Le cadre européen visant à identifier les actifs stratégiques et les fournisseurs à haut risque dans les chaînes d’approvisionnement des technologies de l’information et de la communication (TIC), proposé par la Commission européenne dans le cadre du Cybersecurity Act 2 (EUROPE 13790/1), demeure le point le plus sensible et controversé du dossier et nécessitera de nouvelles discussions, ont souligné plusieurs ministres européens des Télécommunications lors du débat consacré au texte, mardi 9 juin.
Si les États membres soutiennent largement l’objectif général consistant à renforcer le mandat de l’Agence de l’Union européenne pour la cybersécurité (ENISA), plusieurs d’entre eux, notamment la Hongrie, la Finlande et l’Estonie, ont insisté sur le fait que celle-ci devrait avant tout se concentrer sur le soutien aux États membres, compte tenu de leurs prérogatives nationales en matière de sécurité.
Au cours du débat, l’Espagne a clairement indiqué que les États membres « doivent jouer un rôle dans la définition » des risques liés aux chaînes d’approvisionnement. La France, pour sa part, a insisté sur la nécessité de protéger ces chaînes d’approvisionnement « de manière proportionnée », en évaluant ensemble les « risques techniques et non techniques ». Le Portugal a estimé que les autorités nationales de certification en cybersécurité devraient également jouer un rôle accru dans l’élaboration et le maintien de futur schéma européen de certification, en ajoutant que les États membres devaient conserver « un rôle central » dans les décisions relatives aux évaluations des risques en matière de cybersécurité ainsi qu’aux mesures de gestion des risques dans les chaînes d’approvisionnement des TIC. L’Estonie a également plaidé pour que « les États membres jouent un rôle consistant dans le processus d’identification des pays tiers présentant des préoccupations en matière de cybersécurité et dans la gestion des risques techniques et non techniques liés aux chaînes d’approvisionnement des TIC », tout en insistant sur la nécessité de « préserver la flexibilité pour les États membres dans la définition des mesures de gestion des risques ».
De son côté, la Finlande s’est félicitée que ceux-ci puissent adopter des mesures allant au-delà du cadre européen, notamment afin de « préserver la sécurité des réseaux de communications ». La Suède a soutenu une réglementation européenne en la matière, estimant que l’application du 5G Toolbox, fondée sur une approche plus volontaire, avait conduit à une fragmentation au sein de l’Union. Les Pays-Bas ont estimé que les mesures devaient « rester fondées sur une approche par les risques, ciblées et prévisibles, en se concentrant sur les risques les plus importants pour les infrastructures critiques », tout en soulignant, comme la France, la nécessité d’assurer une articulation claire avec le Cloud and AI Development Act (CADA) afin de garantir un cadre cohérent et robuste en matière de cybersécurité. (Ana Pisonero Hernández)