Pour gérer vos consentements :

Cyber Solidarity Act : 5 questions sur la « réserve de cybersécurité »

Publié par Clément Bohic le | Mis à jour le

Budget, périmètre, fournisseurs, bénéficiaires… Comment se présente la « réserve de cybersécurité » qu’instaure le Cyber Solidarity Act ?

Qui constituera le « bouclier cyber européen » ? Nous nous sommes interrogés, cette semaine, au sujet de ce dispositif auquel le Cyber Solidarity Act ouvre la voie.

Le règlement crée aussi, entre autres mesures, un « mécanisme d’urgence ». Celui-ci englobe des actions de préparation, une assistance mutuelle entre autorités nationales… et une « réserve de cybersécurité ».

La Commission européenne avait déposé sa proposition en avril 2023.
En décembre, Parlement et Conseil avaient tour à tour livré leur position de négociation. Ils viennent de trouver un accord politique – qu’il leur reste à formaliser. En attendant le texte final, intéressons-nous à la manière dont les institutions ont posé les jalons de cette fameuse réserve.

Que couvrira la réserve de cybersécurité ?

Dans les grandes lignes, la réserve donnera accès à des services de sécurité managés qui accompagneront la réponse aux incidents « importants » ou « majeurs » (tels que définis dans la NIS2) touchant des entités de secteurs critiques ou hautement critiques.

Le Conseil a souhaité préciser que ces services devaient être « en stand-by et déployables à court terme ».

La Commission entendait donner un délai d’un mois aux bénéficiaires pour communiquer un retour d’expérience. Le Conseil a souhaité l’étendre à trois mois. Il a, en parallèle, proposé un autre délai : 72 heures pour répondre aux demandes d’aide. Le Parlement a proposé 24 heures.
En toile de fond, un rapport la Cour des comptes européenne publié quelques semaines en amont. L’institution avait déploré l’absence d’un tel délai de réponse dans le texte de la Commission.

La rédaction du Conseil invite à instaurer un système de conversion des services d’assistance en services de préparation s’il n’a pas été possible de les consommer à temps.
Celle du Parlement introduit une possibilité similaire. Plus précisément, la transformation en exercices ou en entraînements lorsqu’il « est apparent que les services ne peuvent être pleinement utilisés » pour les finalités requises.

Le Conseil est allé plus loin, souhaitant que l’aide ne couvre que l’étape initiale de restauration. Et non tout le processus, dont il est difficile d’anticiper les coûts.
Quant au Parlement, il a proposé de réaliser des exercices entre les fournisseurs et les utilisateurs potentiels pour s’assurer du bon fonctionnement de la réserve.

Qui en aura la responsabilité ?

Le texte initial donne à la Commission européenne la responsabilité globale de la mise en oeuvre de la réserve. Et la possibilité de confier, en tout ou en partie, le fonctionnement et l’administration à l’ENISA.
La version du Conseil supprime cette attribution de responsabilité. Et ajoute que l’UE « devrait vraiment envisager » de confier à l’ENISA l’exploitation et l’administration.

La Commission s’est réservé le droit de préciser, par actes d’exécution, les types et le nombre de services requis dans la réserve. Mais aussi de préciser les modalités de leur attribution.
Le Parlement a impulsé une coordination avec le groupe de coopération NIS pour déterminer les priorités et les évolutions de la réserve. Le Conseil y a ajouté le réseau CyCLONe et l’ENISA.
Dans un rapport de novembre 2023, la Chambre de commerce américaine auprès de l’UE a appelé à constituer une plate-forme de consultation entre partenaires publics et privés, avec des représentants de l’ENISA, du réseau des CSIRT, du groupe de coopération NIS et de fournisseurs.

Les États membres inquiets pour leur souveraineté

Pour aider à la mise en place de la réserve, l’ENISA est censée élaborer une cartographie des services nécessaires après consultation des États membres et de la Commission.
Le Conseil a souhaité une révision au minimum bisannuelle de cette cartographie. Le Parlement a précisé la nécessité d’y inclure l’aspect compétences. Tout en laissant la porte à la sollicitation « d’autres représentants du secteur de la cybersécurité ».
La Chambre de commerce américaine auprès de l’UE a quant à elle suggéré que l’ENISA conduise une étude de marché.

Le texte initial confie l’évalue des demandes d’aide à la Commission, assistée par l’ENISA. Pour le Conseil, cette tâche doit revenir à l’autorité contractante. Les trois institutions sont plus ou moins d’accord sur les critères de priorisation de ces demandes : gravité des incidents, types d’entités touchées, nature transfrontière potentielle…

Quelques jours avant la publication du texte initial, les gouvernements de 24 États membres avaient communiqué leurs craintes à Bruxelles. Dans quelle mesure auraient-ils la main sur la certification et le déploiement des services ? En cas d’attaque transfrontière, qui déciderait de la mise en oeuvre du mécanisme ? Allaient-ils pouvoir conserver le pouvoir de répondre « en local » à des menaces cyber ? La décision d’impliquer des sociétés privées dans la résolution d’incidents resterait-elle de leur ressort ?…

Qui pourra en bénéficier ?

Au sens du texte initial, les fameuses « autorités contractantes » peuvent être, au niveau des États membres, les autorités chargées de la gestion des crises cyber et les CSIRT. Au niveau de l’UE, les institutions, organes et organismes.
La rédaction du Conseil élimine ces institutions, organes et organismes au profit du CERT-EU.

Les pays tiers associés au programme pour une Europe numérique (DEP) peuvent solliciter l’aide de la réserve si leur accord le prévoit. La Commission considère que l’UE devrait financer ce soutien dans le cadre des partenariats et des instruments de financement concernés pour ces pays.
Le Conseil relève qu’une telle ouverture est susceptible d’affecter l’aide aux États membres et à l’UE. Il propose ainsi de la restreindre aux entités citées aux annexes I et II de la NIS2. Autre risque envisagé : un effet sur les relations avec les pays tiers. Y compris dans le contexte de la politique étrangère et de sécurité commune et de la politique de sécurité et de défense commune. Aussi le Conseil a-t-il voulu se réserver le droit d’autoriser la fourniture d’aides et d’en déterminer la durée.

Qui seront les fournisseurs ?

La rédaction de la Commission, quoique non harmonisée, privilégie les formules « services de sécurité gérés » et « fournisseurs privés de confiance ». La notion de « privé » a disparu autant chez le Parlement que chez le Conseil.

La sélection des fournisseurs se fera par passation de marchés. L’essentiel des critères sont gravés dans le marbre depuis le texte initial : intégrité professionnelle, structure de gouvernance transparente, expérience dans la fourniture de services similaires à des autorités nationales ou à des entités pertinentes, etc.

L’autorité contractante devrait pouvoir ajouter des critères reflérant les besoins spécifique d’un État membre, a estimé le Conseil. Le Parlement a, de son côté, poussé davantage de critères globaux. Dont la capacité à fournir les services en dehors de toute offre groupée, « laissant ainsi la possibilité de changer de fournisseur ».

Le Parlement souhaite que ne soient éligibles que les fournisseurs dont la structure de management se trouve dans l’UE, dans un pays associé ou dans un pays tiers membre de l’Accord sur les marchés publics de l’OMC. Ou à défaut, qui ont été examinés selon les dispositions du règlement sur le contrôle des investissements directs étrangers.

Oui aux fournisseurs non européens, mais jusqu’où ?

Du côté du Conseil, on a proposé d’amender le règlement instaurant le DEP pour autoriser les entités établies dans l’UE mais contrôlées depuis des pays tiers si et seulement si deux éléments sont satisfaits :

– Risque réel qu’une technologie, une expertise ou une capacité nécessaire et suffisante pour que la réserve remplisse ses fonctions ne soit pas disponible chez des entités établies dans les États membres et contrôlées par ces derniers ou par des résidents

– Le risque lié à l’inclusion de ces entités est proportionnel aux bénéfices et n’ébranle pas les intérêts sécuritaires essentiels de l’UE et de ses États membres

Le Parlement invite successivement à encourager la participation des PME européennes et des « petits fournisseurs actifs aux niveaux régional et local ».
En septembre, DIGITALEUROPE avait appelé à viser plus large. En l’occurrence, à inclure des fournisseurs issus de pays alliés de l’OTAN, de pays candidats à l’intégration dans l’UE et de pays « ayant le même état d’esprit, comme la Suisse et Israël ».

La Chambre de commerce américaine auprès de l’UE avait suggéré d’expliciter que les entités établies dans l’UE mais contrôlées par des pays tiers pouvaient participer à la réserve aussi longtemps qu’elles respectaient les critères généraux.

Quels moyens financiers ?

La Commission a proposé de prélever 100 M€ sur des fonds prévus pour d’autres objectifs stratégiques du DEP et d’en flécher une partie vers la réserve.

Le Parelement a tempéré cette ambition. La réserve n’était pas envisagée lors de l’adoption du cadre financier pluriannuel 2021-2027 de l’UE, précise-t-il. Il faut donc réduire la quantité de ressources financières dédiées à la réserve. Et minimiser la réaffectation de fonds attribués à des programmes existants, « en particulier Erasmus+ ».

Aussi les eurodéputés ont-ils proposé d’amender le règlement DEP pour limiter l’enveloppe budgétaire à 27 M€.

Illustration © garrykillian – Adobe Stock

La rédaction vous recommande