Dans un document de travail daté de lundi 13 avril et qu'Agence Europe a pu consulter, plusieurs pays membres font part de leurs commentaires sur la première moitié du nouveau texte révisé du règlement sur la cybersécurité ('Cybersecurity Act'), présenté par la Commission européenne en janvier dernier (EUROPE 13790/1).
À ce stade, pas de retours sur la partie la plus sensible du règlement, à savoir le potentiel d'exclusion de certains fournisseurs ou équipementiers du secteur des télécommunications européen, qui seraient jugés comme à risque pour la souveraineté et l'intégrité de l'Union (EUROPE 13850/8).
Les pays en question concentrent leurs commentaires sur la partie du règlement qui renforce les prérogatives de l'ENISA (EUROPE 13788/1).
Plusieurs pays, tels que la France, la Finlande ou les Pays-Bas, se montrent prudents face au mandat révisé de l'ENISA, qu'ils jugent « trop large » et qui « n'apporte aucune valeur ajoutée ». D'autres, comme la Roumanie ou l'Italie, s'inquiètent de possibles « risques de tensions avec les autorités nationales chargées de la cybersécurité », qui pourraient voir dans le mandat renouvelé de l'ENISA une « atteinte à la souveraineté » nationale.
« Il existe une forte opposition à l'introduction de tout instrument susceptible, ne serait-ce qu'au niveau de la perception, de faire chevaucher le rôle de l'ENISA et celui des autorités nationales compétentes », écrit le gouvernement italien, qui propose d'introduire une « clause de sauvegarde générale consacrant le principe de la non-implication opérationnelle directe » de l'ENISA.
De nombreuses critiques sont également émises à l'encontre de la proposition de la Commission de voir chaque pays membre désigner deux « agents de liaison » pour seconder les experts nationaux déjà en place à l'ENISA. « Exiger des États membres qu'ils cèdent des capacités existantes constitue un défi majeur », note la Belgique.
D'autres pays notent le manque de ressources nationales pour avoir la liberté de se passer de plusieurs experts, tant au niveau technique que financier.
Sur la question délicate des 'Schémas de certification de cybersécurité', l'Espagne propose de nombreux amendements pour assurer la reconnaissance des Schémas nationaux et de l'expertise nationale développée à travers ces schémas, tant que ceux-ci correspondent aux standards européens.
Une volonté partagée par la France, qui a toujours bataillé pour que son propre Schéma 'SecNumCloud' soit reconnu au niveau européen, ou, à défaut, que les Schémas européens adoptent des garanties de sécurité et de souveraineté très strictes, notamment en termes de protection contre l'extraterritorialité de certaines lois étrangères (EUROPE 13788/1). (Isalia Stieffatre)