La Commission européenne introduit de nouvelles règles pour interdire les entreprises technologiques considérées comme présentant un risque pour la sécurité de l’Union européenne, mais leur application ne devrait pas commencer avant un certain temps.
La Commission européenne a présenté mardi une révision de la loi sur la cybersécurité visant à réduire les risques liés aux fournisseurs dits « à haut risque » dans les chaînes d’approvisionnement des technologies de l’information et de la communication de l’UE.
Le champ d’application est large et couvre les entreprises fournissant des équipements et des services pour les réseaux de télécommunications, les centres de données, les services cloud, les appareils connectés et les plateformes de médias sociaux. Bien que la proposition ne nomme pas d’entreprises spécifiques, les responsables de l’UE reconnaissent qu’elle s’appuie sur des préoccupations de longue date concernant les groupes technologiques chinois, notamment Huawei et ZTE, en particulier dans les réseaux mobiles.
Cette décision fait suite à des années de frustration à Bruxelles face à l’application inégale de la boîte à outils volontaire de sécurité 5G de l’UE, introduite en 2020 pour encourager les États membres à limiter leur dépendance à l’égard de fournisseurs à haut risque.
Les cyberattaques sont de plus en plus fréquentes dans l’ensemble de l’UE, allant des ransomwares et espionnages aux tentatives de déstabilisation des infrastructures critiques. La Commission affirme que le nombre d’incidents signalés est en augmentation, avec environ 150 attaques signalées dans tout le bloc au cours de la seule semaine dernière.
La commissaire chargée de la technologie, Henna Virkkunen, a averti à plusieurs reprises que les mesures volontaires ne sont pas allées assez loin. S’adressant au Parlement européen le mois dernier, elle a soutenu qu’une action plus stricte et plus coordonnée était nécessaire, soulignant que les fournisseurs à haut risque restaient présents dans les parties critiques de l’infrastructure 5G européenne.
Maîtriser le risque
Dans le cadre du cadre révisé, la Commission serait en mesure d’organiser des évaluations des risques au niveau de l’UE et, lorsque cela est justifié, de soutenir des restrictions ou des interdictions sur certains équipements utilisés dans les infrastructures sensibles.
Les États membres évalueraient conjointement les risques en fonction du pays d’origine d’un fournisseur et de ses implications pour la sécurité nationale. Si les télécoms sont le secteur le plus avancé en termes d’évaluation des risques, l’approche pourrait ensuite être étendue à d’autres domaines, depuis les systèmes énergétiques et les transports jusqu’aux véhicules connectés et aux équipements de sécurité.
La Commission a également signalé que le cadre resterait en principe neutre à l’égard des pays, ce qui signifie que les fournisseurs d’autres partenaires – y compris les États-Unis – pourraient théoriquement être scrutés à l’avenir à mesure que les tensions réglementaires s’accentuent, en particulier autour des médias sociaux et de la gouvernance des données.
La Commission insiste sur le fait que le processus sera progressif. Dans le secteur des télécommunications, les opérateurs bénéficieraient d’une période de transition de plusieurs années pour éliminer progressivement les fournisseurs à haut risque, Bruxelles reconnaissant le coût économique important que cela implique.
Au-delà de la sécurité de la chaîne d’approvisionnement, la proposition renforce considérablement le rôle de l’Agence européenne pour la cybersécurité, l’ENISA. L’agence obtiendrait un mandat plus opérationnel, notamment en émettant des alertes précoces sur les cybermenaces émergentes et en coordonnant les réponses aux incidents majeurs tels que les attaques de ransomwares, en coopération avec Europol et les autorités nationales.
L’ENISA superviserait également un point d’entrée unique dans l’UE pour la déclaration des incidents, conçu pour accélérer les réponses et améliorer la connaissance de la situation transfrontalière.
Enfin, la Commission poursuit son programme de simplification plus large, promettant des charges administratives plus légères pour les entreprises. Les procédures de certification seraient rationalisées et des modifications ciblées de la législation existante visent à réduire les coûts de mise en conformité, en particulier pour les entreprises opérant dans plusieurs États membres.
La proposition va maintenant être négociée par le Parlement européen et les gouvernements de l’UE, où l’on s’attend à une résistance de la part de certaines capitales méfiantes face à une implication accrue de l’UE dans les décisions de sécurité nationale.
La loi révisée sur la cybersécurité ne sera probablement pas mise en œuvre avant quelques années, ce qui soulève des questions sur la capacité de l’UE à lutter contre les ingérences étrangères déjà actives.
