Le 24 février 2025, sur proposition de la Commission européenne, le Conseil de l’Union européenne a entamé des discussions sur un nouveau plan d’action en matière de cybersécurité. Après plusieurs cycles de négociations au sein de ses instances préparatoires, le Conseil a formellement adopté le nouveau texte aujourd’hui lors du Conseil « Transports, télécommunications et énergie » à Luxembourg.
Contexte
Ces dernières années, l’Union européenne n’a cessé de renforcer son approche de la gestion globale des cyberrisques par le biais de divers instruments et initiatives. La directive de 2016 sur la sécurité des réseaux et de l’information (NIS1 - Directive UE 2016/1148) a conduit à la création du réseau CSIRT, qui relie les équipes nationales de cybersécurité et de réponse aux incidents dans tous les États membres. En réponse à des incidents majeurs comme WannaCry, la Commission européenne a publié en 2017 une recommandation (2017/1584) sur la réponse coordonnée aux incidents de cybersécurité à grande échelle – qui est mieux connue sous le nom de « Cyber Blueprint ». Cependant, cette recommandation n’a jamais été formellement adoptée par les États membres et est depuis devenue obsolète en raison de l’évolution rapide du paysage des crises cyber.
En 2019, l’Agence européenne pour la cybersécurité (ENISA) a reçu un mandat renforcé et permanent, lui permettant de mieux soutenir la connaissance de la situation et la coordination opérationnelle dans l’ensemble de l’UE. L’année suivante, le réseau des organisations de liaison de l’UE en cas de crise cyber (EU-CyCLONe) a été mis en place à la demande des États membres en tant que couche de coordination opérationnelle soutenue par l’ENISA. En 2022, la directive NIS2 (directive européenne 2022/2555) a officialisé le rôle de l’EU-CyCLONe et exigé des États membres qu’ils mettent en place des autorités nationales spécialisées dans la gestion des crises cyber. En 2025, le Règlement sur la cybersolidatité soutient davantage la conscience situationnelle et les réponses coordonnées à l’échelle de l’UE.
Dans le même temps, des exercices à grande échelle, tels que l’exercice bisannuel Cyber Europe et l’exercice EU-CyCLEs (organisé sous la présidence française), ont permis de tirer des enseignements précieux.
En outre, des événements géopolitiques tels que la guerre d’agression de la Russie contre l’Ukraine ont conduit l’UE à s’appuyer davantage sur l’infrastructure numérique, et un nombre croissant de cyberincidents a considérablement aggravé le paysage des cybermenaces en Europe. En outre, des rapports tels que le rapport de l’ENISA sur l’état de la cybersécurité et le rapport Niinistö ont appelé à un renforcement de la préparation de l’Europe à des crises cybernétiques de grande ampleur.
Enfin, sous la présidence belge, des conclusions du Conseil intitulées "Sur l’avenir de la cybersécurité : Mettre en œuvre et protéger ensemble" (10133/24) ont été adoptées, appelant à une révision rapide du plan d’action pour la cybersécurité de 2017 sous la forme d’une recommandation du Conseil.
Que contient le nouveau plan d’action ?
Le plan d’action en matière de cybersécurité récemment adopté met à jour le cadre de l’UE pour la gestion des crises cyber. Il définit clairement le rôle des acteurs européens concernés à toutes les étapes d’une crise cyber, de la préparation et de la détection à la réaction et à la récupération.
Le plan directeur s’aligne sur les mécanismes existants de l’UE, tels que la réponse politique intégrée aux crises (IPCR) et la boîte à outils de la cyberdiplomatie de l’UE, et reflète les développements politiques récents, notamment le plan directeur pour les infrastructures critiques et le code de réseau sur la cybersécurité pour le secteur de l’électricité.
Points marquants du texte, il:
- renforce la coordination entre les acteurs civils et militaires, y compris la coopération avec l’OTAN.
- reflète les objectifs de la future stratégie de préparation de l’UE.
- promeut des systèmes de communication sécurisés à l’échelle de l’UE.
Le plan comprend 13 chapitres: objectif, champ d’application et principes directeurs; définitions; structures et responsabilités nationales en matière de gestion des crises cyber; réseaux et acteurs clés de l’écosystème européen des crises cyber; préparation aux incidents et crises de grande ampleur; détection des incidents susceptibles de dégénérer; coordination de la réponse au niveau de l’UE; stratégies de communication publique; réponse diplomatique et coopération internationale; coordination avec les acteurs militaires; rétablissement et enseignements tirés; communications sécurisées; et dispositions finales.
Le document est guidé par les principes de proportionnalité, de subsidiarité, de complémentarité et de confidentialité.
L’importance de la question pour le CCB
Le Centre pour la Cybersecurité Belgique (CCB) a joué un rôle de premier plan dans l’élaboration de la position de la Belgique au cours des négociations, sous la direction de son département des relations internationales et en étroite collaboration avec la représentation permanente auprès de l’UE.
En tant qu’autorité nationale de cybersécurité en Belgique et autorité nationale de gestion des crises cyber désignée par l’arrêté royal transposant la directive NIS2, le CCB est responsable de la mise à jour et du maintien du cadre de gestion des crises cyber en Belgique. Il était essentiel de veiller à ce que les priorités de la Belgique soient effectivement prises en compte dans le texte final de l’UE afin d’aligner ce nouveau cadre européen sur les efforts nationaux en cours.