La proposition de règlement du Parlement européen et du Conseil établissant des mesures pour renforcer la solidarité et les capacités dans l'Union européenne à détecter les menaces et les incidents liés à la cybersécurité, à s'y préparer et à y répondre, COM (2023) 209 final a été présentée, le 18 avril dernier par la Commission européenne, conjointement avec la communication COM(2023) 207 final et la proposition de règlement du Parlement européen et du Conseil amendant le règlement (UE) 2019/8811(*) concernant les services de sécurité gérés, COM (2023) 208 final, qui fait l'objet d'une analyse distincte (cf. infra)
I) La cybersécurité est une priorité politique pour les États membres et l'Union européenne
La numérisation généralisée des sociétés européennes n'est pas sans risque : en effet, les particuliers, les entreprises mais aussi les États, deviennent de ce fait plus vulnérables aux cybermenaces et aux cyberattaques (sur l'importance de ces menaces, voir l'annexe I).
L'Union européenne a donc progressivement bâti un cadre juridique en faveur de la cybersécurité
Cette architecture européenne de cybersécurité, instituée par la directive 2022/2555 visant à assurer un niveau élevé de cybersécurité dans l'ensemble de l'Union européenne (ou directive SRI2)2(*) et le règlement (UE) 2019/8813(*), est détaillée en annexe III.
Afin de se conformer aux traités et de respecter les exigences de souveraineté nationale, ce cadre juridique, posé pour l'essentiel par la directive 2022/2555 précitée, cependant, s'applique « sans préjudice de la responsabilité des États membres en matière de sauvegarde de la sécurité nationale et de leur pouvoir de garantir d'autres fonctions essentielles de l'État » et ne s'applique pas « aux entités de l'administration publique qui exercent leurs activités dans le domaine de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. »
II) La proposition de règlement COM(2023) 209
En proposant un dispositif de « cybersolidarité » entre les États membres et l'Union européenne pour faire face aux cyberattaques de grande ampleur, la proposition de règlement examinée constitue une déclinaison opérationnelle des conclusions du Conseil de mai 2022 et de la communication conjointe de la Commission européenne et du Haut-représentant de l'Union européenne pour les affaires étrangères et la politique de sécurité du 10 novembre 2022.
1) La mise en place d'un « cyberbouclier européen »
En premier lieu, la proposition de règlement met en place un « cyberbouclier » européen, destiné à renforcer l'efficacité des dispositifs en vigueur chargés de l'analyse, de la détection et de la prévention des cybermenaces ainsi que celle de la collecte de renseignements et de l'échange d'informations sur ces dernières.
En pratique, ce « cyberbouclier » serait une « infrastructure paneuropéenne », constituée de centres d'opérations de sécurité nationaux (COS/SOC en anglais)4(*) et de centres d'opérations de sécurité transfrontières. Chaque État membre devrait désigner au moins un COS. Ce dernier devrait s'engager à demander à participer à un COS transfrontière. Quant aux COS transfrontières, ils seraient composés par un « consortium d'hébergement » issu d'au moins trois États membres représentés par leurs COS nationaux.
Les COS pourraient, après appel à manifestation d'intérêt, être sélectionnés par le centre de compétences européen en matière de cybersécurité (CECC) pour acquérir conjointement avec lui, des équipements et des infrastructures de cybersécurité5(*). À ce titre, ils pourraient bénéficier de subventions du centre (pour un montant allant jusqu'à 50% des coûts pour les COS nationaux et à 75% des coûts pour les COS transfrontières).
Le CECC Depuis 2021, l'Union européenne dispose aussi d'un centre de compétences en matière de cybersécurité (CECC/ECCC en anglais) installé à Bucarest (Roumanie), dont la mission première est de mettre en oeuvre le soutien financier européen aux actions de cybersécurité et de prendre des décisions d'investissement stratégiques pour accroître les compétences européennes en ce domaine. |
Les membres d'un consortium d'hébergement devraient s'engager à échanger entre eux des informations sur les cybermenaces, les incidents évités, les vulnérabilités, les techniques et les procédures, les alertes de cybersécurité..., lorsque ce partage d'informations est nécessaire pour prévenir ou détecter des incidents ou pour renforcer le niveau de cybersécurité. Ces échanges d'information seraient encouragés par l'exigence d'un haut niveau d'interopérabilité entre leurs systèmes.
De là, s'ils obtenaient des informations sur un « incident de cybersécurité majeur potentiel ou en cours », les COS transfrontières devraient les partager « sans retard injustifié », avec le réseau EUCyCLONe, le réseau des CSIRT et la Commission européenne.
Coopération et information en matière de cybersécurité au niveau européen La directive 2022/2555 organise la coopération opérationnelle et l'information mutuelle des différents acteurs de la cybersécurité au niveau européen. Elle est assurée par les réunions régulières du groupe de coopération européen (SRI) en charge des orientations politiques, du réseau des autorités de préparation et de gestion des crises cyber (réseau européen EU-CyCLONe), et de celui des autorités compétentes pour la surveillance des cybermenaces et des vulnérabilités, ainsi que pour l'alerte et l'assistance en cas d'attaques sur les entités essentielles (réseau des centres de réponse aux incidents de sécurité informatique compétents au niveau national (CSIRT) ou de l'Union européenne (CERT-UE). |
Enfin, les États membres participant au cyberbouclier européen devraient veiller au niveau élevé de sécurité de ce dernier et s'assurer que le partage d'informations prévu ne nuit pas aux intérêts de l'Union européenne en la matière.
2) L'institution d'une réserve européenne de cybersécurité
La proposition de règlement instituerait un mécanisme d'urgence dans le domaine de la cybersécurité destiné à renforcer la préparation et la réaction de l'Union européenne aux incidents de cybersécurité (chapitre III).
Ce mécanisme d'urgence comprendrait :
-des mesures de préparation aux menaces cyber afin de garantir, avant toute crise, le déploiement de capacités devant permettre une réaction « rapide et efficace en cas d'incident de cybersécurité important ou de grande ampleur ». Ces mesures comprendraient une évaluation des risques et l'organisation de tests, décidés par la Commission européenne, pour les entités des secteurs hautement critiques (soins de santé ; transports ; énergie...) définies dans la directive 2022/2555 précitée, en vue de détecter d'éventuelles vulnérabilités ;
-un soutien à la réaction aux incidents et au rétablissement immédiat des secteurs critiques ou hautement critiques, tels que définis par la directive 2022/2555 précitée, en cas d'incidents de cybersécurité importants et de grande ampleur ;
En pratique, ce soutien devrait être demandé à la Commission européenne par l'État membre ou par l'organe de l'Union européenne touché par une cyberattaque. La Commission européenne, secondée par l'ENISA, pourrait, après évaluation de la demande, autoriser l'intervention d'une réserve européenne de cybersécurité6(*) dans les meilleurs délais. Cette réserve serait constituée d'un groupe d'entreprises privées de confiance, sélectionné dans le cadre d'une passation de marché public7(*), dont les prestataires viendraient alors en renfort des moyens déjà disponibles ;
-une assistance mutuelle entre les autorités nationales en cas d'incident de cybersécurité.
3) La mise en oeuvre d'un mécanisme d'analyse des incidents
En troisième lieu, la proposition de règlement instaurerait un mécanisme d'analyse des incidents cyber : dans le cadre de ce mécanisme, à la demande du réseau européen pour la préparation et la gestion des crises cyber (UE-CyCLONe), du réseau des CSIRT ou de la Commission européenne, l'ENISA pourrait procéder à l'analyse et à l'évaluation d'un incident de cybersécurité important ou de grande ampleur. Dans son rapport d'incident, elle devrait alors émettre des recommandations pour en tirer les leçons.
En pratique, il faut relever que la seule Commission européenne déciderait de nombreuses modalités d'application de la proposition par la voie des actes d'exécution : modalités des échanges d'information au sein des centres d'opération de sécurité européens ; respect des exigences de protection des données personnelles et de sécurité par les États membres participant au « cyberbouclier » ; type et nombre d'entreprises mobilisées au sein de la réserve européenne....
Enfin, la proposition amenderait le règlement financier du programme pour une Europe numérique8(*) afin de prendre en considération les nouveaux objectifs de création d'un « cyberbouclier » et de mise en place d'un mécanisme d'urgence européen.
III) La proposition de règlement est-elle conforme au principe de subsidiarité ?
a) Les bases juridiques choisies sont-elles pertinentes ?
La proposition de règlement est fondée, d'une part, sur les dispositions de l'article 173, paragraphe 3, du traité sur le fonctionnement de l'Union européenne (TFUE), relatives à la politique industrielle européenne, et, d'autre part, sur celles de l'article 322, paragraphe 1, du même traité, relatives aux règles financières sur l'établissement et l'exécution du budget et la vérification des comptes.
Ces bases juridiques semblent pertinentes pour fonder les exigences renforcées de cybersécurité prévues liées au marché intérieur et en tirer les conséquences financières.
En revanche, afin de garantir le lien constitutif entre cybersécurité et souveraineté nationale, le texte aurait dû être également fondé sur l'article 4, paragraphe 2, du traité sur l'Union européenne (TUE) déjà évoqué. À défaut, il pourrait être envisagé de reprendre les exclusions prévues dans la directive 2022/2555 afin d'exclure explicitement certaines activités du champ d'application de la réforme (ex : défense nationale).
b) La proposition de règlement est-elle nécessaire et apporte-t-elle une valeur ajoutée ?
Le renforcement du niveau commun de cybersécurité dans l'Union européenne est un objectif d'intérêt général qui doit être recherché par les États membres et qui peut justifier de nouvelles mesures d'harmonisation et de coordination.
Toutefois, en l'état des informations disponibles, la valeur ajoutée de la proposition de règlement n'apparaît pas évidente.
En effet, le cadre juridique actuel de la directive 2022/2555 est cohérent et complet, prévoyant en particulier la mise en place d'un réseau de centres d'intervention pour préparer les crises cyber (réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe)) et pour y répondre (réseau des centres de réponse aux incidents de sécurité informatique (CSIRT)), les modalités d'échange des informations pertinentes et une coordination des réponses en cas d'incident.
Comme cela a été souligné supra, cette directive est respectueuse des traités et des compétences des États membres.
Enfin, elle n'est en vigueur que depuis cinq mois et il est donc prématuré de tirer des conclusions sur son efficacité ou ses lacunes présumées.
Cependant, la Commission européenne affirme qu'il faut déjà compléter ce cadre juridique, de surcroît, par un règlement, c'est-à-dire un texte d'effet direct qui s'impose aux États membres sans marge d'appréciation.
Pour justifier son nouveau texte, la Commission européenne avance un seul argument : l'invocation du contexte de « cyberguerre » larvée qui menace l'Union européenne depuis le déclenchement de la guerre en Ukraine, du fait des « cyberattaques » russes.
Elle n'explique pas en revanche pourquoi l'architecture européenne de cybersécurité aurait besoin d'être complétée par les nouveaux centres d'opération de sécurité (COS) et par une réserve de cybersécurité, composée d'entités privées, face à ces menaces. En effet, la proposition de règlement n'a fait l'objet d'aucune analyse d'impact, ce qui ne manque pas d'étonner sur un sujet aussi essentiel pour la sécurité de l'Union européenne et de ses États membres. L'urgence de la mise en oeuvre de la réforme est soulignée pour justifier cette carence, qui empêche à l'évidence, une évaluation sincère du dispositif.
Car simultanément, le texte envisagé est, pour l'essentiel, un texte de contraintes et d'obligations pour les États membres : obligation de constituer un COS national, qui lui-même doit demander à participer à un COS transfrontières dans un délai de deux ans ; au sein de ce dernier, obligation étendue d'échanges d'informations sensibles sur les cybermenaces..., susceptibles d'être partagées avec le réseau EU-CyCLONe, le réseau des CSIRT et la Commission européenne dans un troisième temps ; obligation d'assurer la sécurité du « cyberbouclier européen » qui leur est imposé...
Sous réserver d'explications complémentaires, la réforme apparaît à ce stade source de complexification des procédures en place puisque les nouveaux centres d'opérations de sécurité (COS) viendraient s'ajouter aux autorités nationales compétentes, à l'ENISA, aux CSIRT et au réseau EU-yCLONe.
De plus, et c'est le point le plus important, selon les dispositions de ce texte, les autorités et organes des États membres seraient désormais obligés de partager un certain nombre d'informations sensibles sur les vulnérabilités, les incidents de cybersécurité... D'abord au sein des COS transfrontières, puis, en cas de nécessité pour prévenir ou mettre fin à un incident, avec l'ENISA, les CSIRT, la Commission européenne.
Or, en pratique, le partage d'informations sensibles relatives à la cybersécurité suppose trois préalables :
-en premier lieu, un nombre d'interlocuteurs limité, parfaitement identifié et dont l'accès autorisé aux données sensibles peut être « tracé ». Sur ce point, le texte a l'intention de faire bénéficier un maximum d'acteurs de ces informations, ce qui semble accroître le risque de « fuites » sur les fragilités et sur les « défenses » des systèmes de cybersécurité en place ;
-en deuxième lieu, un niveau de cybersécurité minimal de l'ensemble des partenaires concernés par ces échanges. Or, comme indiqué supra, l'état de préparation des institutions européennes aux menaces de cybersécurité avait été considéré comme « globalement insuffisant », il y a un an, par la Cour des Comptes de l'Union européenne. Cette situation a-t-elle évolué favorablement depuis ce constat sévère ? Un texte de mise à niveau de ces institutions en matière de cybersécurité est certes en cours d'adoption mais faute d'analyse d'impact, nul ne peut l'affirmer. Or, il est essentiel d'éclairer ce point. Car la mise à niveau de ces institutions en matière de cybersécurité semble constituer un préalable logique à la mise en place d'un « cyberbouclier » ;
-en troisième lieu, la rédaction imprécise de la proposition suscite des doutes sur l'étendue de son champ d'application : elle se contente en effet d'évoquer la « responsabilité première » des États membres et non leur « compétence » en matière de sécurité nationale, s'écartant des dispositions de l'article 4, paragraphe 2, du TUE, et demeure muette sur la défense nationale. Une telle rédaction, si elle était maintenue, pourrait ainsi rendre le nouveau dispositif applicable au moins partiellement à ces domaines, avec un effet direct.
Ainsi, les services de renseignement, de cyberdéfense et de lutte contre le terrorisme pourraient être contraints à ce partage d'informations, qui, au regard du grand nombre d'interlocuteurs et des lacunes recensées, comporterait des risques élevés de fuites d'informations confidentielles, d'espionnage ou de cyberattaque.
Ces risques pourraient conduire les services concernés et les États membres à refuser en pratique d'appliquer le partage d'informations demandé. Dans ce contexte, le partage d'informations devrait être envisagé a minima sur une base volontaire. Ou alors, certains domaines « régaliens » devraient être explicitement exclus du champ d'application du règlement, comme prévu dans la directive 2022/2555.
c) Enfin, cette réforme est-elle proportionnée aux objectifs visés ?
Pour les raisons qui viennent d'être évoquées, à savoir l'imprécision du champ d'application de la proposition, l'instauration d'un nouveau dispositif qui pourrait complexifier un cadre juridique européen complet et cohérent de cybersécurité et multiplier les organismes compétents au risque de « doublons », voire établir involontairement des fragilités structurelles dans les dispositifs de cybersécurité des États membres, la proportionnalité de la proposition de règlement - en l'état des informations disponibles - ne semble pas non plus évidente.
A minima, une audition de l'agence nationale de la sécurité des systèmes d'information (ANSSI), semble nécessaire afin d'éclaircir ces points et de parvenir à une conclusion à son sujet.
Compte tenu de ces observations, le groupe de travail sur la subsidiarité a donc décidé d'approfondir l'examen de ce texte au titre de l'article 88-6 de la Constitution.
* 1 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité).
* 2 Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).
* 3 Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité).
* 4 Les COS nationaux devraient être des organismes publics.
* 5 En contrepartie, ils devraient signer une convention avec le CECC, afin de s'accorder sur les modalités de partage de l'utilisation de ces équipements.
* 6 En pratique, la Commission européenne définirait les priorités et l'évolution de la réserve de cybersécurité et, par voie de conventions, le fonctionnement et l'administration de cette réserve pourraient être confiés à l'ENISA.
* 7 Les entreprises retenues devraient à la fois offrir des prestations de services répondant au plus haut degré de compétence professionnelle, garantir un cadre solide pour la protection des informations sensibles, bénéficier d'une structure de gouvernance transparente (attestant son intégrité et son absence de conflits d'intérêts), d'un personnel disposant d'une habilitation de sécurité et de systèmes informatiques sécurisés, jouir d'une expérience pouvant être attestée dans la fourniture de services à des autorités nationales et à des entités actives dans les secteurs critiques et hautement critiques de l'Union européenne, faire preuve de disponibilité et d'agilité, offrir des prestations dans la langue de l'État membre concerné et avoir reçu une certification européenne (dès lors qu'un schéma européen de certification aurait été mis en place).
* 8 Règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme pour une Europe numérique et abrogeant la décision (UE) 2015/2240.