L'horloge affichait 1h20 du matin, mercredi 6 mars, lorsque les colégislateurs européens sont finalement parvenus à s'entendre sur un texte de compromis concernant le règlement sur la cybersolidarité ('Cyber Solidarity Act'), en négociation depuis janvier.
Proposé l'année dernière en avril, ce règlement reposait sur trois piliers - détection, préparation et réponse - afin de s'attaquer à la question, urgente pour l'UE, des menaces et des incidents liés à la cybersécurité de ses réseaux et de ses infrastructures.
À l'issue du second trilogue de février (EUROPE 13350/6), plusieurs points restaient encore en suspens. L'accord politique trouvé ce mercredi met un point final aux négociations sur le budget alloué au règlement, à la question du type d'informations partagées entre les États membres, ainsi qu'au niveau de coopération attendu entre les Vingt-sept.
Le texte prévoit la mise en place d'un système d'alerte européen en matière de cybersécurité, constitué d'un réseau de 'cybercentres' nationaux et transfrontaliers, qui doit s'appuyer sur les technologies de pointe déjà en place (intelligence artificielle et analyse avancée des données, par exemple) pour détecter rapidement les menaces et les incidents.
De même, le rôle de la réserve de cybersécurité, qui aurait la tâche d’intervenir, à la demande d'un État membres ou des institutions ou agences de l’UE, en cas d'incidents importants, a été clarifié. Celle-ci est composée de partenaires privés, possédant des services de réponse adéquats aux menaces que l'UE ne pourrait gérer seule.
La rapportrice du texte, Lina Gálvez Muñoz, s'est montrée « très heureuse » face à l'issue des négociations. « Nous avons travaillé sans relâche au Parlement pour veiller à ce que ce règlement vise au développement coordonné des capacités de cybersécurité européennes et contribue à combler les déficits de compétences existants », a-t-elle déclaré dans un communiqué, ajoutant que « ce règlement est une victoire pour nos démocraties, dans un monde de plus en plus numérisé ».
Le même soir, Parlement européen et Conseil sont également parvenus à un accord sur un amendement à la loi sur la cybersécurité ('Cyber Security Act'). Cet amendement ouvre la possibilité d'adopter des systèmes de certification européens pour les services externalisés qui gèrent la gestion des risques de cybersécurité d'une organisation, et l'intègre dans le champ d'application de l'acte sur la cybersolidarité.
Le but est de fournir un cadre clair pour l'établissement des partenaires dignes de confiance inclus dans la réserve de cybersécurité de l'UE, face à des menaces venues de pays tiers. Cela doit aussi prévenir la fragmentation du marché due à la diversité des systèmes de certification nationaux.
L'accord provisoire sur la cybersolidarité doit désormais être officiellement approuvé par le Parlement, en commission et en session plénière, et validé par les représentants permanents des États membres auprès de l'UE. (Isalia Stieffatre)