La Commission se félicite de l'accord politique sur la législation sur la cybersolidarité

La Commission se félicite de l'accord politique conclu la nuit dernière entre le Parlement européen et le Conseil sur le règlement sur la cybersolidarité, proposé par la Commission en avril 2023.

Le règlement sur la cybersolidarité renforcera la solidarité au niveau de l'UE afin de mieux détecter les cybermenaces et incidents, de s'y préparer et d'y réagir. Elle intervient à un moment crucial pour la cybersécurité de l'UE, étant donné que le paysage des cybermenaces dans l'UE continue d'être touché par les événements géopolitiques.

La législation sur la cybersolidarité comprend trois actions :

Premièrement, la mise en place d'un système européen d'alerte en matière de cybersécurité, composé d'un réseau de cyberpôles nationaux et transfrontaliers, qui s'appuiera sur des outils et des infrastructures de pointe, tels que l'intelligence artificielle et l'analyse avancée des données, pour détecter rapidement les cybermenaces et les incidents. Cette infrastructure fournira une connaissance de la situation en temps réel aux autorités et aux autres entités concernées, ce qui leur permettra de réagir efficacement à ces menaces et incidents. En avril 2023, deux consortiums d'États membres ont été constitués pour acquérir conjointement et recevoir des subventions pour l'exploitation et le lancement d'une phase pilote de ces outils et infrastructures dans le cadre du programme pour une Europe numérique.

Deuxièmement, le règlement crée également un mécanisme d'urgence en matière de cybersécurité qui renforcera les capacités de préparation et de réaction aux cyberincidents importants et majeurs. Le mécanisme soutiendra trois grands domaines :

1. Actions de préparation : coordonnerles tests de préparation des entités opérant dans des secteurs critiques, y compris la santé ou l'énergie, en vue de détecter d'éventuelles vulnérabilités.
2. Une nouvelle réserve de cybersécurité de l'UE : il s'agit de services de réponse aux incidents fournis par des fournisseurs de confiance prêts à intervenir à la demande d'États membres, d'institutions, organes ou organismes de l'Union européenne ou d'un pays tiers associé à la présente action spécifique au titre du programme pour une Europe numérique, en cas d'incidents de cybersécurité importants ou majeurs.
3. Soutienfinancier à l'assistance mutuelle : aider un État membre à fournir une assistance technique à un autre État membre touché par un incident de cybersécurité important ou majeur.

Troisièmement, la proposition établit également un mécanisme européen d'examen des incidents de cybersécurité afin d'examiner et d'évaluer les incidents importants ou majeurs après qu'ils se sont produits, dans le but de formuler des recommandations visant à améliorer la position de l'UE en matière de cybersécurité.

Le Parlement européen et le Conseil sont également parvenus à un accord sur la modification du règlement sur la cybersécurité. Cet amendement ouvre la possibilité d'adopter des systèmes européens de certification pour les services de sécurité gérés. Il contribuera à fournir un cadre pour la mise en place de fournisseurs de confiance dans la réserve de cybersécurité de l'UE au titre du règlement sur la cybersolidarité.

Les services de sécurité gérés jouent un rôle important dans la prévention des incidents de cybersécurité et dans la réaction à ces incidents. Toutefois, ils sont eux-mêmes la cible d'acteurs malveillants qui cherchent à accéder aux environnements sensibles de leurs clients. La certification de ces services renforcera la cybersécurité dans l'ensemble de l'Union, en favorisant la confiance et la transparence dans la chaîne d'approvisionnement. Cela est essentiel pour les entreprises et les opérateurs d'infrastructures critiques, qui disposeront d'un critère de référence clair lors de l'achat de services de cybersécurité.

Prochaines étapes

L'accord conclu hier soir est maintenant soumis à l'approbation formelle du Parlement européen et du Conseil. Une fois formellement adoptée, la loi sur la cybersolidarité entrera en vigueur le 20^e jour suivant celui de sa publication au Journal officiel.

Le règlement sur la cybersolidarité augmentera le financement des actions en matière de cybersécurité au titre du programme pour une Europe numérique pour la période 2025-2027.

Contexte

Avec la proposition de règlement de l'UE sur la cybersolidarité, la Commission répond aux demandes des États membres de renforcer la cyber-résilience de l'UE et tient l'engagement qu'elle a pris dans la communication conjointe de 2022 sur la cyberdéfense de préparer une initiative de l'UE en matière de cybersolidarité. 

La législation sur la cybersolidarité est l'un des éléments constitutifs de cet objectif, parallèlement à la législation sur la cyber-résilience et à la directive SRI 2. Il s'appuie sur la stratégie de cybersécurité de l'UE de 2020 et sur la stratégie de l'UE pour l'union de la sécurité de 2020.  

Parallèlement au règlement sur la cybersolidarité, la Commission a publié une proposition de modification ciblée du règlement sur la cybersécurité afin de permettre l'adoption de schémas européens de certification de cybersécurité pour les services de sécurité gérés.

La Commission a également annoncé la communication sur l'académie des compétences en matière de cybersécurité, afin de combler le déficit de talents en matière de cybersécurité dans le cadre de l' Année européenne des compétences 2023. L'Académie rassemblera diverses initiatives existantes visant à promouvoir les compétences en matière de cybersécurité et les mettra à disposition sur une plateforme en ligne, ce qui augmentera leur visibilité et augmentera le nombre de professionnels de la cybersécurité qualifiés dans l'UE.