Qui constituera le « bouclier cyber européen » ? Nous nous sommes interrogés, cette semaine, au sujet de ce dispositif auquel le Cyber Solidarity Act ouvre la voie.
Le règlement crée aussi, entre autres mesures, un « mécanisme d’urgence ». Celui-ci englobe des actions de préparation, une assistance mutuelle entre autorités nationales… et une « réserve de cybersécurité ».
La Commission européenne avait déposé sa proposition en avril 2023.
En décembre, Parlement et Conseil avaient tour à tour livré leur position de négociation. Ils viennent de trouver un accord politique – qu’il leur reste à formaliser. En attendant le texte final, intéressons-nous à la manière dont les institutions ont posé les jalons de cette fameuse réserve.
Que couvrira la réserve de cybersécurité ?
Dans les grandes lignes, la réserve donnera accès à des services de sécurité managés qui accompagneront la réponse aux incidents « importants » ou « majeurs » (tels que définis dans la NIS2) touchant des entités de secteurs critiques ou hautement critiques.
Le Conseil a souhaité préciser que ces services devaient être « en stand-by et déployables à court terme ».
La Commission entendait donner un délai d’un mois aux bénéficiaires pour communiquer un retour d’expérience. Le Conseil a souhaité l’étendre à trois mois. Il a, en parallèle, proposé un autre délai : 72 heures pour répondre aux demandes d’aide. Le Parlement a proposé 24 heures.
En toile de fond, un rapport la Cour des comptes européenne publié quelques semaines en amont. L’institution avait déploré l’absence d’un tel délai de réponse dans le texte de la Commission.
La rédaction du Conseil invite à instaurer un système de conversion des services d’assistance en services de préparation s’il n’a pas été possible de les consommer à temps.
Celle du Parlement introduit une possibilité similaire. Plus précisément, la transformation en exercices ou en entraînements lorsqu’il « est apparent que les services ne peuvent être pleinement utilisés » pour les finalités requises.
Le Conseil est allé plus loin, souhaitant que l’aide ne couvre que l’étape initiale de restauration. Et non tout le processus, dont il est difficile d’anticiper les coûts.
Quant au Parlement, il a proposé de réaliser des exercices entre les fournisseurs et les utilisateurs potentiels pour s’assurer du bon fonctionnement de la réserve.