N° 25
SÉNAT
                  

SESSION ORDINAIRE DE 2017-2018

6 décembre 2017

Pour supprimer ce cadre : [Tableau] – [Supprimer] – [Lignes]

ATTENTION

DOCUMENT PROVISOIRE

Seule l’impression définitive a valeur de texte authentique

rÉsolution europÉenne

PORTANT AVIS MOTIVÉ

sur la conformité au principe de subsidiarité de la proposition de règlement relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité) - COM (2017) 477 final

Est devenue résolution du Sénat, conformément à l’article 73 octies, alinéas 4 et 5, du Règlement du Sénat, la résolution adoptée par la commission des affaires étrangères dont la teneur suit :

Voir les numéros :

Sénat :  79 (2017-2018).

La proposition de règlement COM (2017) 477 final sur la cybersécurité vise à renforcer l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et à établir un cadre européen de certification de cybersécurité des produits et services des technologies de l’information et de la communication.

Elle fixe six objectifs :

– développer les moyens et la préparation des États membres ;

– améliorer la coopération et la coordination entre les États membres et les institutions européennes ;

– accroître les moyens au niveau de l’Union européenne pour compléter les actions des États membres en cas de crise transfrontalière ;

– davantage sensibiliser particuliers et entreprises aux questions de cybersécurité ;

– accroître globalement la transparence et l’assurance de la cybersécurité ;

– éviter la multiplication des systèmes de certification dans l’Union, ainsi que des exigences de sécurité et des critères d’évaluation dans les différents États membres.

Pour atteindre ces objectifs, la Commission propose de renforcer l’ENISA et d’en faire l’acteur incontournable de la cybersécurité européenne, alors qu’elle est actuellement une agence aux moyens limités et dont le mandat doit s’achever en 2020.

L’ENISA serait dotée d’un mandat permanent. Son champ d’action serait étendu à de nouvelles missions liées au marché et à la certification de cybersécurité ainsi qu’à la normalisation et à l’assistance technique en cas d’incidents significatifs. Elle conserverait ses missions concernant, d’une part, l’élaboration et la mise en œuvre de la politique de l’Union européenne en matière de cybersécurité, et, d’autre part, le soutien au renforcement des capacités (moyens et compétences) des États membres, à la coopération opérationnelle et à la gestion des crises.

L’ENISA serait donc pérennisée et verrait ses compétences grandement élargies. Elle pourrait notamment mener des enquêtes techniques au sein des États membres, suite à la signalisation d’un incident de cybersécurité d’ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d’intervention.

La proposition prévoit dans une seconde partie l’instauration d’un cadre unique de certification reflétant le niveau de sécurité des produits et services des technologies de l’information et de la communication dans l’Union européenne, dont l’ENISA serait l’autorité de référence. Un guichet unique permettrait aux entreprises de faire certifier leurs produits.

Alors qu’aujourd’hui la compétence et l’expertise en matière d’évaluation de sécurité se situent au niveau des États membres, la proposition octroie cette compétence à l’ENISA. En outre, dès lors qu’un schéma européen serait créé, tout certificat national se verrait supprimé et il ne serait plus possible à l’avenir d’en adopter un, alors même qu’il proposerait un niveau de sécurité plus élevé. Pour tous les produits et services, le cadre proposé prévoit trois niveaux d’assurance : élémentaire, substantiel et élevé.

Vu l’article 88-6 de la Constitution,

Le Sénat fait les observations suivantes :

– le Sénat soutient un renforcement des capacités européennes en matière de cybersécurité et la nécessité de disposer d’un cadre européen unique de certification de cybersécurité pour les produits et les services des technologies de l’information et de la communication, ainsi que pour les systèmes de cybersécurité ;

– cependant, il estime que ces deux sujets devraient faire l’objet de deux textes différents, l’un fixant le mandat de l’ENISA, l’autre établissant un cadre pour la certification ;

Concernant les compétences des États en matière de sécurité :

– le Sénat souligne que la cybersécurité, de par l’importance qu’elle revêt pour la sécurité des États membres, relève par plusieurs aspects de la souveraineté nationale ;

– par conséquent, les États membres doivent conserver, d’une part, leur faculté d’adopter des normes et des standards apportant un plus haut niveau de sécurité, et, d’autre part, toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ;

– pour cette raison, concernant la base juridique de la proposition, il estime qu’un règlement sur la cybersécurité ne peut relever uniquement du fonctionnement du marché intérieur (articles 26 et 114 du traité sur le fonctionnement de l’Union européenne), mais qu’il doit aussi intégrer les enjeux de sécurité (article 4 du traité sur l’Union européenne) ;

Concernant le mandat révisé de l’ENISA :

– le Sénat estime que les États membres doivent tous disposer de capacités techniques et opérationnelles suffisantes en matière de cybersécurité et qu’il est bienvenu que l’ENISA les soutienne et les accompagne dans cette démarche. Cela implique que l’ENISA ne se substitue pas aux capacités opérationnelles des États membres et qu’elle ne dispose pas d’une équipe d’intervention en cas de crise, dont la création n’est pas justifiée ;

– le Sénat rappelle que la coopération européenne dans la cybersécurité doit continuer à se faire sur la base de la participation des États membres et de la transmission volontaire d’informations sensibles, voire relevant de la sécurité nationale et que, par conséquent, l’ENISA ne peut disposer de pouvoirs d’enquête tels que prévus à l’article 7, point 5 de la proposition de règlement ;

Concernant la certification de cybersécurité :

– le Sénat relève que la proposition de règlement place l’ENISA au cœur du processus de certification, alors que cette agence n’a aucune expertise en la matière ;

– il rappelle que l’action menée depuis plusieurs années par une majorité d’États membres, dont la France, a permis de faire de l’Europe une référence mondiale en termes de certification de cybersécurité ;

– pour ces raisons, le Sénat estime que la place prépondérante envisagée pour l’ENISA dans la certification de cybersécurité, alors qu’elle ne dispose d’aucune expertise, n’est pas justifiée et qu’elle pourrait entraîner un affaiblissement de la cybersécurité dans l’Union européenne, ce qui est contraire à l’objectif de la proposition ;

– en outre, il convient que les États membres et les autorités nationales de contrôle de la certification conservent leur légitime place au sein du futur processus de certification européen et qu’ils ne soient pas cantonnés à un rôle uniquement consultatif ;

Pour ces raisons, le Sénat estime que la proposition de règlement COM (2017) 477 final ne respecte pas le principe de subsidiarité.

Devenue résolution du Sénat le 6 décembre 2017.

                                                                  Le Président,

                                                       Signé : Gérard LARCHER