La commission de l’industrie (ITRE) du Parlement européen a voté jeudi (9 mars) en faveur du projet de rapport de l’eurodéputée Henna Virkkunen proposant d’introduire des normes de cybersécurité communes à toutes les institutions de l’UE, ouvrant ainsi la voie à des négociations en trilogue.
Le projet de loi constitue la version de la directive révisée sur les réseaux et la sécurité des systèmes d’information (SRI2) à l’échelle européenne, dans la mesure où celle-ci a déjà introduit des exigences de cybersécurité au niveau national pour les entités jouant un rôle essentiel dans le fonctionnement de la société.
Cette directive a pour objectif d’instaurer un « niveau commun élevé de cybersécurité dans les institutions, organes et organismes de l’Union ».
Cette législation répond aux préoccupations grandissantes en matière de cybersécurité, suscitées principalement par la numérisation croissante des organismes publics et des procédures administratives — ainsi que par le manque de préparation des organes de l’UE face à d’éventuelles attaques.
« Un niveau élevé de préparation en matière de cybersécurité doit devenir la norme dans les entités de l’UE », a déclaré la rapporteure, Mme Virkkunen. « Nous devons garantir des capacités techniques, des connaissances et des ressources suffisantes pour faire face efficacement à des menaces de plus en plus sophistiquées en matière de cybersécurité. »
La Commission européenne avait proposé cette législation en mars 2022, le mois même où la Cour des comptes européenne publiait une étude soulignant l’urgence de renforcer les capacités des institutions de l’UE en matière de cybersécurité dans un contexte de menaces grandissantes.
Les auditeurs de la Cour des comptes ont constaté que les organes de l’UE constituaient des cibles particulièrement attractives pour les cyberattaquants, les incidents graves ayant été multipliés par plus de 10 entre 2018 et 2021. Cette tendance s’explique en partie par la pandémie de Covid-19, qui a entraîné une augmentation du nombre de membres du personnel travaillant à domicile.
Par ailleurs, les auditeurs ont également relevé que les capacités de cyber-résilience de l’Union présentaient des lacunes importantes et que les attaques ciblées constituaient un risque généralisé compte tenu de l’interconnexion des institutions de l’UE.
Le rapport appelle à une refonte de l’infrastructure de cybersécurité de l’Union et indique que « l’UE doit faire davantage pour protéger ses propres instances ».
La proposition de la Commission prévoit des normes communes en matière de cybersécurité, telles que des cadres de gouvernance, des évaluations des risques et des plans d’amélioration en matière de cybersécurité.
Le règlement prévoit également d’accroître la capacité et le financement de l’Équipe d’intervention en cas d’urgence informatique pour les institutions, organes et agences de l’UE (CERT-EU), qui veille à la sécurité des technologies de l’information et de la communication (TIC) des institutions et des organisations de l’Union.
Le projet de rapport parlementaire introduit de nouvelles responsabilités pour CERT-UE, telles que la coordination de la communication des vulnérabilités et la proposition de critères et d’une échelle pour les cadres de cybersécurité adoptés par les entités de l’UE.
Les amendements comprennent également une disposition visant à faire de CERT-UE un « prestataire de services interinstitutionnel autonome pour toutes les entités de l’Union » intégré dans un service de la Commission, avec des évaluations régulières de son fonctionnement.
Cela permettrait de modifier sa structure, en réaction à ce que le projet de rapport identifie comme « le caractère critique accru de la cybersécurité et le niveau de menace qui ne cesse de croître ».
Le rapport réorganise également le calendrier de notification des cyber-incidents majeurs, en alignant les exigences relatives au délai de notification sur celles de la directive SRI2.
Conformément aux amendements du rapport, les entités devront soumettre une alerte précoce dans les 24 heures suivant la prise en compte d’un incident et une notification formelle de l’incident. En outre, elles seront tenues de fournir une première évaluation de la gravité et de l’impact de l’incident dans les 72 heures suivant la prise de connaissance de l’incident.
« Un cadre commun relatif aux mesures de cybersécurité pour les entités de l’UE est nécessaire pour améliorer leur résilience et leurs capacités de réaction aux incidents », a déclaré Mme Virkkunen à la suite du vote unanime de la commission de l’industrie en faveur du projet de rapport.
« Les entités de l’UE sont toutes interconnectées et il ne doit pas y avoir de maillon faible dans la chaîne. Une approche interinstitutionnelle permettra aux entités de l’UE de développer leurs mesures de cybersécurité et leurs réponses aux cybermenaces et aux attaques potentielles. »
Le rapport parlementaire devrait être adopté sans vote en séance plénière. Le Conseil des ministres de l’UE ayant arrêté sa position sur le dossier en novembre, les négociations interinstitutionnelles, appelées trilogues, débuteront dans les semaines à venir.
Dans son approche, le Conseil a identifié des éléments permettant de renforcer CERT-UE, en particulier en ce qui concerne ses capacités d’échange d’informations, et d’améliorer l’efficacité de la coordination en cas d’incidents majeurs liés à la cybersécurité.
Source: Euractiv