« La législation sur la cybersécurité permettra de réduire obligatoirement les risques des réseaux européens de télécommunications mobiles provenant de fournisseurs de pays tiers à haut risque, sur la base des travaux déjà réalisés dans le cadre de l’ensemble d’outils de sécurité 5G », annonce aujourd’hui la Commission européenne dans un communiqué.
Il s’agit d’une révision proposée aujourd’hui de la législation sur la cybersécurité, visant à améliorer la sécurité des chaînes d’approvisionnement technologiques et à simplifier les procédures au niveau communautaire, Bruxelles indiquant que ce nouveau paquet vise à « renforcer encore la résilience et les capacités de l’Union européenne face à ces menaces croissantes ».
Cela intervient à un moment où « l’Europe est quotidiennement confrontée à des cyberattaques et à des attaques hybrides contre des services essentiels et des institutions démocratiques, menées par des groupes étatiques et des criminels hautement sophistiqués », accuse-t-elle.
En 2019, dans le contexte des préoccupations croissantes concernant la sécurité des réseaux de télécommunications 5G, l’Union européenne a adopté une approche coordonnée pour évaluer et atténuer les risques associés aux fournisseurs considérés comme à haut risque, basée toutefois sur des recommandations et non des obligations, comme c’est le cas maintenant.
À l’époque, à travers une recommandation et une évaluation conjointe des risques, l’UE a exhorté les États membres à renforcer les exigences de sécurité applicables aux réseaux 5G, en tenant compte de facteurs techniques, mais aussi de risques stratégiques, comme la dépendance excessive à l’égard de fournisseurs externes et la possibilité d’ingérence par des pays tiers.
Bien qu’elle n’ait pas mentionné explicitement le fabricant chinois Huawei, cette approche a conduit plusieurs États membres à restreindre ou à exclure les fournisseurs classés comme à haut risque des parties critiques des réseaux 5G, reflétant une stratégie européenne de protection.
À l’époque, Huawei a été la cible d’accusations, notamment de la part des États-Unis et de certains pays européens, selon lesquelles sa participation au développement des réseaux 5G pourrait représenter des risques pour la sécurité nationale en raison des liens allégués avec l’État chinois et de l’utilisation potentielle des infrastructures pour l’espionnage ou l’ingérence stratégique, des accusations que l’entreprise a toujours niées.
Dans l’information publiée aujourd’hui, la Commission européenne rappelle que, depuis l’adoption de la législation sur la cybersécurité en 2019, le paysage géopolitique a changé, avec une aggravation des menaces cybernétiques, affectant les secteurs critiques de l’Union européenne.
« Les avancées technologiques ont donné naissance à des menaces cybernétiques de plus en plus sophistiquées, avec des acteurs, y compris des acteurs étatiques, développant des capacités pour perturber les secteurs économiques critiques et les fonctions sociales en Europe », ajoute-t-elle.
Outre la réduction des risques associés aux fournisseurs considérés comme à haut risque, la révision maintenant proposée vise à simplifier et à accélérer les processus de certification pour garantir que les produits et services numériques sont sécurisés dès l’origine et à renforcer le rôle de l’Agence de l’Union européenne pour la cybersécurité dans la coordination, la prévention et la réponse aux cyberattaques dans toute l’Union.
La proposition de la Commission européenne sera immédiatement applicable après l’approbation par le Parlement européen et le Conseil de l’Union européenne et, après son adoption, les États membres disposeront d’un an pour transposer la directive dans le droit national.