PROPOSITION DE RÉSOLUTION
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu la communication conjointe de la Commission européenne et de la Haute représentante de l'Union européenne pour les affaires étrangères et la politique de sécurité du 7 février 2013 relative à la « Stratégie de cybersécurité de l'Union européenne : un cyberespace ouvert, sûr et sécurisé »,
Vu la proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union (texte E 8076),
Considérant que les attaques contre les systèmes d'information et de communication constituent aujourd'hui une menace réelle et constante, pouvant déstabiliser le fonctionnement même de nos sociétés et dont le caractère transnational justifie pleinement une action au niveau européen,
Se félicite de la publication de la stratégie européenne de cybersécurité, qui témoigne d'une approche globale et cohérente de l'Union européenne des risques et des enjeux soulevés par la multiplication des attaques contre les systèmes d'information et de communication,
Appelle les institutions européennes et les Etats membres à une mise en oeuvre rapide des différentes priorités de cette stratégie,
Souligne en particulier :
- l'importance de la mise en place et du développement par l'ensemble des Etats membres de capacités nationales de cybersécurité et du renforcement de la coopération européenne dans ce domaine ;
- la nécessité de disposer d'une base industrielle européenne pérenne en matière de cybersécurité et d'équipements de confiance qui suppose la mise oeuvre par l'Union européenne d'une véritable politique industrielle dans ce domaine ;
- l'importance des actions de sensibilisation et de formation ;
Recommande d'inclure dans cette stratégie :
- la prise en compte de la cybersécurité dans les relations de l'Union européenne avec les pays tiers,
- le renforcement de la coopération policière et judiciaire à l'échelle européenne en matière de lutte contre la cybercriminalité,
Approuve de manière générale les dispositions de la proposition de directive, en particulier en ce qui concerne :
- la nécessité, pour chaque Etat membre, de disposer d'un organisme responsable, doté de ressources humaines et financières suffisantes, d'une stratégie nationale et d'une structure opérationnelle d'assistance au traitement d'incidents informatiques,
- l'obligation, pour les administrations publiques et les acteurs du marché, de notifier, sous peine de sanctions, les incidents graves de sécurité à l'autorité nationale compétente,
- la nécessité de prévoir dans chaque Etat membre que les autorités compétentes auront le pouvoir de donner des instructions contraignantes aux administrations publiques et aux acteurs du marché et qu'elles pourront exiger certaines informations ou la réalisation d'un audit, afin de renforcer la sécurité de leurs réseaux et systèmes,
Recommande d'inclure dans la proposition de directive :
- l'obligation pour les opérateurs d'importance vitale de mettre en place des outils de détection d'incidents et d'attaques informatiques,
- l'obligation pour les opérateurs d'importance vitale de disposer d'une cartographie à jour de leur système d'information,
Estime, toutefois, que la définition des modalités d'application de ces mesures devrait être confiée aux Etats membres et non à la Commission européenne, notamment en ce qui concerne :
- la définition des circonstances dans lesquelles s'appliquerait l'obligation de notifier les incidents ;
- la liste des secteurs d'importance critique,
Juge également qu'il ne serait pas pertinent de prévoir :
- la notification systématique des incidents par les autorités nationales à l'ensemble des Etats membres et à la Commission européenne,
Demande au gouvernement de soutenir ces deux initiatives, et notamment de favoriser une adoption rapide de la proposition de directive, et d'oeuvrer au sein du Conseil afin que ces recommandations soient prises en compte lors des négociations.