Lors du Conseil "Télécommunications" du 21 mai, les ministres européens des télécommunications, des affaires numériques et de la cybersécurité ont adopté des conclusions du Conseil sur l'avenir de la cybersécurité, 

Ces conclusions ont été préparées et négociées par la Présidence belge du Conseil de l'Union européenne, sous la conduite du CCB. Elles sont le résultat d'un “état des lieux” mené depuis janvier avec les Etats membres, la Commission européenne et le marché privé sur l'évolution de la politique de cybersécurité au cours de la dernière et de la prochaine législature européenne. Cet état des lieux concernait une des priorités du programme de la Présidence belge en matière de cybersécurité.

Par le biais de ces conclusions du Conseil, les 27 États membres donnent des orientations pour l'élaboration des futures politiques de cybersécurité au sein de l'Union européenne et établissent des principes pour contribuer à la construction d'une Union européenne plus sûre et plus résiliente.

Un peu de contexte
 

Ces dernières années, les cybermenaces ont considérablement augmenté en niveau, en complexité et en ampleur. Cette évolution va de pair avec l'augmentation des tensions géopolitiques mondiales, en particulier depuis le début de la guerre d’agression contre l'Ukraine. On ne saurait donc trop insister sur l'importance de la cybersécurité, en particulier dans le contexte d'une numérisation croissante. C'est encore plus vrai depuis la pandémie de Covid et l'avènement de l'intelligence artificielle. Bien que la plupart des infrastructures et des services numériques appartiennent à des organisations privées, la cybersécurité est une responsabilité partagée.

En réponse à cette menace, de nombreuses lois européennes sur la cybersécurité ont été adoptées au cours des cinq dernières années. Nous sommes passés de la directive NIS1 en 2016 au règlement sur la cybersécurité (CSA) en 2019, au Centre et au Réseau de Compétence en matière de cybersécurité (ECCC) en 2021, à la directive NIS-2 et au règlement IBA de l'UE en 2023, et au règlement sur la cyber-résilience (CRA), au règlement sur la cyber-solidarité et à l’amendement de la CSA en 2024. Soit une augmentation de plus de 600% de la législation européenne en matière de cybersécurité. Il y a également eu de nombreuses autres initiatives telles que la boîte à outils 5G, la création du réseau CyCLONe de l'UE pour la gestion des crises, les conclusions sur la cyberposture et la cyberdéfense, le code de cybersécurité pour le secteur de l'électricité et, bien sûr, la législation connexe dans le domaine numérique (règlement sur les marchés numériques, eIDAS-2, règlement sur l'IA et bien d'autres encore).

Conclusions
 

Dans les 37 paragraphes de ces conclusions adoptées, les États membres de l'UE soulignent que l'accent doit maintenant être mis sur la mise en œuvre de toute cette législation, ce qui sera un travail ardu, tant pour les agences nationales que pour l'industrie. Pour ce faire, l'harmonisation des normes, la certification, la sécurité de la chaîne d'approvisionnement et la coopération avec le secteur privé sont essentielles. En outre, il convient d'accorder une attention particulière au soutien des petites et moyennes entreprises (PME) et de veiller à ce que les initiatives en matière de cybersécurité bénéficient d'un financement suffisant et d'experts qualifiés, provenant à la fois de sources publiques et privées.

Les conclusions préconisent également une approche coordonnée de la cybersécurité, qui devrait éviter la fragmentation par des législations sectorielles et identifier clairement les différents rôles et responsabilités au niveau européen. Le renforcement de la coopération dans la lutte contre la cybercriminalité et la révision du cadre de gestion de crise pour les cyberincidents sont essentiels. Il souligne en outre l'importance d'une approche multipartite, dans laquelle la coopération avec le secteur privé et les institutions académiques joue un rôle central.

Dans le même temps, un appel est lancé pour davantage d'Active Cyber Protection et pour l'exploitation des possibilités offertes par l'identité digitale pour renforcer la cybersécurité, deux concepts chers au CCB

La cybersécurité est également à l'intersection des politiques européennes internes et des relations extérieures avec le reste du monde. Les États membres appellent donc à un renforcement de la coopération avec les pays tiers, en particulier dans le contexte transatlantique, afin de contribuer à la mise en place d'un écosystème mondial solide en matière de cybersécurité.

Enfin, les conclusions se penchent sur les opportunités et les menaces que représentent pour la cybersécurité les technologies émergentes telles que l'IA, la technologie quantique et la 6G. Le rapport préconise également davantage d'action dans le domaine des logiciels libres et open source.

Le Conseil demande enfin à la Commission européenne et au Haut Représentant de présenter une stratégie renouvelée en matière de cybersécurité qui réponde à l'évolution et à l'aggravation des menaces, et qui prenne en compte ces conclusions.

Les conclusions du Conseil ont donc été intitulées à juste titre : "Mettre en œuvre et protéger ensemble".