Andrus Ansip a assuré que les nouvelles règles sur la cybersécurité n’empièteraient pas trop sur les prérogatives des autorités nationales.

« Nous respectons la souveraineté de nos États membres, mais savons que dans peut-être 50 % des États les CERT [centres de réponse aux urgences informatiques] nationaux ne sont pas réellement en mesure de protéger les réseaux », a indiqué Andrus Ansip, commissaire européen au marché numérique.

Une loi européenne qui devrait entrer en vigueur l’an prochain obligera les États membres à mettre en place ces unités de réponse. La Commission encourage à présent les gouvernements nationaux à collaborer encore plus, pour partager plus d’informations et empêcher davantage de cyberattaques. À ce jour, seule une poignée d’États ont des services suffisants.

« Nous savons aussi que cinq ou six CERT ont des capacités opérationnelles 24 heures sur 24, sept jours sur sept. Dans certaines situations, il est nécessaire que ces capacités soient fonctionnelles au niveau européen », a ajouté le commissaire.

« Ce sera bien sûr aux États membres de demander l’aide de Bruxelles ou de services ailleurs, ou non. Nous ne voulons pas forcer les États et respecterons évidemment leur souveraineté », a-t-il assuré, lors d’une conférence organisée par CERT-UE, le bureau de cybersécurité de l’union, qui réagit lors d’attaques visant les institutions européennes.

La semaine prochaine, Andrus Ansip et sa nouvelle collègue, Mariya Gabriel, devraient présenter une proposition législative donnant à l’ENISA, l’agence de cybersécurité européenne située à Athènes, un rôle plus important. Les commissaires proposeront également un nouveau programme de certification mesurant le niveau de protection des produits technologiques. Outre ces propositions législatives, Andrus Ansip et Mariya Gabriel publieront une stratégie pour la cybersécurité dans l’UE.

La réforme de l’ENISA est controversée, parce que l’agence milite depuis des années pour obtenir un budget plus élevé, pour l’instant sans succès.

Certains pays européens rechignent par ailleurs à donner aux institutions européennes trop de pouvoir en ce qui concerne la gestion des questions de cybersécurité. Ils se méfient également des appels de la Commission à coopérer plus largement entre eux pour prévenir les attaques, étant donné que cette coopération implique le partage de données sensibles et d’informations sur leurs points faibles.

« Pour chaque proposition qui augmente la coopération ou la centralisation, la Commission doit démontrer clairement quelle sera la valeur ajoutée et comment cela fournira une meilleure protection », a indiqué une source proche du dossier.

Outre la coopération, la Commission compte aussi dédier plus de fonds aux questions de cybersécurité. L’ENISA n’est pas le seul organisme européen du secteur qui pourrait recevoir un coup de pouce.

« Nous voulons que CERT-UE s’appuie sur des bases juridiques et administratives plus solides, afin d’assurer des ressources stables pour l’avenir. C’est la bonne stratégie, au bon moment », s’est félicité Andrus Ansip.

Cinq institutions européennes (la Commission, le Parlement, le Conseil, le comité social et économique et le comité des régions) décident ensemble du financement et de l’octroi de personnel au centre de réaction d’urgence. Selon les informations obtenues par Euractiv, son budget devrait être augmenté dans le courant du mois de septembre.

Le commissaire au marché numérique souhaite que les institutions européennes augmentent les fonds alloués à la cybersécurité afin de pouvoir se mettre au niveau d’autres pays dans le monde. Aux États-Unis, par exemple, le budget dédié aux technologies de cybersécurité est bien plus élevé que celui de l’UE.

« Il est absolument clair que l’Union européenne doit donner une place plus importante aux questions de cybersécurité dans le prochain cadre financier pluriannuel », a conclu le commissaire.