La Commission européenne a proposé des révisions radicales de sa loi sur la cybersécurité, visant à renforcer la surveillance des fournisseurs de technologies à haut risque opérant au sein de l’UE. Cette décision intervient dans un contexte d’escalade des cyberattaques et d’inquiétudes de longue date concernant la dépendance à l’égard de fournisseurs provenant de pays perçus comme présentant des risques pour la sécurité nationale, notamment des entreprises chinoises comme Huawei et ZTE.
Les cybermenaces croissantes alimentent l’action
Les cyberattaques dans toute l’UE sont de plus en plus fréquentes et sophistiquées. Des données récentes indiquent qu’environ 150 incidents ont été signalés au cours de la seule semaine dernière, englobant des ransomwares, de l’espionnage et des attaques ciblant les infrastructures critiques. Cette recrudescence de l’activité souligne l’urgence d’une approche plus coordonnée de la sécurité de la chaîne d’approvisionnement.
Pendant des années, Bruxelles a exprimé sa frustration face au caractère volontaire de la boîte à outils de sécurité 5G 2020, qui encourageait mais n’obligeait pas les États membres à limiter les fournisseurs à haut risque. La commissaire chargée de la technologie, Henna Virkkunen, a souligné à plusieurs reprises que les mesures volontaires sont insuffisantes, étant donné que les fournisseurs à haut risque restent intégrés aux réseaux 5G européens.
Nouveaux pouvoirs pour la Commission et l’ENISA
Dans le cadre du cadre révisé, la Commission obtiendrait le pouvoir de mener des évaluations des risques au niveau de l’UE, ce qui pourrait conduire à des restrictions ou à des interdictions sur les équipements utilisés dans les infrastructures sensibles. Les évaluations prendront en compte le pays d’origine d’un fournisseur et son impact sur la sécurité nationale, bien que le processus soit censé être en principe neutre à l’égard du pays, ce qui signifie que les entreprises américaines pourraient également faire l’objet d’un examen minutieux sous certaines conditions.
L’Agence européenne pour la cybersécurité (ENISA) verra également son rôle considérablement élargi. L’ENISA émettra des alertes précoces sur les menaces émergentes, coordonnera les réponses aux incidents majeurs (tels que les attaques de ransomwares) en collaboration avec Europol et les autorités nationales, et supervisera un système centralisé de reporting des incidents au sein de l’UE.
Coûts de transition et de conformité
La Commission reconnaît que l’élimination progressive des fournisseurs à haut risque entraînera des coûts économiques. Les opérateurs de télécommunications disposeront de plusieurs années pour s’éloigner de ces fournisseurs, tandis que la Commission promet de rationaliser les procédures de certification et de réduire les charges de conformité pour les entreprises opérant dans plusieurs États membres. Ce programme de simplification vise à équilibrer les préoccupations de sécurité avec les réalités économiques.
Obstacles politiques et retards de mise en œuvre
La proposition fait désormais l’objet de négociations avec le Parlement européen et les gouvernements de l’UE, où l’on s’attend à une résistance de la part des capitales hésitantes à céder le contrôle des décisions de sécurité nationale à Bruxelles. Compte tenu de cette opposition et de la complexité de sa mise en œuvre, il est peu probable que la loi révisée sur la cybersécurité soit pleinement opérationnelle avant plusieurs années.
Ce retard soulève des questions sur la capacité de l’UE à contrer efficacement les ingérences étrangères existantes dans les infrastructures critiques. Même si le nouveau cadre représente une étape importante vers le renforcement de la surveillance de la cybersécurité, son efficacité à long terme dépendra d’une action rapide et unifiée des États membres.
