La Commission a adopté, hier, une proposition d’acte européen de cyber-solidarité visant à renforcer les capacités de cybersécurité dans l’UE. Cette loi favorisera la détection et la sensibilisation aux menaces et incidents liés à la cybersécurité, améliorera l’état de préparation des entités critiques et renforcera la solidarité, la gestion concertée des crises et les capacités de réaction dans les États membres.
Annoncée lors du FIC le 5 avril dernier par le Commissaire européen au Marché intérieur, Thierry Breton, la loi sur la cybersolidarité, dont il est le porte étendard, met en place les capacités de l’UE pour rendre l’Europe plus résiliente et plus réactive face aux cybermenaces. Cela tout en renforçant les mécanismes de coopération existants. Elle s’appuient sur la stratégie de l’UE en matière de cybersécurité ainsi que sur le cadre législatif de l’UE pour renforcer la résilience collective de l’UE face aux menaces croissantes en matière de cybersécurité. Il s’agit notamment de la directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union (NIS 2) et de la loi sur la cybersécurité. Pour rappel, dans le cadre de l’Union européenne de la sécurité, l’UE s’est engagée à veiller à ce que tous les citoyens et entreprises européens soient bien protégés, en ligne et hors ligne, et à promouvoir un cyberespace ouvert, sûr et stable. S’appuyant sur un cadre stratégique, politique et législatif solide déjà en place, la proposition de loi européenne sur la cyber-solidarité et l’académie des compétences en cybersécurité contribueront à améliorer la détection des cyber-menaces, la résilience et la préparation à tous les niveaux de l’écosystème de la cybersécurité de l’UE.
Ce que prévoit la loi cybersolidarité
La loi sur la cybersolidarité de l’UE a pour objectif de renforcer, comme son nom l’indique, la solidarité au niveau de l’Union afin de mieux détecter les incidents de cybersécurité importants ou à grande échelle, pour s’y préparer et y répondre via la création d’un bouclier européen de cybersécurité et d’un mécanisme d’urgence cybernétique complet. Pour détecter rapidement et efficacement les cybermenaces majeures, la Commission propose la mise en place d’une infrastructure paneuropéenne composée de centres opérationnels de sécurité (SOC) nationaux et transfrontaliers dans l’ensemble de l’UE. Il s’agit d’entités chargées de détecter les cybermenaces et d’agir en conséquence. Prévus au nombre de 6 ou 7, et sachant que 3 sont déjà en place, ces SOC utiliseront des technologies telles que l’intelligence artificielle (IA) et l’analyse avancée des données, pour détecter et partager en temps utile des alertes sur les cybermenaces et les incidents transfrontaliers. Les autorités et les entités concernées seront désormais en mesure de répondre plus efficacement aux incidents majeurs. Ils devraient être opérationnels d’ici le début de l’année 2024. Dans le cadre de la phase préparatoire du bouclier cybernétique européen, la Commission a sélectionné, en avril 2023, trois consortiums de centres opérationnels de sécurité (SOC) transfrontaliers, réunissant des organismes publics de 17 États membres et de l’Islande, dans le cadre du programme Europe numérique.
Un mécanisme d’urgence doté de trois actions concrètes
La loi européenne sur la cyber-solidarité prévoit également la création d’un mécanisme d’urgence cybernétique afin d’améliorer la préparation et les capacités de réponse aux incidents dans l’UE.
Ce mécanisme soutiendra des actions :
- de préparation, y compris des tests de vulnérabilité pour les entités des secteurs hautement critiques (soins de santé, transports, énergie, etc.), sur la base de scénarios de risque et de méthodologies communes.
- la création d’une nouvelle réserve de cybersécurité de l’UE, composée de services de réponse aux incidents fournis par des prestataires de confiance, sous contrat préalable et donc prêts à intervenir, à la demande d’un État membre ou des institutions, organes et agences de l’Union, en cas d’incident de cybersécurité important ou de grande ampleur
- de soutien financier pour l’assistance mutuelle, lorsqu’un État membre pourrait offrir son aide à un autre État membre.
Le budget total pour l’ensemble des actions menées dans le cadre de la loi européenne sur la cybersolidarité s’élève à 1,1 milliard d’euros, dont les deux tiers environ seront financés par l’UE dans le cadre du programme “Europe numérique”.
Prochaines étapes
Le Parlement européen et le Conseil vont maintenant examiner la proposition de règlement relatif à la loi européenne sur la cybersolidarité, ainsi que la modification ciblée de la loi sur la cybersécurité. Le Centre européen de compétence en matière de cybersécurité organisera une acquisition conjointe d’outils et d’infrastructures avec les centres d’opérations de sécurité transfrontaliers sélectionnés afin de mettre en place des capacités de cyberdétection. L’Agence européenne pour la cybersécurité (ENISA) et le Centre européen de compétence en matière de cybersécurité continueront de leur côté à travailler sur les compétences en matière de cybersécurité, en contribuant à la mise en œuvre de l’Académie des compétences en cybersécurité, conformément à leurs mandats respectifs et en étroite coopération avec la Commission et les États membres.