecture qu’il faut trouver. Ce n’est pas simple, on la cherche et il faudra la mettre en place dans le cadre législatif. Il faut une infrastructure technique, répartie sur le territoire européen, avec les ‘SOCs’, les supercalculateurs, les algorithmes et logiciels développés pour évaluer et détecter la menace et y répondre avant qu’elle n’arrive », a-t-il déclaré. (Thomas Mangin)