La Commission dévoile un plan pour écarter les fournisseurs étrangers jugés à risque des secteurs stratégiques
La Commission européenne a présenté mardi 20 janvier une révision du règlement sur la cybersécurité (Cybersecurity Act, CSA), destinée à instaurer un cadre juridique obligeant les États membres à se détourner des fournisseurs de technologies de l’information et de la communication (TIC) issus de pays tiers considérés comme présentant un risque élevé pour la cybersécurité dans les secteurs critiques.
Cette proposition, baptisée « CSA 2 », vise à renforcer la résilience globale de l’Union en matière de cybersécurité, en réduisant les vulnérabilités liées aux chaînes d’approvisionnement dans des domaines clés tels que les télécommunications, l’énergie, le cloud, l’espace ou encore la santé.
Dans ce cadre, la Commission mènera des évaluations sectorielles avant d’élaborer, en coopération avec les États membres, une liste commune des pays tiers jugés à risque pour la sécurité de l’Union. Ces pays pourraient être identifiés notamment en raison d’incidents cybernétiques passés, d’activités malveillantes ou de l’absence de garanties judiciaires ou démocratiques suffisantes.
Les fournisseurs établis dans ces pays seraient ensuite ciblés individuellement, et les États membres devraient adopter des mesures d’atténuation des risques, pouvant aller jusqu’à l’exclusion progressive de certaines entreprises des chaînes d’approvisionnement en TIC.
La proposition s’appuie sur une autre loi en matière de cybersécurité, la directive SRI 2 (sécurité des réseaux et systèmes d’information), qui se concentre sur 18 secteurs critiques, notamment les télécommunications, les soins de santé, l’énergie et l’espace.
Le plan officialise également les mesures déjà prises par la Commission et les capitales de l’UE dans le cas des réseaux de télécommunications mobiles (4G/5G), qui ont abouti en 2020 à un cadre volontaire visant à réduire les risques, connu sous le nom de « boîte à outils 5G ».
Avec le CSA 2, cette boîte à outils deviendrait juridiquement contraignante, imposant aux États membres un délai strict de trois ans pour éliminer progressivement les fournisseurs considérés comme à haut risque.
Dans le cadre volontaire existant, les fournisseurs de télécommunications chinois Huawei et ZTE ont été désignés comme présentant un risque élevé, ce qui signifie que les pays ont été poussés à les bannir de leurs réseaux 5G pendant des années. Mais l’action limitée des capitales a convaincu les services de la commissaire à la technologie, Henna Virkkunen, de faire pression pour mettre en place un système obligatoire dès maintenant.
Le projet de législation ne désigne pas officiellement la Chine comme un pays à haut risque, ni Huawei ou ZTE comme tels, mais un fonctionnaire de la Commission a confié à Euractiv que la situation n’avait pas changé depuis leur désignation dans le cadre de la boîte à outils 5G, ce qui signifie qu’il est très probable qu’ils soient désignés dans le cadre du CSA 2.
La pression règlementaire exercée sur les opérateurs mobiles pour qu’ils réduisent les risques liés à leurs réseaux en supprimant les équipements fabriqués par des fournisseurs à haut risque devrait également s’intensifier.
Une fuite du projet de loi sur les réseaux numériques, obtenue par Euractiv le 14 janvier, suggère que l’attribution du spectre 6G serait limitée, dans le cadre de cette réforme des télécommunications, aux opérateurs qui se conforment pleinement aux interdictions en matière de cybersécurité prévues par le CSA 2.
