La commission de l’industrie du Parlement européen a voté jeudi 9 mars en faveur du projet de rapport de la députée européenne Henna Virkkunen proposant d’introduire des normes communes de cybersécurité dans toutes les institutions de l’UE, ouvrant la voie au lancement de négociations en trilogue.
Le projet de loi est la version européenne de la directive révisée sur la sécurité des réseaux et de l’information (NIS2), qui a introduit des exigences de cybersécurité au niveau national pour les entités qui jouent un rôle essentiel dans le fonctionnement de la société.
Elle vise à instaurer un « niveau commun élevé de cybersécurité au sein des institutions, organes et organismes de l’Union ».
Cette législation répond aux préoccupations croissantes en matière de cybersécurité, déclenchées principalement par la numérisation croissante des organismes publics, des procédures administratives et du manque de préparation des organismes de l’UE à faire face à d’éventuelles attaques.
« Un niveau élevé de préparation à la cybersécurité doit être la norme dans les entités de l’UE », a déclaré Virkkunen. « Nous devons garantir des capacités techniques, des connaissances et des ressources suffisantes pour lutter efficacement contre les menaces de cybersécurité de plus en plus sophistiquées. »
La Commission européenne a proposé la législation en mars 2022, le même mois que La Cour des comptes européenne a publié une étude soulignant l’urgence de renforcer la capacité de cybersécurité des institutions de l’UE dans un paysage de menaces qui s’aggrave.
Selon les auditeurs, les organes de l’UE étaient des cibles de plus en plus attrayantes pour les cyberattaquants, les incidents graves ayant été multipliés par plus de 10 entre 2018 et 2021. Cette tendance a été en partie motivée par la pandémie de COVID-19, avec davantage de personnes travaillant à domicile.
Les auditeurs ont également constaté que les capacités de cyber-résilience de l’Union faisaient largement défaut et que les attaques ciblées présentaient un risque généralisé compte tenu de l’interdépendance des institutions de l’UE.
Le rapport appelle à une refonte de l’infrastructure de cybersécurité du bloc, affirmant que « l’UE doit faire plus pour protéger ses propres autorités ».
La proposition de la Commission introduisait des normes communes de cybersécurité telles que des cadres de gouvernance, des évaluations des risques et des plans d’amélioration de la cybersécurité.
Le règlement augmenterait également la capacité et le financement de l’équipe de réaction aux incidents de sécurité informatique (CERT-EU) de l’UE, qui supervise la sécurité des TIC des institutions et organisations de l’Union.
Le projet de rapport parlementaire a introduit des responsabilités supplémentaires pour le CERT-EU, telles que jouer un rôle de coordination dans la divulgation des vulnérabilités et le charger de proposer les critères et l’échelle des cadres de cybersécurité adoptés par les entités de l’UE.
Les amendements comprennent également une disposition visant à établir le CERT-EU en tant que « prestataire de services interinstitutionnel autonome pour toutes les entités de l’Union » intégré dans un service de la Commission, avec des évaluations régulières de son fonctionnement.
Celles-ci permettraient de modifier sa structure, y compris son éventuel rétablissement en tant que bureau de l’Union, en réaction à ce que le projet de rapport identifie comme « la criticité croissante de la cybersécurité et le niveau de menace en augmentation constante ».
Le rapport réorganise également le calendrier de signalement des incidents cybernétiques significatifs, en alignant les exigences de délai de notification sur celles de la directive NIS2.
Selon les modifications du rapport, les entités doivent soumettre une alerte précoce d’un incident dans les 24 heures suivant la prise de connaissance et une notification formelle d’incident, indiquant une évaluation initiale de sa gravité et de son impact, dans les 72 heures.
« Un cadre commun pour les mesures de cybersécurité pour les entités de l’UE est nécessaire pour améliorer leur résilience et leurs capacités de réponse aux incidents », a déclaré le rapporteur Virkkunen à la suite de l’approbation unanime du projet de rapport par la commission de l’industrie.
« Les entités de l’UE sont toutes interconnectées et il ne devrait y avoir aucun maillon faible dans la chaîne. Une approche interinstitutionnelle permettra aux entités de l’UE de développer leurs mesures de cybersécurité et leurs réponses aux cybermenaces et aux attaques potentielles.»
Le rapport parlementaire devrait être adopté sans vote en plénière. Le Conseil des ministres de l’UE ayant arrêté sa position sur le dossier en novembre, des négociations interinstitutionnelles, appelées trilogues, commenceront dans les semaines à venir.
Dans son approche, le Conseil a identifié des éléments pour renforcer le CERT-EU, en particulier ses capacités de partage d’informations, et renforcer la coordination lors de la réponse à des incidents cybernétiques importants.
[Edited by Luca Bertuzzi/Alice Taylor]