Intervention de Jacques Berthou

Je ne reviendrai pas ici sur le contenu de la communication que nous vous avions présentée, avec notre collègue M. Jean-Marie Bockel, lors de notre réunion du 27 mars dernier. Je voudrais simplement rappeler brièvement les principales recommandations qui figurent dans le texte de la proposition de résolution européenne.

Cette proposition de résolution européenne vise tout d'abord à approuver les grandes orientations de la stratégie européenne de cybersécurité, qui a été proposée dans la communication conjointe de la Commission européenne et de la Haute représentante pour les affaires étrangères et la politique de sécurité, le 7 février dernier, et à appeler les institutions européennes et les Etats membres à une mise en oeuvre rapide de ses différentes priorités.

Elle souligne, en particulier, l'importance de la mise en place et du développement par l'ensemble des Etats membres de l'Union européenne de capacités nationales de cybersécurité, la nécessité de disposer d'une base industrielle européenne pérenne en matière de cybersécurité et d'équipements de confiance, ainsi que l'importance des actions de sensibilisation et de formation.

Elle vise ensuite à approuver les principales dispositions de la proposition de directive de la Commission européenne sur la sécurité des réseaux et de l'information, qui a été présentée également le 7 février dernier.

En particulier, nous nous félicitons du fait que cette proposition de directive rend obligatoire, pour chaque Etat membre, la mise en place d'un organisme responsable en matière de cybersécurité, doté de ressources humaines et financières suffisantes, la définition d'une stratégie nationale et la création d'une structure opérationnelle d'assistance au traitement d'incidents informatiques.

Nous approuvons également l'obligation, pour les administrations publiques et les opérateurs d'importance vitale, de notifier, sous peine de sanctions, les incidents graves de sécurité informatique à l'autorité nationale compétente, ainsi que la reconnaissance par les Etats membres du pouvoir donné aux autorités compétentes de donner des instructions contraignantes aux administrations publiques et aux opérateurs d'importance vitale, afin qu'ils renforcent la sécurité de leurs réseaux et systèmes.

Nous recommandons même d'inclure dans cette proposition de directive l'obligation pour les opérateurs d'importance vitale de mettre en place des outils de détection d'incidents ou d'attaques informatiques et de disposer d'une cartographie à jour de leur système d'information.

Nous estimons toutefois que la définition des modalités d'application des mesures prévues par la directive devrait être confiée aux Etats membres et non à la Commission européenne, notamment en ce qui concerne la définition des circonstances dans lesquelles s'appliquerait l'obligation de notifier les incidents ou la liste des opérateurs d'importance vitale, et nous jugeons qu'il ne serait pas pertinent de prévoir la notification systématique des incidents par les autorités nationales compétentes à l'ensemble des autres Etats membres et à la Commission européenne.

Sous ces deux réserves, la proposition de résolution européenne vise à demander au Gouvernement de soutenir ces deux initiatives et d'oeuvrer au sein du Conseil afin que ces recommandations soient prises en compte lors des négociations.