Intervention de André Gattolin

Sur ce texte, je serai plus nuancée que nos deux rapporteurs.

Tout d'abord, il faut savoir que 99 % des attaques sont de nature transfrontalières. Une coordination européenne est donc nécessaire. Toutefois, je trouve ce texte prématuré dans la mesure où une directive vient d'être adoptée sur ce sujet et que les mesures de transposition n'ont pas encore été prises. En outre, les services français en matière de cybersécurité distinguent la réponse à une attaque gérée par la DGSI et la défense gérée par l'ANSSI. Cette distinction paraît fondamentale sur le plan éthique et on ne la retrouve pas partout, notamment dans les pays anglo-saxons. Il ne faudrait pas que cette proposition de règlement aboutisse à une fusion de ces services. Par ailleurs, je rejoins totalement l'avis de nos rapporteurs en ce qui concerne la procédure de certification. Elle fixe un cadre trop contraignant car il n'existe pas de mécanisme de contestation de la norme en dehors des consultations préalables. L'absence de système de recours pose un problème.

En revanche, je ne partage pas la conclusion de nos rapporteurs qui affirment que ce texte ne respecte pas le principe de subsidiarité. En outre, leur exposé des motifs met trop en avant la souveraineté nationale. Ne souhaitant pas que nous apparaissions comme anti-européens sur cette question, j'aurais plutôt conclu en disant que ce texte ne respecte pas en partie le principe de subsidiarité, ce qui est plus modéré. En effet, le texte prévoit bien que l'ENISA n'intervient qu'à la demande des États membres et qu'elle exerce son mandat sans préjudice des compétences des États membres en matière de cybersécurité.