RÈGLEMENT (UE) 2021/887 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 20 mai 2021
établissant le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 173, paragraphe 3, et son article 188, premier alinéa,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen (1),
statuant conformément à la procédure législative ordinaire (2),
considérant ce qui suit:
| (1) | La majorité de la population de l’Union est connectée à l’internet. La vie quotidienne des personnes et les économies deviennent de plus en plus tributaires des technologies numériques. Les citoyens et les entreprises sont de plus en plus exposés à de graves incidents de cybersécurité et de nombreuses entreprises dans l’Union connaissent au moins un incident de cybersécurité chaque année. Cela met en évidence le besoin de résilience, de renforcer les capacités technologiques et industrielles, et d’utiliser des normes élevées et des solutions globales en matière de cybersécurité, qui concernent les personnes, les produits, les processus et les technologies dans l’Union, ainsi que le besoin de leadership de l’Union dans les domaines de la cybersécurité et de l’autonomie numérique. La cybersécurité peut également être renforcée en sensibilisant aux menaces en la matière et en développant les compétences, les moyens et les capacités dans l’ensemble de l’Union, tout en prenant pleinement en compte les implications et préoccupations d’ordre social et éthique. |
| (2) | L’Union n’a cessé d’intensifier ses activités pour relever les défis croissants en matière de cybersécurité, dans le prolongement de la stratégie de cybersécurité présentée par la Commission et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité (ci-après dénommé «haut représentant») dans leur communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 7 février 2013 intitulée «Stratégie de cybersécurité de l’Union européenne: un cyberespace ouvert, sûr et sécurisé» (ci-après dénommée «stratégie de cybersécurité de 2013»). Cette stratégie visait à favoriser un cyberécosystème fiable, sûr et ouvert. En 2016, l’Union a adopté les premières mesures dans le domaine de la cybersécurité avec la directive (UE) 2016/1148 du Parlement européen et du Conseil (3) relative à la sécurité des réseaux et des systèmes d’information. |
| (3) | En septembre 2017, la Commission et le haut représentant ont présenté au Parlement européen et au Conseil une communication conjointe intitulée «Résilience, dissuasion et défense: doter l’UE d’une cybersécurité solide» afin de renforcer encore la résilience, la capacité de dissuasion et la capacité de réaction de l’Union face aux cyberattaques. |
| (4) | Lors du sommet numérique de Tallinn, en septembre 2017, les chefs d’État ou de gouvernement ont appelé l’Union à devenir un acteur mondial de premier plan dans le domaine de la cybersécurité d’ici à 2025, afin de s’assurer de la confiance des citoyens, consommateurs et entreprises, d’assurer leur protection en ligne et de permettre un internet libre, plus sûr et réglementé, et déclaré leur intention d’utiliser davantage de solutions de source ouverte et de normes ouvertes lors de la (re)construction de systèmes et de solutions des technologies de l’information et de la communication (TIC), évitant notamment les situations de verrouillage à l’égard du vendeur, y compris celles développées ou promues par des programmes de l’Union en matière d’interopérabilité et de normalisation, telles que ISA2. |
| (5) | Le Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité (ci-après dénommé «Centre de compétences») établi par le présent règlement devrait contribuer à accroître la sécurité des réseaux et des systèmes d’information, y compris l’internet et les autres infrastructures critiques pour le fonctionnement de la société, telles que les transports, la santé, l’énergie, les infrastructures numériques, l’eau, les marchés financiers et les systèmes bancaires. |
| (6) | La perturbation importante des réseaux et des systèmes d’information peut affecter les différents États membres et l’Union dans son ensemble. Un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’ensemble de l’Union est donc essentiel pour la société comme pour l’économie. Actuellement, l’Union dépend de fournisseurs de services de cybersécurité non européens. Cependant, il est dans l’intérêt stratégique de l’Union de veiller à maintenir et à développer des capacités essentielles dans les domaines de la recherche et des technologies en matière de cybersécurité pour sécuriser les réseaux et les systèmes d’information des citoyens et des entreprises et, en particulier, pour sécuriser les réseaux et les systèmes d’information critiques, ainsi que pour fournir des services clés de cybersécurité. |
| (7) | L’Union dispose d’une expertise et d’une expérience considérables dans les domaines de la recherche, des technologies et du développement industriel en matière de cybersécurité, mais les efforts des milieux industriels et de la recherche sont fragmentés, manquent de cohésion et d’une mission commune, ce qui entrave la compétitivité et la protection efficace des réseaux et systèmes dans ce domaine. Ces efforts et cette expertise doivent être mis en commun, mis en réseau et utilisés de manière efficace afin de renforcer et de compléter les capacités et les qualifications dans les domaines de la recherche, des technologies et de l’industrie existantes au niveau de l’Union et au niveau national. Bien que le secteur des TIC soit confronté à des problèmes de taille, par exemple pour trouver la main-d’œuvre qualifiée dont il a besoin, il peut tirer profit d’une représentation de la diversité de la société dans son ensemble et d’une représentation équilibrée des sexes, de la diversité ethnique et de la non-discrimination à l’égard des personnes handicapées, ainsi que d’un accès facilité à la connaissance et à la formation pour les futurs experts en cybersécurité, y compris l’éducation de ces experts dans des contextes non formels, par exemple dans des projets de logiciels libres et ouverts, des projets de technologie civique, des start-up et des microentreprises. |
| (8) | Les petites et moyennes entreprises (PME) sont des parties prenantes essentielles du secteur de la cybersécurité de l’Union, et elles peuvent apporter des solutions de pointe grâce à leur agilité. Toutefois, les PME qui ne sont pas spécialisées en cybersécurité ont également tendance à être plus vulnérables aux incidents de cybersécurité en raison du niveau élevé d’investissements et de connaissances requis pour mettre en place des solutions efficaces en matière de cybersécurité. Il est dès lors nécessaire que le Centre de compétences et le Réseau de centres nationaux de coordination (ci-après dénommé «Réseau») apportent un soutien aux PME en les aidant à accéder aux connaissances et en leur fournissant un accès sur mesure aux résultats de la recherche et développement, afin de permettre aux PME de se protéger suffisamment et de permettre à celles dont l’activité se rapporte à la cybersécurité d’être concurrentielles et de contribuer au leadership de l’Union dans le domaine de la cybersécurité. |
| (9) | L’expertise existe en dehors des contextes industriels et de recherche. Les projets non commerciaux et avant commercialisation, dénommés projets «de technologie civique», utilisent des normes ouvertes, des données ouvertes et des logiciels libres et ouverts, dans l’intérêt de la société et du bien public. |
| (10) | Le domaine de la cybersécurité est varié. Les parties prenantes concernées comprennent des parties prenantes provenant d’organismes publics, d’États membres et de l’Union, ainsi que de l’industrie, de la société civile, tels que les syndicats, les associations de consommateurs, la communauté des logiciels libres et ouverts et les milieux académiques et de la recherche, et d’autres entités. |
| (11) | Dans ses conclusions adoptées en novembre 2017, le Conseil avait invité la Commission à fournir rapidement une analyse d’impact sur les options possibles pour créer un réseau de centres de compétences en cybersécurité et un centre européen de recherche et de compétences en matière de cybersécurité, et à proposer, pour la mi-2018, l’instrument juridique pertinent pour la création d’un tel réseau et d’un tel centre. |
| (12) | L’Union ne dispose toujours pas de moyens et de capacités technologiques et industriels suffisants pour sécuriser de manière autonome son économie et ses infrastructures critiques et devenir un acteur mondial de premier plan dans le domaine de la cybersécurité. Le niveau de la coordination et de la coopération stratégiques et durables entre les industries, les milieux de la recherche dans le domaine de la cybersécurité et les pouvoirs publics est insuffisant. L’Union pâtit d’un investissement insuffisant et d’un accès limité au savoir-faire, aux qualifications et aux installations en matière de cybersécurité et rares sont les résultats de la recherche et de l’innovation dans le domaine de la cybersécurité dans l’Union qui débouchent sur des solutions commercialisables ou qui sont largement déployés dans l’ensemble de l’économie. |
| (13) | La création du Centre de compétences et du Réseau, ayant pour mandat de |
...
