Intervention de Nathalie Loiseau

Depuis 2016, l'Union n'a cessé de multiplier ses actions afin de renforcer sa réglementation en matière de cybersécurité. La France salue les initiatives récentes de la Commission, qui répondent à deux de nos priorités : le renforcement de la cyber-résilience de l'espace européen et la promotion d'une politique industrielle européenne en matière de cybersécurité.

Je me réjouis que le règlement relatif à l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et à la certification européenne de sécurité ait pu faire l'objet d'un accord politique, le 10 décembre 2018. Son adoption prochaine marque une première étape dans le renforcement de notre résilience.

Afin de répondre aux remarques et recommandations que vous avez exprimées, je reviendrai plus en détail sur ce règlement. Comme vous l'avez souligné, les autorités françaises ont pu confirmer le rôle d'agence d'appui de l'ENISA en distinguant clairement ses missions de celles des agences nationales. Un réseau d'officiers de liaison nationaux permettra de renforcer l'apport des expertises nationales aux travaux de l'agence et de produire une véritable valeur ajoutée européenne. Ces négociations furent également l'occasion pour les autorités françaises de promouvoir de meilleures pratiques et la stratégie française de cybersécurité.

Comme vous l'avez appelé de vos voeux, le rôle des États membres dans la gouvernance du cadre européen de certification a été renforcé. Le risque d'un nivellement par le bas du niveau de cybersécurité dans l'Union européenne a été évité. Au niveau européen, la consultation systématique des États dans la phase de rédaction des schémas de certification permettra de prendre en compte leur expertise et leur expérience. Nous avons également obtenu qu'ils puissent proposer directement à l'agence la création d'un schéma qui ne figurerait pas au programme de travail. Enfin, suivant la préconisation du Sénat et défendant le modèle appliqué au niveau national, la France a obtenu que les fonctions d'évaluateur et de certificateur soient dissociées afin de garantir l'indépendance, et donc la qualité de la certification.

Les efforts européens en matière de cybersécurité doivent également porter sur la recherche et le développement et contribuer à l'émergence d'une filière industrielle européenne concourant à l'objectif d'autonomie stratégique de l'Union. À cet égard, la Commission a publié, le 12 septembre 2018, un projet de règlement qui prévoit la création d'un Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité, associé à un réseau de centres nationaux de coordination. Nous avons rappelé notre attachement à renforcer la coordination nationale et européenne en matière de recherche, d'innovation, d'amélioration des capacités de l'industrie et de déploiement. Nous avons manifesté notre souhait d'une articulation claire de ce centre avec l'ENISA, ainsi qu'avec le partenariat public-privé en matière de cybersécurité. Nous nous sommes engagés en faveur d'un meilleur ciblage des bénéficiaires des actions financées par le centre, par exemple au travers d'une définition claire de l'industrie de l'Union européenne. Enfin, nous sommes attentifs à ce que les intérêts de tous soient équitablement représentés dans la gouvernance du centre.

Comme vous l'avez relevé, le développement d'une filière de formation d'élite dans la cybersécurité afin de pallier le manque de personnes qualifiées en la matière est nécessaire. Dans cette perspective, le règlement vise également à compléter les efforts des États membres en matière d'éducation.

Sur le plan extérieur, l'Union et ses États membres doivent continuer de renforcer leur poids dans les rapports de force internationaux liés aux enjeux cyber. La France s'investit pleinement pour rendre opérationnelle la boîte à outils cyber diplomatique adoptée en 2017. Nous sommes attentifs à ce que les États membres conservent leurs prérogatives nationales souveraines, notamment en matière d'attribution des cyberattaques.

Enfin, alors que nous aspirons à doter l'Union européenne d'une véritable autonomie stratégique, y compris dans le cyberespace, il est indispensable que les réseaux de l'Union européenne bénéficient d'un niveau de protection élevé et que nous puissions échanger des informations classifiées en toute sécurité. Nous soutenons, à ce titre, les démarches visant à renforcer leur protection contre les activités hostiles dont ils pourraient faire l'objet.