N° 25 SESSION ORDINAIRE DE 2017-2018 6 décembre 2017 |
|
|
|
rÉsolution
europÉenne PORTANT AVIS MOTIVÉ sur la conformité au principe de subsidiarité de la proposition de
règlement relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement
(UE) n° 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la
cybersécurité) - COM (2017) 477 final |
|
Est devenue
résolution du Sénat, conformément à l’article 73 octies, alinéas 4 et 5, du
Règlement du Sénat, la résolution adoptée par la commission des affaires étrangères
dont la teneur suit : |
|
Voir
les numéros : Sénat : 79 (2017-2018). |
La proposition de règlement
COM (2017) 477 final sur la cybersécurité vise à renforcer l’Agence européenne
chargée de la sécurité des réseaux et de l’information (ENISA) et à établir un
cadre européen de certification de cybersécurité des produits et services des
technologies de l’information et de la communication.
Elle fixe six
objectifs :
– développer les
moyens et la préparation des États membres ;
– améliorer la
coopération et la coordination entre les États membres et les institutions
européennes ;
– accroître les moyens
au niveau de l’Union européenne pour compléter les actions des États membres en
cas de crise transfrontalière ;
– davantage sensibiliser
particuliers et entreprises aux questions de cybersécurité ;
– accroître
globalement la transparence et l’assurance de la cybersécurité ;
– éviter la
multiplication des systèmes de certification dans l’Union, ainsi que des
exigences de sécurité et des critères d’évaluation dans les différents États
membres.
Pour atteindre ces
objectifs, la Commission propose de renforcer l’ENISA et d’en faire l’acteur
incontournable de la cybersécurité européenne, alors qu’elle est actuellement
une agence aux moyens limités et dont le mandat doit s’achever en 2020.
L’ENISA serait dotée d’un
mandat permanent. Son champ d’action serait étendu à de nouvelles missions
liées au marché et à la certification de cybersécurité ainsi qu’à la
normalisation et à l’assistance technique en cas d’incidents significatifs.
Elle conserverait ses missions concernant, d’une part, l’élaboration et la mise
en œuvre de la politique de l’Union européenne en matière de cybersécurité, et,
d’autre part, le soutien au renforcement des capacités (moyens et compétences)
des États membres, à la coopération opérationnelle et à la gestion des crises.
L’ENISA serait donc
pérennisée et verrait ses compétences grandement élargies. Elle pourrait
notamment mener des enquêtes techniques au sein des États membres, suite à la
signalisation d’un incident de cybersécurité d’ampleur européenne, sur demande
de certains États membres ou de la Commission. Elle pourrait également apporter
une assistance technique à certains États membres en cas de cyberattaque, grâce
à une équipe d’intervention.
La proposition prévoit dans
une seconde partie l’instauration d’un cadre unique de certification reflétant
le niveau de sécurité des produits et services des technologies de l’information
et de la communication dans l’Union européenne, dont l’ENISA serait l’autorité
de référence. Un guichet unique permettrait aux entreprises de faire certifier
leurs produits.
Alors qu’aujourd’hui la
compétence et l’expertise en matière d’évaluation de sécurité se situent au
niveau des États membres, la proposition octroie cette compétence à l’ENISA. En
outre, dès lors qu’un schéma européen serait créé, tout certificat national se
verrait supprimé et il ne serait plus possible à l’avenir d’en adopter un,
alors même qu’il proposerait un niveau de sécurité plus élevé. Pour tous les
produits et services, le cadre proposé prévoit trois niveaux d’assurance :
élémentaire, substantiel et élevé.
Vu l’article 88-6 de la
Constitution,
Le Sénat fait les
observations suivantes :
– le Sénat soutient un
renforcement des capacités européennes en matière de cybersécurité et la
nécessité de disposer d’un cadre européen unique de certification de
cybersécurité pour les produits et les services des technologies de l’information
et de la communication, ainsi que pour les systèmes de cybersécurité ;
– cependant, il estime
que ces deux sujets devraient faire l’objet de deux textes différents, l’un
fixant le mandat de l’ENISA, l’autre établissant un cadre pour la
certification ;
Concernant les
compétences des États en matière de sécurité :
– le Sénat souligne
que la cybersécurité, de par l’importance qu’elle revêt pour la sécurité des
États membres, relève par plusieurs aspects de la souveraineté nationale ;
– par conséquent, les
États membres doivent conserver, d’une part, leur faculté d’adopter des normes
et des standards apportant un plus haut niveau de sécurité, et, d’autre part,
toute leur place dans le nouveau dispositif européen, fondée sur leur
participation volontaire à une cybersécurité européenne ;
– pour cette raison,
concernant la base juridique de la proposition, il estime qu’un règlement sur
la cybersécurité ne peut relever uniquement du fonctionnement du marché
intérieur (articles 26 et 114 du traité sur le fonctionnement de l’Union
européenne), mais qu’il doit aussi intégrer les enjeux de sécurité
(article 4 du traité sur l’Union européenne) ;
Concernant le mandat
révisé de l’ENISA :
– le Sénat estime que
les États membres doivent tous disposer de capacités techniques et opérationnelles
suffisantes en matière de cybersécurité et qu’il est bienvenu que l’ENISA les
soutienne et les accompagne dans cette démarche. Cela implique que l’ENISA ne
se substitue pas aux capacités opérationnelles des États membres et qu’elle ne
dispose pas d’une équipe d’intervention en cas de crise, dont la création n’est
pas justifiée ;
– le Sénat rappelle
que la coopération européenne dans la cybersécurité doit continuer à se faire
sur la base de la participation des États membres et de la transmission volontaire
d’informations sensibles, voire relevant de la sécurité nationale et que, par
conséquent, l’ENISA ne peut disposer de pouvoirs d’enquête tels que prévus à l’article 7,
point 5 de la proposition de règlement ;
Concernant la
certification de cybersécurité :
– le Sénat relève que
la proposition de règlement place l’ENISA au cœur du processus de
certification, alors que cette agence n’a aucune expertise en la matière ;
– il rappelle que l’action
menée depuis plusieurs années par une majorité d’États membres, dont la France,
a permis de faire de l’Europe une référence mondiale en termes de certification
de cybersécurité ;
– pour ces raisons, le
Sénat estime que la place prépondérante envisagée pour l’ENISA dans la
certification de cybersécurité, alors qu’elle ne dispose d’aucune expertise, n’est
pas justifiée et qu’elle pourrait entraîner un affaiblissement de la
cybersécurité dans l’Union européenne, ce qui est contraire à l’objectif de la
proposition ;
– en outre, il
convient que les États membres et les autorités nationales de contrôle de la
certification conservent leur légitime place au sein du futur processus de
certification européen et qu’ils ne soient pas cantonnés à un rôle uniquement
consultatif ;
Pour ces raisons, le Sénat
estime que la proposition de règlement COM (2017) 477 final ne
respecte pas le principe de subsidiarité.
Devenue résolution du Sénat le 6 décembre
2017.
Le
Président,
Signé :
Gérard LARCHER