This document is an excerpt from the EUR-Lex website
Document 52023IR2191
Opinion of the European Committee of the Regions — EU Cyber Solidarity Act and digital resilience
Avis du Comité européen des régions sur le thème «Législation de l’UE en matière de cybersécurité et résilience numérique»
Avis du Comité européen des régions sur le thème «Législation de l’UE en matière de cybersécurité et résilience numérique»
COR 2023/02191
JO C, C/2024/1049, 9.2.2024, ELI: http://data.europa.eu/eli/C/2024/1049/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
Journal officiel |
FR Séries C |
|
C/2024/1049 |
9.2.2024 |
Avis du Comité européen des régions sur le thème «Législation de l’UE en matière de cybersécurité et résilience numérique»
(C/2024/1049)
|
I. RECOMMANDATIONS D’AMENDEMENT
COM(2023) 209
Amendement 1
Considérant 1
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Le recours aux technologies de l’information et de la communication et la dépendance à l’égard de ces technologies sont désormais des aspects fondamentaux dans tous les secteurs d’activité économique, eu égard à l’interconnexion et à l’interdépendance sans précédent de nos administrations publiques, de nos entreprises et de nos citoyens par-delà les secteurs et les frontières. |
Le recours aux technologies de l’information et de la communication et la dépendance à l’égard de ces technologies sont désormais des aspects fondamentaux dans tous les secteurs d’activité économique tout en y révélant des fragilités , eu égard à l’interconnexion et à l’interdépendance sans précédent de nos administrations publiques, de nos entreprises et de nos citoyens par-delà les secteurs et les frontières. |
Exposé des motifs
L’amendement proposé est explicite.
Amendement 2
Considérant 3
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Il est nécessaire de consolider la position concurrentielle de l’industrie et des services dans tous les secteurs d’activité passés au numérique dans l’Union et de soutenir leur transformation numérique, en renforçant le niveau de cybersécurité dans le marché unique numérique. Comme le recommandent trois propositions différentes de la conférence sur l’avenir de l’Europe, il convient d’accroître la résilience des citoyens, des entreprises et des entités exploitant des infrastructures critiques face aux menaces croissantes en matière de cybersécurité, qui peuvent avoir des conséquences dévastatrices sur la société et l’économie. […] |
Il est nécessaire de consolider la position concurrentielle de l’industrie et des services dans tous les secteurs d’activité passés au numérique dans l’Union et de soutenir leur transformation numérique, en renforçant le niveau de cybersécurité dans le marché unique numérique. Comme le recommandent trois propositions différentes de la conférence sur l’avenir de l’Europe, il convient d’accroître la résilience des citoyens, des entreprises , de l’administration publique, au niveau national, régional et local, et des entités exploitant des infrastructures critiques face aux menaces croissantes en matière de cybersécurité, qui peuvent avoir des conséquences dévastatrices sur la société et l’économie. […] |
Exposé des motifs
Les administrations locales et régionales fournissent des services qui sont tout à la fois proches du citoyen et d’une importance critique pour la société, et elles comptent parmi les rouages essentiels d’un marché européen dynamique.
Amendement 3
Considérant 29
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Dans le cadre des mesures de préparation et dans l’optique de promouvoir une approche cohérente et de renforcer la sécurité dans toute l’Union et dans son marché intérieur, il convient d’apporter un soutien aux activités coordonnées de test et d’évaluation de la cybersécurité des entités actives dans les secteurs hautement critiques recensés en application de la directive (UE) 2022/2555. À cette fin, la Commission, avec le soutien de l’ENISA et en collaboration avec le groupe de coopération SRI institué par la directive (UE) 2022/2555, devrait recenser régulièrement les secteurs ou sous-secteurs qui devraient pouvoir bénéficier d’un soutien financier en vue de tests coordonnés au niveau de l’Union. Les secteurs ou sous-secteurs devraient être sélectionnés à partir de l’annexe I («Secteur hautement critique») de la directive (UE) 2022/2555. Les exercices de test coordonnés […]. |
Dans le cadre des mesures de préparation et dans l’optique de promouvoir une approche cohérente et de renforcer la sécurité dans toute l’Union et dans son marché intérieur, il convient d’apporter un soutien aux activités coordonnées de test et d’évaluation de la cybersécurité des entités actives dans les secteurs hautement critiques recensés en application de la directive (UE) 2022/2555. À cette fin, la Commission, avec le soutien de l’ENISA et en collaboration avec le groupe de coopération SRI institué par la directive (UE) 2022/2555, devrait recenser régulièrement les secteurs ou sous-secteurs qui devraient pouvoir bénéficier d’un soutien financier en vue de tests coordonnés au niveau de l’Union. Les secteurs ou sous-secteurs devraient être sélectionnés à partir de l’annexe I («Secteur hautement critique») de la directive (UE) 2022/2555 , tout comme les entités administratives publiques du niveau régional et local, qu’elles soient ou non considérées comme hautement critiques au regard du droit national . Les exercices de test coordonnés […]. |
Exposé des motifs
Dans la mesure où la possibilité a été laissée aux États membres, lorsqu’ils mettent en œuvre la directive sur la sécurité des réseaux et des systèmes d’information SRI 2 (1), d’exclure les collectivités locales et régionales de son champ d’application, il s’impose de s’assurer qu’elles soient au contraire reprises dans celui de la législation sur la cybersolidarité.
Amendement 4
Considérant 30
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
En outre, le mécanisme d’urgence dans le domaine de la cybersécurité devrait proposer une aide dans le cadre d’autres mesures de préparation et soutenir la préparation dans d’autres secteurs, qui ne sont pas pris en compte par les tests coordonnés auxquels sont soumises les entités actives dans des secteurs hautement critiques. Ces mesures pourraient inclure divers types d’activités nationales de préparation. |
En outre, le mécanisme d’urgence dans le domaine de la cybersécurité devrait proposer une aide dans le cadre d’autres mesures de préparation et soutenir la préparation, tant dans d’autres secteurs, qui ne sont pas pris en compte par les tests coordonnés auxquels sont soumises les entités actives dans des secteurs critiques , que dans des administrations publiques, qu’elles soient ou non considérées comme hautement critiques au regard du droit national . Ces mesures pourraient inclure divers types d’activités nationales de préparation. |
Exposé des motifs
Les collectivités locales et régionales devraient avoir la possibilité de tirer parti du soutien fourni par le mécanisme d’urgence dans le domaine de la cybersécurité.
Amendement 5
Considérant 33
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Une réserve de cybersécurité au niveau de l’Union devrait être mise en place progressivement. Elle devrait comprendre des services de fournisseurs de services de sécurité gérés visant à soutenir les mesures de réaction et de rétablissement immédiat en cas d’incidents de cybersécurité importants ou majeurs. La réserve de cybersécurité de l’UE devrait veiller à la disponibilité et à l’état de préparation de ces services. Les services en question devraient permettre d’aider les autorités nationales à apporter une assistance aux entités touchées actives dans des secteurs critiques ou hautement critiques , en complément des mesures prises par ces autorités au niveau national. Lorsqu’un État membre demande l’aide de la réserve de cybersécurité de l’UE, il devrait préciser de quel soutien bénéficie l’entité touchée au niveau national, soutien qu’il convient de prendre en compte lors de l’examen de la demande de l’État membre. Les services de la réserve de cybersécurité de l’UE devraient également servir à aider les institutions, organes ou organismes de l’Union, dans des conditions similaires. |
Une réserve de cybersécurité au niveau de l’Union devrait être mise en place progressivement. Elle devrait comprendre des services de fournisseurs de services de sécurité gérés visant à soutenir les mesures de réaction et de rétablissement immédiat en cas d’incidents de cybersécurité importants ou majeurs. La réserve de cybersécurité de l’UE devrait veiller à la disponibilité et à l’état de préparation de ces services. Les services en question devraient permettre d’aider les autorités nationales à apporter une assistance aux entités touchées, en complément des mesures prises par ces autorités au niveau national. Lorsqu’un État membre demande l’aide de la réserve de cybersécurité de l’UE, il devrait préciser de quel soutien bénéficie l’entité touchée au niveau national, soutien qu’il convient de prendre en compte lors de l’examen de la demande de l’État membre. Les services de la réserve de cybersécurité de l’UE devraient également servir à aider les institutions, organes ou organismes de l’Union, dans des conditions similaires. |
Exposé des motifs
Le soutien de la réserve de cybersécurité de l’Union européenne devrait être également être octroyé à des entités touchées autres que celles qui sont actives dans des secteurs critiques ou hautement critiques.
Amendement 6
Article 1er, paragraphe 2, point b)
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
améliorer la préparation des entités actives dans des secteurs critiques et hautement critiques dans l’ensemble de l’Union et renforcer la solidarité en développant des capacités de réaction communes face aux incidents de cybersécurité importants ou majeurs, y compris en permettant aux pays tiers associés au programme pour une Europe numérique de bénéficier du soutien prévu par l’Union en ce qui concerne la réaction aux incidents de cybersécurité; |
améliorer la préparation des entités actives dans des secteurs critiques et hautement critiques et dans l’administration publique au niveau national et infranational dans l’ensemble de l’Union et renforcer la solidarité en développant des capacités de réaction communes face aux incidents de cybersécurité importants ou majeurs, y compris en permettant aux pays tiers associés au programme pour une Europe numérique de bénéficier du soutien prévu par l’Union en ce qui concerne la réaction aux incidents de cybersécurité; |
Exposé des motifs
Il conviendrait que le règlement à l’examen couvre également les pouvoirs publics à l’échelon infranational.
Amendement 7
Article 4, paragraphe 1, second alinéa
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Il peut servir de point de référence et d’accès à d’autres organisations publiques et privées au niveau national pour collecter et analyser des informations sur les menaces et incidents de cybersécurité et contribuer aux travaux d’un SOC transfrontière. […] |
Il peut servir de point de référence et d’accès à d’autres organisations publiques et privées au niveau national et infranational pour collecter et analyser des informations sur les menaces et incidents de cybersécurité et contribuer aux travaux d’un SOC transfrontière. […] |
Exposé des motifs
Les centres d’opérations de sécurité nationaux devraient également collecter et analyser des informations en provenance du niveau régional et local.
Amendement 8
Article 5, paragraphe 2
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
À la suite d’un appel à manifestation d’intérêt, un consortium d’hébergement est sélectionné par l’ECCC pour participer à une acquisition conjointe d’outils et d’infrastructures avec ce Centre. L’ECCC peut octroyer au consortium d’hébergement une subvention destinée à financer le fonctionnement des outils et infrastructures. La contribution financière de l’Union couvre jusqu’à 75 % des coûts d’acquisition des outils et infrastructures et jusqu’à 50 % des coûts opérationnels, les coûts restants devant être couverts par le consortium d’hébergement. Avant de lancer la procédure d’acquisition des outils et infrastructures, l’ECCC et le consortium d’hébergement concluent une convention d’hébergement et d’utilisation qui régit l’utilisation des outils et infrastructures. |
À la suite d’un appel à manifestation d’intérêt, un consortium d’hébergement est sélectionné par l’ECCC pour participer à une acquisition conjointe d’outils et d’infrastructures avec ce Centre. L’ECCC peut octroyer au consortium d’hébergement une subvention destinée à financer le fonctionnement des outils et infrastructures. La contribution financière de l’Union couvre jusqu’à 75 % des coûts d’acquisition des outils et infrastructures et jusqu’à 50 % des coûts opérationnels, les coûts restants devant être couverts par le consortium d’hébergement , au moyen d’éventuelles ressources autres que celles visées par le règlement (UE) 2021/1060 (règlement portant dispositions communes) . Avant de lancer la procédure d’acquisition des outils et infrastructures, l’ECCC et le consortium d’hébergement concluent une convention d’hébergement et d’utilisation qui régit l’utilisation des outils et infrastructures. |
Exposé des motifs
Les actions menées au titre de la législation sur la cybersolidarité ne peuvent être financées par des programmes ressortissant à la politique de cohésion.
Amendement 9
Article 9, paragraphe 1
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Un mécanisme d’urgence dans le domaine de la cybersécurité est mis en place afin d’améliorer la résilience de l’Union face aux cybermenaces majeures et d’anticiper et d’atténuer, dans un esprit de solidarité, les incidences à court terme des incidents de cybersécurité importants et majeurs (ci-après le «mécanisme»). |
Un mécanisme d’urgence dans le domaine de la cybersécurité est mis en place afin d’améliorer la résilience de l’Union face aux cybermenaces et d’anticiper et d’atténuer, dans un esprit de solidarité, les incidences à court terme des incidents de cybersécurité importants et majeurs (ci-après le «mécanisme»). |
Exposé des motifs
Le mécanisme d’urgence dans le domaine de la cybersécurité devrait s’attacher à anticiper et atténuer les incidences à court terme de tous les types d’incidents de cybersécurité.
Amendement 10
Article 10, paragraphe 2 (nouveau)
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
|
2. La Commission rédige un rapport annuel dans lequel elle évalue la manière dont fonctionne le mécanisme, ainsi que tout besoin éventuel d’instaurer des exigences supplémentaires en matière de coopération ou de formations. |
Exposé des motifs
La Commission devrait présenter des rapports à intervalles réguliers, étant donné que la cybersécurité représente un secteur en évolution constante et que les exigences en la matière doivent être adaptées en temps utile en fonction des réalités.
Amendement 11
Article 11, paragraphe 1
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
Aux fins de contribuer aux tests de préparation coordonnés des entités visés à l’article 10, paragraphe 1, point a), dans l’ensemble de l’Union, la Commission, après consultation du groupe de coopération SRI et de l’ENISA, recense les secteurs ou sous-secteurs concernés , dans les secteurs hautement critiques énumérés à l’annexe I de la directive (UE) 2022/2555, dont les entités peuvent être soumises à des tests de préparation coordonnés, en tenant compte des évaluations coordonnées des risques et des tests de résilience existants et prévus au niveau de l’Union. |
Aux fins de contribuer aux tests de préparation coordonnés des entités visés à l’article 10, paragraphe 1, point a), dans l’ensemble de l’Union, la Commission, après consultation du groupe de coopération SRI et de l’ENISA, recense, dans les secteurs hautement critiques énumérés à l’annexe I de la directive (UE) 2022/2555 , y compris les administrations publiques au niveau local, les secteurs ou sous-secteurs concernés dont les entités peuvent être soumises à des tests de préparation coordonnés, en tenant compte des évaluations coordonnées des risques et des tests de résilience existants et prévus au niveau de l’Union. |
Exposé des motifs
Les collectivités locales et régionales doivent obtenir la possibilité de tirer profit du mécanisme d’urgence dans le domaine de la cybersécurité. La modification proposée transpose dans l’article concerné la demande que le rapporteur a formulée dans sa recommandation d’amendement 3, concernant le considérant 30.
Amendement 12
Article 14, paragraphe 2, point b)
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
le type d’entité touchée, la priorité étant accordée aux incidents touchant des entités essentielles au sens de l’article 3, paragraphe 1, de la directive (UE) 2022/2555; |
le type d’entité touchée, la priorité étant accordée aux incidents touchant des entités qui sont essentielles au sens de l’article 3, paragraphe 1, de la directive (UE) 2022/2555 , y compris celles de l’administration publique au niveau régional et local ; |
Exposé des motifs
L’amendement vise à préciser quelles sont les entités couvertes, qui incluent celles des administrations infranationales.
Amendement 13
Article 18, paragraphe 1
|
Texte proposé par la Commission européenne |
Amendement du CdR |
|
À la demande de la Commission, d’EU-CyCLONe ou du réseau des CSIRT, l’ENISA analyse et évalue les menaces, les vulnérabilités et les mesures d’atténuation d’un incident de cybersécurité important ou majeur spécifique. Après l’analyse et l’évaluation d’un incident, l’ENISA remet un rapport d’analyse au réseau des CSIRT, à EU-CyCLONe et à la Commission afin de les aider à s’acquitter de leurs tâches, compte tenu notamment de celles énoncées aux articles 15 et 16 de la directive (UE) 2022/2555. Le cas échéant, la Commission transmet le rapport au haut représentant. |
À la demande de la Commission, d’EU-CyCLONe ou du réseau des CSIRT, l’ENISA analyse et évalue les menaces, les vulnérabilités et les mesures d’atténuation d’un incident de cybersécurité important ou majeur spécifique. Après l’analyse et l’évaluation d’un incident, l’ENISA remet un rapport d’analyse au réseau des CSIRT, à EU-CyCLONe et à la Commission afin de les aider à s’acquitter de leurs tâches, compte tenu notamment de celles énoncées aux articles 15 et 16 de la directive (UE) 2022/2555. Dans la mesure du possible, le réseau des CSIRT partage le rapport avec les administrations publiques du niveau infranational. Le cas échéant, la Commission transmet le rapport au haut représentant. |
Exposé des motifs
L’amendement vise à préciser quelles sont les entités couvertes, qui incluent celles des administrations infranationales.
II. RECOMMANDATIONS POLITIQUES
POSITION DU COMITÉ EUROPÉEN DES RÉGIONS
Le Comité européen des régions (CdR) accueille favorablement la proposition de règlement que la Commission a présentée en vue de renforcer la coopération européenne dans le domaine de la cybersécurité. Aujourd’hui, les États membres de l’Union européenne sont fortement connectés et reliés entre eux par la voie numérique, et ils sont appelés à le devenir davantage encore dans les années à venir. En conséquence, le Comité voit d’un œil positif l’initiative qu’a prise la Commission de mener des actions conjointes pour lutter contre les cybermenaces qui résultent de la numérisation de plus en plus poussée que nous connaissons. La proposition se fonde sur le constat que les cyberincidents vont croissant, en particulier dans des domaines qui relèvent des compétences des communes et des régions, et que les rouages qui revêtent une importance critique au sein de la société doivent être prêts à les affronter, les gérer et en tirer des leçons. Le CdR estime que la proposition de la Commission peut contribuer à accroître la résilience numérique au sein de l’Union.
|
1. |
Pour que l’Europe atteigne l’objectif de la résilience numérique, il est urgent que les responsables politiques comme les citoyens réalisent qu’ils se doivent de coaliser leurs forces aux fins d’assurer la cybersécurité. En conséquence, le CdR apprécierait que les États membres, la Commission et l’ensemble des collectivités locales contribuent de concert à faire prendre conscience de la nécessité d’agir en la matière, y compris s’agissant d’accroître les investissements dans la résilience numérique, en particulier au niveau local et régional, et de réfléchir au développement d’instruments stratégiques de protection qui cibleront les attaques d’ordre financier par rançongiciels. Pour ce faire, il y a lieu de déployer les efforts nécessaires, qu’ils soient d’ordre financier et technique ou relèvent du renforcement des compétences. |
|
2. |
Le Comité constate qu’à beaucoup d’égards, la proposition se réfère à la directive sur la sécurité des réseaux et des systèmes d’information SRI 2 et prend appui sur elle. Il appartient à chaque État membre, lorsqu’il met ce texte en œuvre à son échelle nationale, de décider si ses pouvoirs locaux entrent ou non dans son champ d’application (2). Dès lors que chacun des pays de l’Union peut opter, à l’occasion de cette mise en œuvre, pour que ses communes soient rangées parmi les entités essentielles ou importantes, il s’ensuit que des divergences peuvent se produire entre eux en ce qui concerne leur positionnement vis-à-vis de la législation sur la cybersolidarité, telle qu’incarnée par la proposition à l’examen. Pour éviter que les collectivités locales assumant la responsabilité de services essentiels dans certains États membres ne relèvent pas du champ d’application de cette loi sur la cybersolidarité, son texte devrait établir clairement qu’elles y sont incluses, et ce, qu’elles soient ou non couvertes par la directive SRI 2. |
|
3. |
Sachant que la cybersécurité constitue un des piliers de l’interopérabilité numérique, il est impératif que de solides mesures en la matière viennent appuyer les efforts déployés pour renforcer ladite interopérabilité entre les collectivités régionales, de manière à garantir qu’elle ne soit pas exposée à des cybermenaces, d’une région à l’autre à travers toute l’Europe. |
|
4. |
Les relations des pouvoirs locaux et régionaux avec les structures qui devront être créées ne pourront se réduire à des obligations de leur faire rapport mais devront également prendre la forme d’un soutien concret qu’elles leur apporteront. Aussi le Comité demande-t-il qu’une plus grande clarté soit faite quant à la manière dont cette aide sera dispensée aux régions, notamment afin qu’elles accroissent le niveau de la cybersécurité dans les petites communes. |
Positions concernant les domaines d’intervention de la proposition
Le cyberbouclier européen
Est visé ici le déploiement d’une infrastructure européenne de centres d’opérations de sécurité, destinée à construire et renforcer des capacités communes de détection, d’analyse et de traitement des données concernant les cybermenaces et cyberincidents.
|
5. |
Pour dresser un tableau complet de la situation actuelle de l’Union européenne en matière de cybersécurité, il est également nécessaire d’agréger les informations, évaluations de risques, alertes et incidents en provenance des fournisseurs locaux et nationaux de systèmes. Pour le Comité, le danger existe qu’il manque des mesures incitatives et des processus bien définis concernant la manière dont les communes et les régions pourront jouer un rôle actif dans l’action de renforcement de la résilience numérique. Il est primordial que l’échelon local et régional soit associé à la démarche, car, bien souvent, c’est lui qui détient la propriété des processus numériques exposés à des attaques. Il importe dès lors de créer un environnement dans lequel les collectivités territoriales auront la possibilité et le devoir de s’insérer, à titre de partenaires intégrés et actifs pour le renforcement de la cybersécurité de l’Union. |
|
6. |
Dans ses analyses, le Comité a relevé de fortes disparités d’un État membre à l’autre en ce qui concerne la protection et les mesures de sécurité adoptées. Au sein même de chaque pays, des différences importantes existent, par exemple, entre les pouvoirs publics nationaux et les collectivités locales de plus petite taille, et ce, tant pour les capacités d’action en matière de cybersécurité que pour les ambitions affichées dans les activités en la matière. En conséquence, il est important, aux yeux du Comité, que le règlement se donne pour objectif d’œuvrer à atténuer ces disparités et à garantir que les moyens et les visées de tous les acteurs concernés soient relativement comparables. |
|
7. |
Le Comité relève que le nouveau réseau de plateformes nationales et transfrontières de centres d’opérations de sécurité risque d’empiéter sur certaines missions assignées à celui des centres de réponse aux incidents de sécurité informatique (CSIRT) (3). Si des centres nationaux de sécurité sont créés parallèlement à ces centres de réponse aux incidents de sécurité informatique, il importera d’établir clairement les modalités qui régiront leur coopération et les responsabilités qu’ils devront assumer respectivement dans le traitement d’un incident. |
|
8. |
Le Comité salue les objectifs spécifiques de la proposition de règlement et les mesures qui sont proposées. Il déplore toutefois que malgré l’intensification des cyberattaques, les collectivités locales et régionales ne soient pas suffisamment prises en compte par ladite proposition et suggère en conséquence une série de modifications législatives afin de combler ces lacunes. |
|
9. |
En ce qui concerne les communes et les régions, un manque de données et d’étalons appropriés se fait sentir aujourd’hui concernant les incidents, alertes et risques courus. Dans le cadre du bouclier européen de cybersécurité, il conviendrait d’élaborer des indicateurs pour évaluer les améliorations qui, en rapport avec l’entrée en vigueur du règlement, se produisent en matière d’évolutions et de degré de maturité. Pour le long terme, ces indicateurs pourraient alimenter une carte des risques, fondée sur des données, qui cernerait les points sur lesquels il est le plus nécessaire d’intervenir. |
Un mécanisme européen d’urgence en matière de cybersécurité
Le but est de renforcer la préparation, de vérifier si certains secteurs considérés comme critiques sont dûment préparés, de consolider les capacités de rétablissement après des incidents, ainsi que de créer une réserve de cybersécurité.
|
10. |
Les incidents d’échelle majeure pouvant provenir d’événements qui surviennent localement, la proposition doit démontrer de quelle manière les centres d’opérations de sécurité, tout comme la réserve de cybersécurité, pourront appréhender aussi les perturbations locales de grande gravité, et non pas seulement les incidents significatifs et de forte ampleur qui se sont déjà produits. Le partage des informations ne pourra se limiter aux incidents de grande échelle mais devra être également couvrir les risques potentiels. |
|
11. |
Les données relatives aux incidents de cybersécurité revêtent souvent un caractère très sensible, dont la communication peut impliquer des détails techniques, voire des éléments à caractère personnel, lesquels, pour l’heure, ne peuvent être partagés que si les parties prenantes ont conclu des contrats ou des conventions. Actuellement, le partage d’informations se heurte déjà à des difficultés au niveau d’un pays, de sorte que définir les moyens de parvenir à les communiquer par-delà les frontières nationales constitue une question hautement complexe. Pour que le mécanisme en matière de cybersécurité soit fonctionnel, la Commission doit garantir que toutes les parties prenantes, acteurs publics ou privés, qui interviennent dans le cadre de la réserve de cybersécurité, remplissent les conditions juridiques et techniques nécessaires pour partager des informations et en recevoir. De l’avis du Comité, le besoin primordial auquel répond la diffusion d’informations concerne la résolution d’incidents, c’est-à-dire la manière dont les entités attaquées seront concrètement en mesure de gérer au mieux un incident majeur. |
|
12. |
Le Comité se félicite de la sévérité des exigences qui seront imposées aux prestataires de services du secteur privé pour qu’ils soient inclus dans la réserve de cybersécurité qu’il est proposé de constituer. Il convient cependant qu’elles soient formulées d’une manière telle qu’elles n’aboutissent pas à en exclure des compétences spécifiques ou une expertise systémique, dès lors que seule une poignée de très grands opérateurs serait en mesure de répondre aux conditions imposées pour les prestataires de services de sécurité. Pour se montrer aussi résiliente que possible, l’Union européenne a besoin d’asseoir ses efforts de sécurité sur une base étendue. |
|
13. |
Selon la proposition à l’examen, la réserve de cybersécurité doit consister en une liste de fournisseurs de confiance, lesquels seront certifiés conformément au règlement sur la cybersécurité (4). L’Agence de l’Union européenne pour la cybersécurité (ENISA) est chargée quant à elle de veiller à ce que les produits et les services répondent aux exigences qui ont été définies en matière de cybersécurité. Le CdR souligne qu’il importe que ladite agence élabore rapidement des schémas de certification, afin que les fournisseurs puissent être certifiés pour des technologies qui soient à jour (5). |
|
14. |
Il importe aussi que la création d’une réserve de cybersécurité ne s’effectue pas d’une manière qui entraverait la concurrence ou exclurait des acteurs dont l’activité ne couvre que certaines zones de l’Union. S’agissant de mettre cette réserve en place, ainsi que les certifications, il convient de recourir à une procédure rapide et clairement établie, afin de pouvoir recruter les intervenants qui sont les plus compétents et les plus indiqués dans ce domaine. |
|
15. |
Le Comité considère qu’il y a lieu de recenser les fournisseurs nationaux de technologies et de prestations en rapport avec les systèmes critiques et de consigner cet inventaire dans une base de données. Ces informations peuvent s’avérer très précieuses pour les actions qui nécessitent une mobilisation d’acteurs locaux, et elles se prêtent également à une utilisation dans le contexte des travaux menés par l’académie de cybersécurité. |
|
16. |
Lorsqu’un incident survient, les effets que produira la réponse qui lui est donnée dépendront de la rapidité avec laquelle cette réaction s’effectue. Les informations complexes qui sont partagées sur les incidents et les risques doivent parvenir le plus rapidement possible aux groupes destinataires. Dans ses modalités actuelles, la proposition prévoit qu’une organisation et une structure nouvelles seront mises en place aux fins de ces échanges d’informations. Le CdR entend toutefois souligner que lors de la création de centres de sécurité nationaux et transfrontières, il importera d’utiliser et d’affiner les canaux d’information existants, tels que EU-CyCLONe (6) et les centres de réponse aux incidents de sécurité informatique (CSIRT). |
Mécanisme d’analyse des incidents de cybersécurité
Il s’agit d’un mécanisme visant à analyser les incidents de cybersécurité, en particulier lorsqu’ils ont une incidence majeure.
|
17. |
Les besoins concernant les compétences en matière de cybersécurité, tout comme leur financement, épousent la courbe, résolument ascendante, de la numérisation. Le Comité se félicite que la Commission institue une académie des compétences en matière de cybersécurité, et il réclame le lancement d’une stratégie claire visant à renforcer les communes et régions qui sont de moindre taille ou dont les ressources sont contraintes, eu égard à la pénurie de compétences qui affecte l’Union européenne. |
|
18. |
Le Comité fait valoir qu’une résilience numérique forte nécessite que différents acteurs mènent une coopération à laquelle des entités publiques et privées contribuent en apportant leur expertise, leur expérience et leur personnel. Il met en avant le rôle que les collectivités locales et régionales jouent pour bâtir la résilience numérique, car elles peuvent s’épauler mutuellement en lançant des campagnes de sensibilisation, en échangeant des exemples de bonnes pratiques et en partageant leur expertise. Il fait observer que le coût que les auteurs d’attaques devront supporter sera d’autant plus élevé que les entreprises auront investi dans leur résilience numérique, et qu’une telle démarche pourrait également constituer une mesure à valeur dissuasive. |
|
19. |
À l’heure actuelle, les communes et les régions d’Europe supportent elles-mêmes les dépenses à engager pour maintenir un niveau élevé de cybersécurité, ainsi que pour assumer les coûts résultant des incidents en la matière. De l’avis du Comité, le risque existe que le règlement ne fasse qu’alourdir des tâches qui mobilisent des ressources déjà limitées. En conséquence, il importe de s’assurer que le texte ne devienne pas un fardeau, mais qu’au contraire, il accroisse les capacités de chaque entité, grâce à des outils, des méthodes et des aides de nature concrète. |
|
20. |
Le Comité s’interroge sur les raisons pour lesquelles les rapports d’analyse ne pourront être partagés au sein du réseau regroupant les centres d’opérations de sécurité nationaux et transfrontières: selon la proposition, en effet, les centres nationaux ne pourront accéder qu’aux informations publiques. Tirer les leçons des incidents constitue le principal instrument dont disposent les intervenants pour parvenir à améliorer et développer leur cybersécurité. En conséquence, il convient que l’ensemble des parties prenantes du réseau puissent accéder aux informations afférentes, avec tous leurs détails. |
|
21. |
La proposition aborde la question du financement en des termes qui sont par trop généraux. Le Comité souhaiterait qu’elle expose beaucoup plus clairement la manière dont les fonds sont destinés à être dépensés et de quelle façon ils seront, pour une bonne part, alloués aux régions et aux communes. |
|
22. |
Enfin, le Comité relève que la proposition à l’examen est conforme aux principes de subsidiarité et de proportionnalité. |
Bruxelles, le 30 novembre 2023.
Le président du Comité européen des régions
Vasco ALVES CORDEIRO
(1) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).
(2) Article 2, paragraphe 5 de la directive SRI 2: «Les États membres peuvent prévoir que la présente directive s’applique: a) aux entités de l’administration publique au niveau local; […]».
(3) Selon l’article 11, paragraphe 3, de la directive SRI 2, les centres de réponse aux incidents de sécurité informatique assument les missions suivantes:
|
a) |
surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d’information; |
|
b) |
activer le mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes concernées ainsi qu’auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel; |
|
c) |
réagir aux incidents et apporter une assistance aux entités essentielles et importantes concernées, le cas échéant; |
|
d) |
rassembler et analyser des données de police scientifique, et assurer une analyse dynamique des risques et incidents et une appréciation de la situation en matière de cybersécurité; |
|
e) |
réaliser, à la demande d’une entité essentielle ou importante, un scan proactif du réseau et des systèmes d’information de l’entité concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important; |
|
f) |
participer au réseau des CSIRT et apporter une assistance mutuelle en fonction de leurs capacités et de leurs compétences aux autres membres du réseau des CSIRT à leur demande; |
|
g) |
le cas échéant, agir en qualité de coordinateur aux fins du processus de divulgation coordonnée des vulnérabilités en vertu de l’article 12, paragraphe 1; |
|
h) |
contribuer au déploiement d’outils de partage d’informations sécurisés conformément à l’article 10, paragraphe 3. |
(4) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
(5) L’ENISA dispose actuellement de trois schémas de certification, dont le développement n’est pas encore achevé: ils concernent les technologies de l’information et de la communication (TIC), la 5G et les services de l’information en nuage (https://www.enisa.europa.eu/topics/standards/certification/eu-cybersecurity-certification-faq).
(6) Article 16, paragraphes 1 et 3 de la directive SRI 2:
Le réseau européen Cyber Crisis Liaison Organisation Network (UE-CyCLONe).
|
1. |
UE-CyCLONe est institué afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents de cybersécurité majeurs et crises, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union. |
|
3. |
EU-CyCLONe a pour tâches:
|
ELI: http://data.europa.eu/eli/C/2024/1049/oj
ISSN 1977-0936 (electronic edition)