Le Cyber Solidarity Act a été proposé le 18 avril 2023 par la Commission européenne.

Il vise à améliorer la préparation, la détection et la réponse aux incidents de cybersécurité dans l'Union Européenne. Le projet comprend un bouclier européen de cybersécurité constitué de centres d'opérations de sécurité interconnectés, un mécanisme d'urgence de cybersécurité et d’examen des incidents.

1. Cyber Solidarity Act : bouclier européen de cybersécurité

Le Chapitre II du règlement concerne le bouclier européen de cybersécurité. Il sera composé de centres opérationnels de sécurité (SOC) répartis dans l'UE et utilisant l'intelligence artificielle et l'analyse de données pour détecter et partager des alertes sur les menaces.

Dans ce cadre, chaque État membre participant doit désigner un Centre de sécurité opérationnelle national (SOC), qui servira de point de référence et de passerelle pour collecter et analyser les informations sur les menaces et les incidents de cybersécurité. Les SOCs nationaux peuvent être sélectionnés pour participer à un achat groupé d'outils et d'infrastructures avec le Centre de compétence européen en matière de cybersécurité (ECCC) et recevoir une subvention pour leur fonctionnement.

La création d’un réseau de SOCs transfrontaliers[1] est également prévu. Ils sont composés d'au moins trois États membres représentés par un SOC national. Leur objectif est notamment de partager des informations sur les menaces cybernétiques entre eux. Ils doivent assurer une haute interopérabilité et conclure des accords de coopération avec d'autres SOCs transfrontaliers.

En cas d'incident majeur de cybersécurité, les informations pertinentes doivent être communiquées à l'UE Cyber crisis liaison organisation network de L’Agence de l’Union européenne pour la cybersécurité (CyCLONe-ENISA), au réseau des Computer security Incidence Response Teams (CSIRT) et à la Commission.

2. Cyber Solidarity Act : mécanisme d’urgence de cybersécurité

Le Chapitre III établit un mécanisme d'urgence de cybersécurité qui devrait améliorer la préparation et la réponse aux incidents en testant les entités des secteurs clés, en créant une réserve de cybersécurité de l'UE et en soutenant l'assistance mutuelle entre les États membres.

Ce mécanisme comprend des actions pour la préparation, la réponse et la récupération immédiate face aux incidents de cybersécurité majeurs et importants au sens des articles 6(7) et 23(3) de la directive 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2 ou NIS 2)  à des incidents de cybersécurité.

Une réserve de prestataires de service de confiance en cybersécurité de l'UE est constituée et mobilisable pour fournir des services de réponse aux incidents importants et majeurs. Les prestataires seront choisis selon des critères prévus par l’article 16 de cette proposition (intégrité professionnelle du personnel, protection des informations sensibles, habilitation de sécurité, niveau de sécurité approprié, expérience…). Les États membres, les institutions de l'Union et les CSIRT peuvent bénéficier de cette réserve. La Commission est responsable de la mise en œuvre de la réserve et peut confier tout ou partie de la gestion à l'ENISA.

3. Cyber Solidarity Act : examen des incidents par l'ENISA

Le Chapitre IV du règlement proposé établirait également un mécanisme d'examen des incidents de cybersécurité pour évaluer et examiner les incidents spécifiques. L’ENISA sera responsable de cet examen et devra fournir un rapport contenant les enseignements tirés et, le cas échéant, des recommandations pour améliorer la réponse aux cyber-incidents de l'Union.

Le Chapitre IV prévoit un mécanisme d'examen des incidents de cybersécurité. À la demande de la Commission, de CyCLONe ou du réseau des CSIRT, l'ENISA doit évaluer les menaces, les vulnérabilités et les actions d'atténuation pour un incident spécifique et fournir un rapport d'examen.

4. Financement

Le financement du bouclier et du mécanisme d'urgence proviendra de l'objectif stratégique « Cybersécurité » du programme Digital Europe (DEP). Le budget total pour les actions de cybersécurité dans le cadre du DEP s'élèvera à 842,8 millions d'euros, incluant une augmentation de 100 millions d'euros réaffectés d'autres objectifs stratégiques.

Toutefois, une large latitude est accordée aux États membres pour organiser leur propre protection, sous réserve des règles applicables, notamment celles obligeant les opérateurs économiques à mettre en œuvre des mesures de prévention et de protection en interne, conformément à la transposition des directives NIS 1 et 2 en droit national depuis décembre 2022. Par exemple, la France a investi 8 milliards d'euros en cybersécurité en 2022, notamment pour déployer 1500 cyberpoliciers et cybergendarmes, créer une école de formation en cybersécurité, mettre en place un numéro d'urgence pour signaler les cyberattaques (le 17 cyber) et prévoit d'investir 15 milliards d'euros entre 2023 et 2027. En outre, les règles pénales ne sont pas, pour l'instant, imposées par l'Union européenne. Il semble donc clair que les États membres disposent d'une certaine autonomie pour définir leur stratégie en matière de cybersécurité.

5. Conclusion

L'instauration d'un système de solidarité pour combattre la cybercriminalité semble prometteuse et devrait, sans aucun doute, renforcer l'efficacité de la lutte dans ce domaine.

Ainsi, les entreprises devront intégrer ces nouvelles mesures de protection qui doivent être mises en œuvre, à leur stratégie organisationnelle de cybersécurité. Le Pôle Contrats informatiques, Données et Conformité accompagne ses clients dans la conformité à la sécurité et la protection contre la cybersécurité et pourra vous conseiller pour toute question concernant le Cyber Solidarity Act.

[1] Prop. Réglemet « laying down measures to strengthen solidarity and capacities in the Union to detect, prepare for and respond to cybersecurity threats and incident », art. 2 « Definitions ».