L’arsenal européen renouvelé dans le domaine de la cybersécurité

Une année marquée par une importante disruption de notre quotidien : télétravail, apéroZoom, shopping, visites guidées en ligne de grandes villes connues, cours de Zumba par écran interposé…en 2020 nous avons passé une bonne partie de notre temps en ligne. Et les hackeurs en ont tiré profit, car d’importantes cyberattaques ont eu lieu en 2020. Le diagramme proposé par « Digital Attack Map » semble montrer une évolution plus sombre encore que celle des différentes vagues d’infection de la Covid-19 en 2020, avec un plateau élevé et constant des cyberattaques quotidiennes à travers le monde.

Sur le Vieux Continent, il semblerait que les institutions européennes aient pleinement pris conscience de l’importance du cyberespace et qu’elles sont en train de se construire un arsenal législatif pour s’améliorer sur ce terrain. Le 9 décembre 2020, le Conseil européen a annoncé dans un communiqué de presse que Bucarest accueillera un nouveau centre européen, celui des compétences industrielles, technologiques et de recherche en matière de cybersécurité. De plus, le 16 décembre dernier, la Commission a annoncé une révision de la célèbre directive sur la cybersécurité : la directive NIS de 2016.

Une nouvelle institution sur la cybersécurité

Le matin du 9 décembre 2020, la Roumanie s’est réjouie de l’annonce de la Commission sur la décision d’accueil du centre européen, celui des compétences industrielles, technologiques et de recherche en matière de cybersécurité à Bucarest.

Dans la compétition pour accueillir ce nouveau centre européen, plusieurs villes européennes ont été en course, dont Vilnius, Bruxelles, Luxembourg, Varsovie, Munich ou Léon. Le choix s’est arrêté sur Bucarest, après que les diplomates roumains ont négocié longuement afin d’apporter une première institution européenne dans leur pays.

Le nouveau centre n’est pas une institution européenne au sens classique du terme et ne vise pas à remplacer l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) créée en 2004 et située à Héraklion, en Grèce insulaire. Les objectifs du centre qui sera établi à Bucarest visent notamment à améliorer la cyber-résilience, et à soutenir la recherche et le développement technologique dans l’Union européenne. Un autre objectif phare de cette institution est de combler le déficit des compétences en matière de cybersécurité.

Une Union européenne avec deux institutions sur la cybersécurité

Ce qui est intéressant avec la création de ce centre européen à Bucarest, c’est qu’il vient épauler les missions de l’ENISA, chargée de la sécurité des réseaux informatiques. On peut ainsi se rendre compte de la volonté européenne d’exceller dans ce domaine sur le Vieux continent. Mais il faut aussi voir dans la création du centre européen une réponse aux nombreuses critiques faites à l’égard de l’ENISA. La plus grande d’entre elles est liée au fait que l’ENISA recourt d’une manière importante à des experts externes à l’UE. Avec ses propres experts, le centre européen pour les compétences en matière de cybersécurité devra répondre d’une manière prompte à ce reproche.

Selon le Conseil européen, la tâche principale du centre européen à Bucarest est de « financer de nouvelles recherches sur la cybersécurité, d’apporter un soutien financier et une assistance technique aux jeunes pousses et aux PME dans le domaine de la cybersécurité et de promouvoir ses normes ». Ce centre devra s’occuper notamment des programmes « Horizon Europe » et « Europe numérique » avec des enveloppes budgétaires très importantes.

Sa grande sœur, l’ENISA a pour mission d’assurer un niveau élevé de sécurité des réseaux et de l’information. Ainsi cette agence européenne, qui fonctionne depuis seize ans, verra sa besogne allégée par la nouvelle institution, et devra s’occuper principalement d’aider l’Union européenne et les États membres à être mieux équipés et préparés pour prévenir les problèmes de sécurité de l’information. Si avant 2019, l’ENISA était la seule institution européenne qui n’avait pas un mandat permanent, le règlement européen Cybersecurity Act adopté en 2019 remédie à ce problème en faisant de l’Agence européenne de la Cybersécurité une institution pérenne.

Pourtant le chantier numérique et de la cybersécurité ne s’est pas achevé seulement avec la création de la nouvelle institution à Bucarest.

Vers une révision du texte européen essentiel dans la cybersécurité : la directive NIS 2.0

C’est le 16 décembre 2020 que la Commission européenne a annoncé qu’elle adoptait la proposition de révision de la directive européenne qui traite de la cybersécurité : la directive NIS (directive on security of Network and Information Systems) adoptée en 2016.

Cette directive s’applique aux FSN (Fournisseurs de Services Numériques) et aux OSE (Opérateurs de services essentiels). La liste des OSE est édictée en France par le Premier ministre ; sont concernées notamment les entreprises des secteurs de l’énergie, des transports, de la banque, des marchés financiers, de la santé, de la distribution d’eau potable et des infrastructures numériques. Ces entreprises ont des obligations spécifiques visant à atteindre un niveau de sécurité numérique satisfaisant. Dans la révision proposée par la Commission, la liste des OSE sera étendue, comme par exemple au niveau des administrations publiques.

De plus, la proposition de révision NIS 2.0 apporte plus de précisions dans le domaine de la coopération entre l’ENISA et les agences nationales des États membres, mais aussi dans le domaine du management du risque dans la cybersécurité en précisant davantage les obligations des FSN et des OSE. Entre outre, la directive NIS 2.0 devra doter le système légal européen sur la cybersécurité avec plus de moyens, en instaurant même une liste de sanctions administratives.

Néanmoins le texte NIS 2.0 n’est pour l’instant qu’une proposition de la part de la Commission. On sait très bien que le chemin qu’un tel texte doit parcourir est bien long entre les consultations publiques et les multiples lectures entre le Parlement et le Conseil des ministres. On sait aussi que ce chemin peut être parcouru dans un temps plus ou moins long. On se rappelle toujours le texte phare en matière de protection des données personnelles, le RGPD, dont l’adoption a pris quatre ans, ou du règlement ePrivacy en matière des communications électroniques proposé par la Commission le 10 janvier 2017 qui est toujours au stade de négociations.

Enfin, il est nécessaire de souligner cette envie européenne de mieux réguler l’espace cyber, qui a été l’un des refuges les plus privilégiés en temps de pandémie. Au-delà des annonces importantes faites par les institutions européennes en décembre 2020 décrites plus haut, il est nécessaire d’évoquer deux autres textes tant attendus dans le droit numérique : le Digital Services Act et le Digital Market Act, dévoilés le 15 décembre 2020 par les commissaires européens Thierry Breton et Margrethe Vestager. Ces deux textes visant à « rebooter » les régulations en matière du marché numérique européen et en matière de fonctionnement des plateformes digitales, sont traités d’une manière approfondie dans un article paru au Taurillon le 2 janvier 2021.