Le règlement de l’UE sur la cybersolidarité  a été officiellement publié le 15 janvier 2025 et entre en vigueur le 4 février 2025. Il s'agit d'une nouvelle étape importante pour renforcer la cybersécurité de l'Europe. La loi vise à aider les pays de l'UE, y compris la Belgique, à mieux détecter, se préparer et réagir aux cyberincidents graves qui peuvent affecter les entreprises et les citoyens, et à promouvoir la solidarité entre les États membres en période de crise. Il s'agit de garantir que l'Europe soit plus résiliente dans le monde numérique d'aujourd'hui. Contrairement à la directive NIS2 ou au Cyber Resilience Act, le règlement sur la cybersolidarité n'introduit aucune obligation pour les prestataires. Il s'agit d'une législation purement volontaire qui fournit des outils et, surtout, un financement. Les États membres peuvent en faire usage s'ils le souhaitent, pour soutenir leurs capacités de détection, d'échange d'informations ou de réponse en cas de crise, en particulier pour les entités NIS2.

La Belgique, et plus particulièrement le Centre pour la cybersécurité Belgique, a joué un rôle clé dans l'élaboration et l'adoption du règlement sur la cybersolidarité lors de la présidence belge du Conseil de l'UE au premier semestre 2024. Le Centre pour la cybersécurité Belgique continue de jouer un rôle central dans la mise en œuvre des dispositions de la loi. Cliquez ici pour plus d'informations sur la présidence belge.

Qu'est-ce que le règlement sur la cybersolidarité?

Le règlement sur la cybersolidarité repose sur trois composantes principales:

1. Un système d'alertes de cybersécurité européen, pour améliorer la détection et les alertes
2. Un mécanisme d'urgence en cybersécurité, pour améliorer la réponse – y compris la mise en place d'une réserve cyber
3. Un mécanisme d'évaluation des incidents, permettant à l'ENISA d'analyser et d'apprendre des incidents à grande échelle.

1. Le système européen d'alerte en matière de cybersécurité (ECAS)

Objectif et création

Le réglement sur la cybersolidarité crée l'ECAS, un réseau qui relie les hubs nationaux de cybersécurité des États membres via des hubs de cybersécurité transfrontaliers dans l'UE. Ce système aidera à améliorer la capacité de l'UE à détecter, analyser et répondre aux menaces et incidents de cybersécurité en utilisant des technologies avancées et la coopération. Bien que la participation des États membres soit volontaire, ce système permettra de renforcer la sensibilisation et d'aider à prévenir les incidents dans l'Union.

Fonctions clés

Le système est conçu pour améliorer la protection et la réponse aux menaces cybernétiques en renforçant la coopération avec des entités clés, y compris les CSIRT, le réseau CSIRT, EU-CyCLONe et d'autres autorités pertinentes. L'ECAS collecte et analyse les données relatives aux menaces et incidents de cybersécurité des hubs transfrontaliers et partage des informations et des renseignements utiles avec ces entités pour améliorer la sensibilisation à la situation et les capacités de détection au sein de l'UE.

Le système émet également des alertes et fournit des recommandations concrètes, tout en soutenant le développement de solutions avancées de cybersécurité pour la communauté de la cybersécurité de l'Union Européenne.

Les hubs nationaux de cybersécurité

Chaque État membre de l'UE souhaitant participer à l'ECAS désigne un hub national de cybersécurité, une entité unique opérant sous l'autorité de l'État membre. En Belgique, il s'agit du Centre pour la cybersécurité Belgique. Les hubs nationaux de cybersécurité peuvent servir de point de référence et de porte d'entrée pour d'autres organisations publiques et privées au niveau national pour collecter et analyser des informations sur les menaces et incidents de cybersécurité. Ils sont capables de détecter, collecter et analyser des données et informations pertinentes concernant les menaces et incidents cybernétiques, telles que les informations sur les menaces cybernétiques, en utilisant des technologies avancées dans le but de prévenir les incidents. Ces hubs peuvent également s'associer avec d'autres pays via des hubs transfrontaliers pour améliorer la coordination et la réponse aux menaces de cybersécurité.

Les hubs de cybersécurité transfrontaliers

Les hubs de cybersécurité transfrontaliers sont des plateformes multi-pays où au moins trois pays de l'UE collaborent pour surveiller et détecter les menaces cybernétiques. Ces hubs relient les centres nationaux de cybersécurité, partagent des données et utilisent des outils avancés pour prévenir les incidents cybernétiques et améliorer les capacités de réponse. Ils ont pour objectif de renforcer la cybersécurité en échangeant des informations et des ressources de manière fiable, avec un groupe, le Consortium d'Hébergement, supervisant les opérations et permettant à d'autres pays de rejoindre, si convenu.

ENISA 

L'ENISA (l'Agence de l'UE pour la cybersécurité) peut garantir l'interopérabilité des hubs de cybersécurité transfrontaliers en émettant des lignes directrices sur les protocoles et formats d'échange d'informations.

Financement

Le programme Digital Europe (DEP) finance les hubs nationaux de cybersécurité et les hubs de cybersécurité transfrontaliers et est géré par le European Cybersecurity Competence Centre (ECCC). Ce financement a pour objectif de renforcer les capacités et couvre les coûts liés à la mise en place de processus, d'outils et de services, ainsi qu'à l'acquisition d'équipements, d'outils, de processus et de flux de données. Ce financement couvre également les coûts liés à l'analyse des données, à l'interconnexion avec les hubs transfrontaliers de cybersécurité, etc. Pour atteindre cet objectif, un appel à la déclaration d'intérêt est lancé pour sélectionner les entités dans les États membres qui fourniront les installations nécessaires pour héberger et exploiter les hubs nationaux de cybersécurité. Si cela réussit, une action d'achat groupé sera mise en place avec l'État membre, et une subvention sera accordée pour couvrir les coûts et l'achat des principales infrastructures, outils et services.

Projet pilote et hubs de cybersécurité transfrontaliers existants

Le réglement sur la cybersolidarité institutionnalise un projet pilote lancé par la Commission européenne en 2021, ainsi que les deux hubs de cybersécurité transfrontaliers qui en sont issus. Ce projet pilote visait à mettre en place des centres d’opérations de sécurité (COS) connectés transfrontaliers dans les États membres de l'UE. Ces hubs étaient conçus pour améliorer la cybersécurité en Europe en détectant rapidement les menaces, en utilisant l'IA et en facilitant un échange d'informations efficace. Pour soutenir cette initiative, la Commission a mis à disposition un financement via le programme Digital Europe (DEP), avec des consortiums d'États membres chargés de sa mise en œuvre sous la supervision du Centre européen de compétence en cybersécurité (ECCC).

Au début de 2023, le projet pilote avait abouti à la création de deux consortiums, qui sont actuellement les seuls hubs de cybersécurité transfrontaliers et qui sont désormais institutionnalisés par le Règlement de l’UE sur la cybersolidarité. Actuellement, le consortium ENSOC est dirigé par l'Espagne et l'Italie et inclut le Luxembourg, les Pays-Bas, l'Autriche, le Portugal et la Roumanie comme membres. Le consortium ATHENA comprend Chypre, la Bulgarie, la Grèce et Malte.

2. Le mécanisme d'urgence cybernétique

Objectif

Le mécanisme d'urgence cybernétique a pour objectif d'améliorer la résilience de l'UE face aux menaces cybernétiques en fournissant un soutien financier pour la préparation, l'atténuation et la réponse aux incidents graves et à grande échelle en cybersécurité. Il fonctionne dans un esprit de solidarité et soutient les efforts des États membres pour faire face aux cyberincidents. Il est principalement mis en œuvre via le Centre européen de compétence en cybersécurité (ECCC).

Le mécanisme finance différents types d'actions: 

• Actions de préparation: Celles-ci incluent des tests coordonnés des entités dans des secteurs critiques, tels que des tests de pénétration et des évaluations des menaces. Le soutien à ces actions est fourni sous forme de subventions et est volontaire pour les États membres.
• Réponse aux incidents et reprise: Le mécanisme inclut des actions pour soutenir la réponse et la reprise après des incidents importants en cybersécurité. Des prestataires de services de sécurité gérés, faisant partie de la Réserve cyber de l'UE, fourniront ces services.
• Assistance mutuelle: Cela fait référence aux actions de coopération entre les États membres pour s'entraider lors de crises cybernétiques. Le mécanisme permet aux États membres de l'UE de se prêter assistance technique en cas de cyberincidents majeurs. Ce soutien est fourni via des programmes de travail spécifiques.

La réserve de cybersécurité de l'UE

La réserve de cybersécurité de l'UE est un élément clé de ce mécanisme. Elle comprendra des services de réponse préalablement acquis de prestataires privés de confiance, qui peuvent être déployés pour soutenir les efforts lors de grands incidents. La réserve est disponible pour tous les États membres, les institutions de l'Union et les pays tiers associés au DEP, ce qui signifie que les pays qui ne font pas partie de l'UE mais qui sont associés au DEP, comme l'Ukraine, peuvent également bénéficier de cette réserve. La Commission européenne supervise la réserve, tandis que l'ENISA en gère le fonctionnement et l'administration.

Comment cela fonctionne-t-il?

L'ENISA déterminera les besoins de tous les États membres et achètera des services de réponse de prestataires privés, qui seront maintenus en "réserve". Lorsque les autorités nationales, les institutions de l'Union ou les pays tiers ont besoin de soutien supplémentaire pour aider leurs opérateurs NIS2 lors d'un incident majeur, elles peuvent demander de l'aide auprès de la réserve. Ces entités viendront alors en soutien. Après l'aide, les utilisateurs doivent soumettre un rapport récapitulatif dans les deux mois, et des rapports réguliers seront établis pour garantir l'efficacité de la réserve. Les services préalablement acquis mais jamais utilisés peuvent être convertis en actions de préparation à la fin de chaque année, telles que des tests de pénétration.

Critères pour les prestataires

Pour être éligibles à la réserve de cybersécurité de l'UE, les prestataires doivent répondre à des critères stricts, tels que les autorisations de sécurité nécessaires pour le personnel, les moyens techniques et l'expertise pour exécuter les tâches requises, et doivent respecter la réglementation pertinente, y compris celle concernant la protection des informations confidentielles, et disposer de systèmes informatiques sécurisés.

L'élément clé est que la modification de la Cybersecurity Act de l'UE permet la création de schémas de certification européens pour les services de sécurité gérés dans le cadre de l'initiative de la Réserve en cybersécurité. Ces schémas de certification aideront à accroître la qualité et la comparabilité des prestataires de cybersécurité et à instaurer la confiance dans le système en exigeant que les prestataires externes de la réserve respectent les cadres de certification.

Secteurs couverts

Le mécanisme cible principalement des secteurs critiques tels que l'énergie, la santé, les finances, l'eau, les infrastructures numériques, la gestion des TIC, l'administration publique, l'espace et les transports. Ce sont des secteurs où les incidents de cybersécurité peuvent avoir des conséquences sociales ou économiques importantes. Il peut également s'appliquer à d'autres entités essentielles pour le bon fonctionnement des infrastructures numériques, telles que les prestataires numériques, la production, la gestion des déchets, les services postaux et de messagerie, l'alimentation et la recherche.

Financement

Le mécanisme d'urgence cybernétique est soutenu par le financement dans le cadre de l'objectif stratégique "Cybersécurité" du DEP et est géré par l'ECCC. Des subventions volontaires via le DEP peuvent être attribuées aux États membres pour financer des tests préparatoires coordonnés, tels que des tests de pénétration ou des évaluations des menaces, ainsi que l'assistance mutuelle et d'autres actions préparatoires, telles que la gestion des vulnérabilités ou des risques, des exercices et des formations. La Réserve de cybersécurité de l'UE est principalement financée par des appels d'offres, complétés par des subventions.

3. Mécanisme d'examen des incidents de cybersécurité de l'UE