Le travail que nous avons réalisé avec notre collègue Jacques Berthou se situe dans le prolongement du rapport d'information sur la cyberdéfense que je vous avais présenté en juillet dernier et dont les recommandations avaient été adoptées à l'unanimité par la commission.
Parmi les dix priorités et les cinquante recommandations de notre rapport, une partie d'entre-elles était consacrée au rôle de l'Union européenne.
En effet, même si la cyberdéfense doit demeurer avant tout une compétence des Etats membres, car elle touche directement à la souveraineté nationale, et que, dans ce domaine, la coopération est surtout bilatérale, notamment avec le Royaume-Uni et l'Allemagne, je considère que, s'agissant d'une menace qui s'affranchit des frontières, l'Union européenne a un rôle essentiel à jouer, notamment parce qu'une grande partie des normes applicables aux opérateurs de télécommunications relève de ses compétences.
Dans ce rapport, je m'étais montré toutefois assez critique sur l'action de l'Union européenne en matière de cybersécurité, en regrettant notamment l'absence de réelle stratégie européenne, la dispersion des acteurs et le manque d'efficacité de l'Union européenne.
Parmi nos recommandations figurait ainsi la définition d'une véritable stratégie européenne de cybersécurité et, de ce point de vue, la communication de la Commission européenne et de la Haute représentante pour les affaires étrangères et la politique de sécurité répond directement à notre souhait.
Je me félicite également de l'accent mis sur les aspects industriels, notamment en ce qui concerne les équipements de confiance, à l'image des « routeurs de coeur de réseaux » ou l'offre de « cloud » de confiance en Europe. Je pense notamment qu'il serait utile de soutenir les efforts de normalisation au niveau européen, de prévoir un système de certification, des financements européens afin de soutenir les efforts de recherche et de développement, mais aussi la prise en compte de la sécurité informatique dans les marchés publics ou encore dans les primes d'assurance, comme l'envisage la Commission européenne.
Il faut aller vers une véritable politique industrielle, à l'échelle nationale et européenne, pour les produits et services de cybersécurité, et, plus largement, pour le secteur des technologies de l'information et de la communication, afin que l'Europe retrouve sa souveraineté numérique. De même qu'il existe une Europe spatiale ou une Europe de l'aéronautique, il faut aller vers une Europe du cyber ou du numérique.
J'approuve également les principales dispositions de la proposition de directive de la Commission européenne, en particulier l'obligation qui s'appliquerait aux administrations publiques et aux opérateurs d'importance vitale de notifier à l'autorité nationale compétente les incidents informatiques significatifs, qui répond aussi à l'une des recommandations qui figurent dans notre rapport d'information.
Actuellement, la plupart des incidents informatiques ne sont pas signalés. Or, l'Etat doit être informé dans les délais les plus brefs de telles attaques, surtout si elles touchent les secteurs d'importance vitale, comme l'énergie, les transports ou la santé. L'obligation de notification, sous peine de sanctions, mais avec une garantie de confidentialité, représentera donc un progrès.
À l'issue de ce débat, la commission adopte à l'unanimité le rapport de MM. Jacques Berthou et Jean-Marie Bockel et la proposition de résolution européenne.