Europe Info Hebdo

L’Europe en fait-elle assez pour une cybersécurité en conformité avec son Etat de droit?  

• Dans un post, la députée Aura Salla (FI-PPE) souligne que l’Europe manque encore de souveraineté technologique dans trois domaines clés : les données, le marché et le capital.  

• L’UE a trop réglementé sans créer de valeur, n’a pas de véritable marché unique et reste incapable d’unifier ses marchés financiers.  

• Les règles européennes, censées limiter les géants américains, freinent surtout les entreprises locales.  

• L’auteur appelle à soutenir les acteurs européens via la commande publique, à adapter les lois numériques, à valoriser les données européennes et à bâtir enfin une union des marchés de capitaux.  

• L’Europe doit favoriser les fusions, la mobilité et une identité d’entreprise européenne.  

• En matière d’Etat de droit, la législation européenne récente en cybersécurité pose encore plusieurs problèmes juridiques majeurs.  

• D’abord, se pose le problème de la complexité et de l’empilement normatifs. 

• Comme les souligne une note du cabinet Deloitte, la NIS2 Directive, le Cyber Resilience Act (CRA), le Cyber Solidarity Act, etc., créent un environnement où les chevauchements d’obligations entrainent des incertitudes pour les entreprises.  

• Ainsi, le CRA impose notamment une obligation de divulgation dans les 24 h d’une vulnérabilité exploitée, ce qui suscite des critiques quant à sa faisabilité et aux risques. 

• Par exemple, une publication hâtive pourrait exposer « des failles non corrigées à des acteurs malveillants ».  

• L’autre problème est celui de l’hétérogénéité dans les transpositions nationales en particulier de la NIS2 comme déjà observé.  

• Plusieurs États membres n’ont toujours pas procédé à la mise en œuvre à la date-butoir du 17 octobre 2024. 

• Ceci crée une incertitude juridique et un terrain non uniforme pour les entreprises opérant dans plusieurs pays. 

 

• De plus, les obligations renforcées en matière de notification d’incidents et de gestion des vulnérabilités peuvent engendrer de lourdes responsabilités civiles et pénales pour les dirigeants d’entités « essentielles ou importantes » – comme pour la directive NIS2.  

• Ce qui illustre les problèmes d’inégalités pour les acteurs de PME ou de l’open-source  

• L’obligation de conformité (mises à jour, absence de vulnérabilités, traçabilité des composants logiciels) pourrait leur être plus coûteuse et désavantager les petits acteurs. 

• La mise en œuvre juridique de la cybersécurité européenne pose des défis à son régime d’Etat de droit.  

• Encore un domaine où la transformation du modèle européen pour répondre aux nouveaux enjeux géopolitiques se fait sous la contrainte et sans certitudes.