La Commission européenne a signé un accord de 36 millions d’euros avec l’Agence de l’Union européenne pour la cybersécurité (ENISA) afin d’établir et de gérer la Réserve de cybersécurité de l’UE. Financée par le Programme numérique européen (DEP) dans le cadre de la loi sur la solidarité en matière de cybersécurité, cette initiative vise à renforcer la résilience cybernétique de l’UE, de ses États membres et, sous certaines conditions, des pays tiers associés au DEP.
Annoncée mardi, la Réserve de cybersécurité de l’UE soutiendra la réponse et le rétablissement suite à des incidents cybernétiques significatifs et de grande envergure. Elle comprendra des services d’intervention en cas d’incident fournis par des prestataires de services de confiance, susceptibles d’être déployés pour faire face aux incidents de cybersécurité rencontrés par les États membres de l’UE, ainsi que par les institutions, organes et agences de l’UE, le cas échéant, et par les pays tiers associés au DEP. Dans le cadre des interventions ou du soutien à ces interventions, la réserve couvrira des services ex-post.
Cette réserve pourra être utilisée par des entités opérant dans des secteurs critiques et très critiques conformément à la directive NIS2, tels que les secteurs de la santé ou de l’énergie.
La Réserve de cybersécurité de l’UE devrait être pleinement opérationnelle d’ici la fin de cette année. Avec l’Action de soutien à la cybersécurité de l’ENISA, qui doit se terminer en 2026, le lancement imminent de la Réserve intervient à un moment opportun. Les États membres qui utilisent encore le programme actuel auront le temps de se préparer et de demander des services de la Réserve de cybersécurité.
La loi sur la solidarité en matière de cybersécurité stipule que la Commission européenne confiera l’opération et l’administration de la Réserve de cybersécurité de l’UE, en tout ou en partie, à l’ENISA. Le fait de confier cette tâche critique à l’ENISA souligne le haut niveau de coopération entre la Commission et l’Agence, ainsi que la confiance de la Commission dans la capacité opérationnelle d’ENISA à servir les acteurs de la cybersécurité.
Grâce à cet accord, l’ENISA utilisera la contribution de 36 millions d’euros sur trois ans pour fournir des services de réponse aux incidents, acquérir des services pour la réserve par le biais d’appels d’offres publics et évaluer les demandes de services provenant de la réserve. La Réserve de cybersécurité de l’UE fournira des services pour soutenir les entités de l’UE dans la réponse et la récupération après des incidents cybernétiques majeurs.
« Être chargé d’un projet aussi important positionne l’ENISA comme un partenaire fiable pour la communauté européenne de la cybersécurité. Cela permet à l’ENISA d’ouvrir la voie à un marché numérique unique encore plus sécurisé », a déclaré Juhan Lepassaar, directeur exécutif de l’ENISA, dans un communiqué.
La Réserve de cybersécurité de l’UE, décrite à l’Article 14 de la loi sur la solidarité en matière de cybersécurité, fournit des services de réponse à des incidents via des prestataires de services de sécurité managés fiables. Elle est conçue pour être activée lors d’incidents majeurs de cybersécurité afin de soutenir les efforts de réponse et d’accélérer la récupération. Pour garantir l’utilisation efficace des fonds de l’Union, les services pré-engagés dans le cadre de la Réserve de cybersécurité de l’UE doivent être convertibles en services de préparation liés à la prévention et à la réponse aux incidents, si ces services pré-engagés ne sont pas utilisés pour la réponse à un incident.
Dès sa nomination en tant qu’autorité contractante, l’ENISA sera responsable de l’acquisition des services pour la Réserve de cybersécurité de l’UE, ainsi que de l’évaluation des demandes de soutien des autorités de gestion de crise cybernétique des États membres et des CSIRT, ou de CERT-EU au nom des institutions, organes, bureaux et agences de l’Union.
La Réserve de cybersécurité de l’UE pourrait également contribuer à renforcer la position compétitive des industries et services de l’Union dans le domaine de l’économie numérique, en particulier pour les microentreprises, PME et start-ups, en proposant des incitations à l’investissement dans la recherche et l’innovation.
ENISA se réjouit de coopérer avec de telles entreprises pour accroître la compétitivité du marché européen de la cybersécurité. Les prestataires de services de sécurité managés de confiance sélectionnés pour intégrer la Réserve de cybersécurité de l’UE ont tous réussi l’évaluation de contrôle de propriété (OCA) afin de déterminer s’ils sont directement ou indirectement contrôlés par des États membres ou par des ressortissants de ces États (ou par des entités ou des ressortissants de pays éligibles spécifiques).
La Réserve de cybersécurité de l’UE fait partie du Programme de travail numérique 2025-2027, qui prévoit 36 millions d’euros pour renforcer la réponse et le rapport face aux menaces et incidents cybernétiques à travers l’UE, notamment par la création de la Réserve. Cette action s’inscrit dans le mandat de l’Agence, contribuant ainsi à renforcer la résilience cybernétique de l’Union via la supervision de la fourniture de services de cybersécurité de haute qualité.
Ces dernières années, l’ENISA a reçu des fonds par le biais d’accords de contribution en plus de son budget annuel pour mettre en œuvre des projets phares concernant la cybersécurité dans l’UE selon les programmes de travail du DEP. C’est le cas pour des activités comme l’Action de soutien de l’ENISA, la Plateforme de reporting unique dans le cadre de la loi sur la résilience cybernétique, et la contribution au Centre d’analyse et de situation cybernétique.
Ces contributions sont généralement allouées pour des périodes de trois ans afin de correspondre à la durée des services à fournir. Ce nouvel accord de contribution prévoit 36 millions d’euros sur trois ans pour mettre en œuvre ces services. L’ENISA sera donc ajoutée à son budget annuel de 26,9 millions d’euros pour 2025, et servira d’objectif opérationnel spécifique pour surveiller les services à offrir pendant trois années consécutives.
L’ENISA va acquérir des services pour la Réserve de cybersécurité de l’UE. L’Agence évaluera également les demandes reçues pour ce soutien de la part des autorités de gestion de crise cybernétique des États membres et/ou des CSIRT, ou du CERT-EU au nom des entités de l’Union souhaitant obtenir un soutien de la Réserve de cybersécurité de l’UE. Pour les pays tiers associés au DEP, l’ENISA transmettra les demandes à la Commission.
En coopération avec la Commission et l’EU-CyCLONe, l’ENISA a développé un mécanisme pour faciliter la soumission de demandes de soutien relatives à la Réserve de cybersécurité de l’UE.
Les services pré-engagés dans le cadre de la Réserve de cybersécurité de l’UE seront convertibles, conformément à la loi sur la solidarité en matière de cybersécurité et au contrat pertinent, en services de préparation liés à la prévention et à la réponse aux incidents. Cela dans le cas où les services pré-engagés ne seraient pas utilisés pour la réponse à un incident. Cette disposition vise à garantir une utilisation efficace des fonds de l’Union. La flexibilité d’utilisation de la Réserve pour répondre à des besoins réels est primordiale.
Bon à savoir
- La création de la Réserve de cybersécurité de l’UE marque un tournant significatif pour la protection des infrastructures critiques dans l’Union.
- Cette initiative s’inscrit dans un cadre législatif plus large visant à harmoniser la cybersécurité au sein des États membres.
- Les impacts de cette réserve pourraient encourager une dynamique positive envers l’innovation dans le domaine de la cybersécurité.
En somme, la création de cette Réserve de cybersécurité soulève des interrogations sur le niveau d’engagement des États membres et sur la manière dont cette initiative sera perçue par les différents acteurs du secteur. Sera-t-elle un véritable vecteur de changement dans la stratégie globale de cybersécurité de l’Union ? Il apparait nécessaire de suivre son développement avec attention.
C’est génial de voir l’Union s’engager pour une meilleure cybersécurité ! J’espère que cette réserve va vraiment faire la différence et stimuler l’innovation !