La loi européenne révisée sur la cybersécurité cible les fournisseurs « à haut risque ».

La Commission européenne a publié sa proposition de révision de la loi sur la cybersécurité (CSA), qui comprend des dispositions visant à exclure les entreprises et les composants « à haut risque » des chaînes d'approvisionnement européennes.

La proposition était attendue la semaine dernière (14 janvier) après un processus d'examen de plusieurs mois, mais elle a été retardée, apparemment en raison de désaccords entre les responsables et les États membres sur la portée des modifications apportées à la CSA.

La proposition décrit des mesures visant à identifier les « pays tiers » à haut risque et les entreprises fournissant des équipements ou des composants numériques à l'UE et à les exclure des infrastructures numériques essentielles.

La Commission a indiqué que la proposition vise à permettre « à l’UE et aux États membres d’identifier et d’atténuer conjointement les risques dans les 18 secteurs critiques de l’UE », dont l’énergie. Toutefois, un communiqué de presse de la Commission ne mentionne que la « réduction obligatoire des risques » du secteur des télécommunications.

Pour les énergies renouvelables, en particulier énergie solaire photovoltaïque et stockage d'énergie Le principal « pays tiers » à risque est la Chine, bien que la proposition de la Commission ne la mentionne pas. Ces derniers mois, les entreprises chinoises ont fourni la majorité des onduleurs solaires à l'UE, ce qui a suscité des inquiétudes en matière de cybersécurité au sein du secteur et à Bruxelles. L'UE a déjà identifié les onduleurs solaires comme une dépendance d'approvisionnement à « haut risque » dans sa doctrine de sécurité économique publiée fin 2018.

Par exemple, les données du grossiste européen de panneaux photovoltaïques Sun.store indiquent que Huawei a été un fournisseur majeur de onduleurs solaires – dont beaucoup sont numériques et connectées à des serveurs cloud – malgré le fait que l'entreprise ait été exclue du réseau 5G de l'UE pour des raisons de sécurité.

La proposition prévoit des dispositions permettant potentiellement de rappeler et de retirer progressivement des produits déjà déployés dans les infrastructures de l'UE si le fournisseur est jugé à haut risque. Les conséquences d'un retrait progressif de la technologie chinoise pour le secteur solaire ont été analysées la semaine dernière.

Les restrictions imposées à la chaîne d’approvisionnement portent sur les risques « non techniques », ce qui, selon la Commission, fait référence au risque qu’un fournisseur soit « soumis à l’influence d’un pays tiers » susceptible de perturber un service essentiel ou à « l’exfiltration de données, y compris à des fins d’espionnage ou de génération de revenus ».

« Les menaces en matière de cybersécurité ne sont pas de simples défis techniques. Elles constituent des risques stratégiques pour notre démocratie, notre économie et notre mode de vie », a déclaré Henna Virkkunen, vice-présidente exécutive de la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie. « Grâce au nouveau paquet cybersécurité, nous disposerons des moyens nécessaires pour mieux protéger nos chaînes d’approvisionnement critiques en TIC, mais aussi pour lutter efficacement contre les cyberattaques. Il s’agit d’une étape importante pour garantir notre souveraineté technologique européenne et assurer une sécurité accrue pour tous. »

La proposition introduisait également des clarifications concernant le Cadre européen de certification en cybersécurité (ECCF), censées « apporter plus de clarté et de simplicité aux procédures » et permettre l’obtention de certaines certifications « en 12 mois ». Les entreprises pourront également se soumettre volontairement à la certification ECCF, ce qui constituerait un « atout concurrentiel pour les entreprises de l’UE ». Cette approche semble éviter un processus de certification obligatoire, qui avait été évoqué lors de la révision de l’autorité de certification européenne (CSA).

Elle a également introduit des mesures visant à renforcer l'Agence de l'UE pour la cybersécurité (ENISA), créée lors de la première adoption de la loi sur la sécurité des communications (CSA) en 2019.

En réponse à cette proposition, Dries Acke, directeur général adjoint de SolarPower Europe, a déclaré : « C’est une très bonne chose que la Commission européenne prenne au sérieux les questions de cybersécurité. »

« Il est essentiel de disposer de normes et de protocoles robustes à l’échelle de l’UE en matière de cybersécurité, applicables à tous les acteurs et entreprises numériques du marché européen de l’énergie. L’Europe doit être résiliente face à tous les types d’attaques, d’où qu’elles viennent. »

« Alors que l’évaluation des risques et des impacts spécifiques au solaire sur la cybersécurité est en cours, nous nous réjouissons de poursuivre notre coopération constructive avec la Commission et de nous engager dans le cadre du mandat renouvelé de l’ENISA, ainsi que dans le cadre simplifié de la certification européenne en matière de cybersécurité. »