Intervention de Frédéric Soblet

En ce qui concerne les estimations de coûts, nous nous sommes effectivement montrés assez critiques dans notre avis. En réalité, ces estimations existent mais la Commission a fait le choix de ne pas les publier car, d'un point de vue légal, elle estime qu'il ne relève pas de sa compétence de décider quels seront exactement les moyens alloués à un tel mécanisme ; ce chiffrage incombe plutôt à un centre de compétence établi à Bucarest en 2023 qui dispose de ses propres structures de gouvernance. La Cour des comptes estime néanmoins qu'on ne peut pas raisonnablement demander au législateur d'approuver cette proposition de règlement sans publier au moins ces estimations, même si elles restent indicatives.

En ce qui concerne la différence des taux de cofinancement entre les SOC nationaux et les SOC transfrontières sur laquelle la Cour s'est interrogée, la Commission nous a répondu qu'il s'agit simplement de montrer aux États membres l'engagement de l'Union visant à créer un véritable élan en faveur des SOC transfrontières, s'efforçant ainsi de privilégier la coopération transfrontière plutôt que de renforcer les dispositifs nationaux.

Votre troisième question porte sur l'opportunité de cette proposition de règlement alors, en effet, que le règlement NIS 2 sur la cybersécurité a été mis à jour en 2022. Il est vrai que certains objectifs assignés aux structures mises en place par la directive NIS 2 sont similaires à ceux de la nouvelle proposition de règlement et c'est pourquoi notre avis évoque un risque de duplication. Il convient cependant de nuancer ce propos car la directive NIS 2 de 2022 constitue la mise à jour d'un dispositif qui existait déjà depuis 2016 dans la directive NIS 1 : la nouvelle mouture sanctuarise de nombreux dispositifs qui existaient déjà de manière officieuse ou sous forme de projet pilote. Par conséquent, en termes de timing, je pense qu'il faut surtout garder en tête la vulnérabilité de l'Union européenne face aux cyberattaques, les risques d'attaques hybrides et le contexte politique qui accroît l'urgence de la situation. De notre point de vue, le problème ne réside pas dans le calendrier mais dans la nécessité de clarifier la gouvernance et d'éviter la duplication des dispositifs.

S'agissant du risque d'affaiblir l'Europe ou les États membres en matière de défense, par exemple, à travers le partage de données, je souhaite tout de suite vous rassurer : la proposition de règlement est un dispositif civil sans lien avec la sphère militaire. J'ajoute que, bien entendu, les dispositions du Traité s'appliquent : toute information qui serait de nature à mettre en péril la sécurité nationale ne doit pas être partagée ; le règlement est très clair à ce sujet et prévoit explicitement qu'il n'y a aucune obligation de partage d'informations de cette nature avec les autres États membres ou avec les institutions de l'Union.

En ce qui concerne notre recommandation relative à l'émission de rapports post-incidents, la Cour des comptes estime qu'il ne lui revient pas d'émettre des propositions précises à ce sujet : elle attire simplement l'attention sur le fait que des délais ne sont pas prévus et il ne faudrait pas que ces rapports soient finalisés trop tardivement, six mois ou un an après les incidents, car il faut être très réactif pour tirer les leçons de ces derniers. Ce travail peut-il être réalisé à effectif constant par l'ENISA ? La direction de cette agence répondra sans doute par la négative et il faut reconnaître que les incidents ainsi que les menaces sont en augmentation. La proposition de règlement, si elle n'impose pas nécessairement une nouvelle tâche à l'ENISA, en dehors de l'élaboration de ces rapports, renforce tout de même son rôle dans de nombreux domaines : ce sera donc à l'autorité budgétaire de s'emparer de cette difficulté mais l'Agence a indiqué de façon très transparente qu'il lui fallait des ressources supplémentaires pour pouvoir assumer ces nouvelles responsabilités.