Mesures restrictives de l’Union européenne contre les cyberattaques

 

SYNTHÈSE DES DOCUMENTS:

Décision (PESC) 2019/797 — Mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres

Règlement (UE) 2019/796 — Mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres

QUEL EST L’OBJET DE CETTE DÉCISION ET DE CE RÈGLEMENT?

Ils introduisent un cadre permettant à l’Union européenne (UE) d’imposer des sanctions pour dissuader et contrer les cyberattaques* qui constituent une menace extérieure pour l’UE ou les pays de l’UE. Ces cyberattaques incluent celles qui sont dirigées contre des pays tiers ou des organisations internationales lorsqu’une action est jugée nécessaire à la réalisation des objectifs de l’UE en matière de politique étrangère et de sécurité commune.

POINTS CLÉS

Sanctions établies pour les personnes et entités inscrites sur la liste

• Ce cadre permet à l’UE d’imposer des sanctions aux personnes ou entités responsables de cyberattaques ou de tentatives de cyberattaques, qui apportent un soutien financier, technique ou matériel à celles-ci, ou sont impliquées de toute autre manière dans celles-ci. Les sanctions peuvent également être imposées à des personnes ou à des entités qui leur sont associées. Les mesures restrictives comportent les interdictions de voyage de personnes vers l’UE et le gel des avoirs.
• Les personnes faisant l’objet de ces sanctions sont énumérées à l’annexe I de la décision (PESC) 2019/797, comme indiqué par le Conseil. De plus, tous les fonds et ressources économiques appartenant aux personnes physiques ou morales, entités ou organismes inscrits sur la liste qui figure à l’annexe I seront gelés, de même que tous les fonds et ressources économiques que ces personnes, entités ou organismes possèdent, détiennent ou contrôlent.
• Les pays de l’UE sont chargés de fixer les règles régissant les sanctions applicables en cas de violation.

Cyberattaques

Les cyberattaques relevant du champ d’application de ce nouveau régime de sanctions concernent celles qui ont des effets importants et qui:

• ont leur origine ou sont menées à l’extérieur de l’UE; ou
• utilisent des infrastructures situées à l’extérieur de l’UE; ou
• sont menées par toute personne ou entité établie ou agissant à l’extérieur de l’UE; ou
• sont menées avec l’appui de toute personne ou entité agissant à l’extérieur de l’UE.

Les cyberattaques constituant une menace pour les pays de l’UE sont notamment celles qui portent atteinte aux systèmes d’information en ce qui concerne:

• les infrastructures critiques qui sont indispensables au maintien des fonctions vitales de la société, ou à la santé, à la sûreté, à la sécurité et au bien-être économique ou social des citoyens;
• les services nécessaires au maintien d’activités sociales et économiques critiques, en particulier dans l’énergie, le transport, les activités bancaires, les finances, les soins de santé, l’eau potable et les infrastructures numériques;
• les fonctions critiques des États, en particulier la défense, la gouvernance et le fonctionnement des institutions, les élections publiques les infrastructures économiques et civiles, la sécurité intérieure et les relations extérieures, y compris dans le cadre de missions diplomatiques;
• le stockage ou le traitement des informations classifiées; ou
• les équipes d’intervention d’urgence mises en place par les pouvoirs publics.

DEPUIS QUAND CETTE DÉCISION ET CE RÈGLEMENT S’APPLIQUENT-ILS?

Ils s’appliquent depuis le 18 mai 2019.

CONTEXTE

Une communication conjointe de juin 2018 a souligné que les activités des acteurs étatiques et non étatiques telles que les cyberattaques qui perturbent l’économie et les services publics, les campagnes de désinformation ciblées ou les actions militaires hostiles continuent de poser une menace grave et inquiétante pour l’UE et les pays de l’UE. Elle a identifié des domaines qui requièrent une action plus conséquente afin d’approfondir et de renforcer le rôle de l’UE dans la lutte contre ces menaces. En outre, elle a invité les pays de l’UE et la Commission européenne à prendre rapidement des mesures de suivi.

En octobre 2018, à la suite des cyberattaques contre l’Organisation pour l’interdiction des armes chimiques, le Conseil européen a adopté des conclusions appelant à l’élaboration de mesures qui visent à renforcer davantage les moyens de dissuasion, la résilience et la réaction de l’UE face aux menaces hybrides, aux cybermenaces et aux menaces de nature chimique, biologique, radiologique et nucléaire. Le Conseil a été appelé à développer un régime de sanctions spécifique aux cyberattaques.

Voir également:

• Résilience, dissuasion et défense: Renforcer la cybersécurité en Europe (Commission européenne);
• La réforme de la cybersécurité en Europe (Conseil européen et Conseil de l’Union européenne);
• Cyberattaques: le Conseil est désormais en mesure d’imposer des sanctions — communiqué de presse (Conseil européen et Conseil de l’Union européenne).

TERME CLÉ

DOCUMENTS PRINCIPAUX

Décision (PESC) 2019/797 du Conseil du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (JO L 129 I du 17.5.2019, p. 13-19)

Les modifications successives de la décision (PESC) 2019/797 ont été intégrées au texte d’origine. Cette version consolidée n’a qu’une valeur documentaire.

Règlement (UE) 2019/796 du Conseil du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques qui menacent l’Union ou ses États membres (JO L 129 I du 17.5.2019, p. 1-12)

Les modifications successives du règlement (UE) n^o 2019/796 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

DOCUMENTS LIÉS

Communication conjointe au Parlement européen, au Conseil européen et au Conseil intitulée «Accroître la résilience et renforcer la capacité à répondre aux menaces hybrides» [JOIN(2018) 16 final du 13.6.2018]

dernière modification 18.05.2022