Avis négatif du Sénat sur le règlement ENISA

Proposition de règlement relatif à l'ENISA

Le Sénat a formulé un avis négatif sur la proposition de règlement relatif à l'ENISA, Agence de l'Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013. Au centre de ces mesures, figure une proposition de règlement qui fait de l'Agence européenne chargée de la sécurité des réseaux et de l'information, l'ENISA, le pivot de la cybersécurité en Europe. Pour les sénateurs ledit règlement pose une sérieuse difficulté au regard du principe de subsidiarité.

La proposition de règlement s’est fixée plusieurs objectifs : développer les moyens et la préparation des États membres ;  améliorer la coopération et la coordination entre les États membres et les institutions européennes ; accroître les moyens au niveau de l'Union pour compléter les actions des États membres en cas de crise transfrontalière ; sensibiliser particuliers et entreprises aux questions de cybersécurité ; accroître globalement la transparence et l'assurance de la cybersécurité ; éviter la multiplication des systèmes de certification dans l'Union, ainsi que des exigences de sécurité et des critères d'évaluation dans les différents États membres. Cet ecosystème  repose d‘une part sur l'ENISA et d’autre part sur la certification de cybersécurité des produits et services des technologies de l'information.

Enjeux de la cybersécurité

Selon la Commission européenne, en 2016, il y aurait eu 4 000 attaques par rançongiciel par jour, soit une hausse de 300 % par rapport à 2015. Au total, c'est 80 % des entreprises européennes qui auraient été touchées par une cyberattaque en 2016. En 2017, les virus Wannacry et Petya se sont propagés à l'échelle mondiale. La directive sur la sécurité des réseaux d'information, la directive SRI devrait être transposée au début de 2018. Elle prévoit notamment que :

- chaque État membre doit se doter d'une agence spécialisée dans la cybersécurité, à l'image de l'Agence nationale pour la sécurité des systèmes d'information en France, l'ANSSI ;

- le renforcement par chaque État de la cybersécurité d'« opérateurs de services essentiels » au fonctionnement de l'économie et de la société

- les administrations, mais aussi les grandes entreprises et celles travaillant dans des secteurs sensibles. Et ces opérateurs auront l'obligation de signaler les attaques dont ils sont victimes ;

- la participation volontaire à une coopération entre États membres ;

- l'adoption de règles européennes communes en matière de cybersécurité pour certains prestataires de services numériques dans des domaines comme l'informatique en nuage pour le stockage des données, les moteurs de recherche et les places de marché en ligne.

Pouvoirs étendus de l’ENISA

La proposition de règlement européen propose de placer l'ENISA au coeur de la cybersécurité dans l'Union. Elle se verrait désormais dotée d'un mandat permanent, mais ses objectifs et missions seraient régulièrement mis à jour. En conséquence, ses moyens humains, financiers et matériels seraient augmentés. Son champ d'action serait étendu à de nouvelles missions liées au marché et à la certification de cybersécurité ainsi qu'à la normalisation et à l'assistance technique en cas d'incidents significatifs. Elle conserverait ses missions concernant, d'une part, l'élaboration et la mise en oeuvre de la politique de l'Union européenne en matière de cybersécurité, et, d'autre part, le soutien au renforcement des capacités (moyens et compétences) des États membres, à la coopération opérationnelle et à la gestion des crises.

Plus particulièrement, l'ENISA pourrait mener des enquêtes techniques au sein des États membres, suite à la signalisation d'un incident de cybersécurité d'ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d'intervention, qui serait créée.

La question de la subsidiarité

Le principe de subsidiarité est encadré par l'article 4 du traité sur l'Union européenne qui énonce que l'Union « respecte les fonctions essentielles de l'État, notamment celles qui ont pour objet d'assurer son intégrité territoriale, de maintenir l'ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre ».

Il en découle que la Commission européenne ne peut se substituer aux États membres. Le Sénat considère qu’il n’y a aucune raison pour que l'ENISA dispose d'une équipe d'intervention et de pouvoirs d'enquête en cas de crise, ces attributions relevant des États membres.   En ce qui concerne la certification, l'ENISA et l'Union européenne n'ont actuellement ni la compétence ni l'expertise, qui sont au sein des États. Or, la Commission propose non seulement de placer l'ENISA au centre du système de certification unique, mais en plus de ne confier qu'un rôle consultatif aux États membres et aux autorités nationales de contrôle de certification. En outre, un système complètement nouveau et inconnu remplacerait des normes connues de tous et qui ont fait leurs preuves dans plusieurs États membres.

Motivation du refus du Sénat

Le Sénat estime que les Etats membres doivent conserver, d'une part, leur faculté d'adopter des normes et des standards apportant un plus haut niveau de sécurité, et, d'autre part, toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne. La place prépondérante envisagée pour l'ENISA dans la certification de cybersécurité, alors qu'elle ne dispose d'aucune expertise, n'est pas justifiée et elle pourrait entraîner un affaiblissement de la cybersécurité dans l'Union, ce qui est contraire à l'objectif de la proposition.