Le Parlement européen,

–  vu la communication conjointe de la Commission et du haut représentant de l’Union pour les affaires étrangères et la politique de sécurité du 16 décembre 2020 intitulée «La stratégie de cybersécurité de l’UE pour la décennie numérique» (JOIN(2020)0018),

–  vu la proposition de directive du Parlement européen et du Conseil, présentée par la Commission le 16 décembre 2020, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (COM(2020)0823),

–  vu la proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, COM(2020)0595, présentée par la Commission le 24 septembre 2020,

–  vu la proposition de règlement du Parlement européen et du Conseil établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination, présentée par la Commission le 12 septembre 2018 (COM(2018)0630),

–  vu la communication de la Commission du 19 février 2020 intitulée «Façonner l’avenir numérique de l’Europe» (COM(2020)0067),

–  vu le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité)(1),

–  vu la directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l’harmonisation des législations des États membres concernant la mise à disposition sur le marché d’équipements radioélectrique et abrogeant la directive 1999/5/CE(2).

–  vu la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen(3),

–  vu le règlement (UE) nº 1290/2013 du Parlement européen et du Conseil du 11 décembre 2013 définissant les règles de participation au programme-cadre pour la recherche et l’innovation «Horizon 2020» (2014-2020) et les règles de diffusion des résultats et abrogeant le règlement (CE) nº 1906/2006(4),

–  vu le règlement (UE) nº 1291/2013 du Parlement européen et du Conseil du 11 décembre 2013 portant établissement du programme-cadre pour la recherche et l’innovation "Horizon 2020" (2014-2020) et abrogeant la décision nº 1982/2006/CE(5),

–  vu le règlement (UE) 2021/694 du Parlement européen et du Conseil du 29 avril 2021 établissant le programme InvestEU et modifiant le règlement (UE) 2015/2240(6),

–  vu la directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d’interfaces avec d’autres modes de transport(7),

–  vu la convention de Budapest sur la cybercriminalité du 23 novembre 2001 (STE nº 185),

–  vu sa résolution du 16 décembre 2020 sur une nouvelle stratégie pour les PME européennes(8),

–  vu sa résolution du 25 mars 2021 sur une stratégie spatiale pour l’Europe(9),

–  vu sa résolution du 20 mai 2021 sur l’avenir démographique de l’Europe: supprimer les obstacles au bon fonctionnement du marché unique numérique et améliorer l’utilisation de l’IA pour les consommateurs européens(10)

–  vu sa résolution du 21 janvier 2021 intitulée «Résorber le fossé numérique entre les femmes et les hommes: la participation des femmes dans l’économie numérique(11),

–  vu sa résolution du 12 mars 2019 sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’Union et les actions possibles à l’échelle de l’UE pour les réduire(12),

–  vu la question à la Commission sur la stratégie de cybersécurité de l’Union européenne pour la décennie numérique (O-000037/2021 — B9-0024/2021),

–  vu l’article 136, paragraphe 5, et l’article 132, paragraphe 2, de son règlement intérieur,

A.  considérant que la transformation numérique est une priorité stratégique essentielle de l’Union qui est inévitablement associée à une exposition accrue aux cybermenaces;

B.  considérant que le nombre des appareils connectés, y compris les machines, les capteurs, les composants industriels et les réseaux qui constituent l’internet des objets, continue de croître, avec 22,3 milliards d’appareils qui devraient être connectés à l’internet des objets dans le monde d’ici à 2024, ce qui augmentera d’autant l’exposition aux cyberattaques;

C.  considérant que le progrès technologique – notamment l’informatique quantique – et les asymétries d’accès à ces technologies pourraient compliquer la tâche en matière de cybersécurité;

D.  considérant que la crise de la COVID-19 a exacerbé les vulnérabilités informatiques dans certains secteurs critiques, en particulier les soins de santé, et que les mesures de télétravail et de distanciation sociale qui en ont résulté ont accru notre dépendance vis-à-vis des technologies numériques et de la connectivité, tandis que les cyberattaques et la cybercriminalité, y compris l’espionnage et le sabotage, ainsi que les intrusions dans les systèmes, structures et réseaux informatiques, ou leur manipulation, au moyen d’installations malveillantes et illégales, sont de plus en plus nombreuses et sophistiquées dans toute l’Europe;

E.  considérant que le nombre de cyberattaques augmente considérablement, comme on l’a vu lors de la récente série de cyberattaques malveillantes et organisées contre des systèmes de santé, par exemple en Irlande, en Finlande et en France; que ces cyberattaques causent des dommages considérables aux systèmes de santé et à la prise en charge des patients, ainsi qu’à d’autres institutions publiques et privées sensibles;

F.  considérant que les menaces hybrides, qui comprennent le recours à des campagnes de désinformation et à des cyberattaques contre des infrastructures, des processus économiques et les institutions démocratiques, sont de plus en plus nombreuses et préoccupantes, tant dans le cyberespace que dans le monde physique, et font planer une menace sur les processus démocratiques tels que les élections, les procédures législatives, les services répressifs et la justice;

G.  considérant qu’il existe une dépendance croissante à l’égard de la fonction centrale de l’internet et des services internet essentiels pour la communication et l’hébergement, les applications et les données, fonction dont la part de marché est de plus en plus concentrée entre les mains d’un nombre toujours plus réduit d’entreprises;

H.  considérant que les capacités des attaques de déni de service distribuées sont en augmentation et que, par conséquent, il convient de renforcer à l’avenant la résilience des fonctions centrales de l’internet;

I.  considérant que la préparation et la sensibilisation des entreprises en matière de cybersécurité, en particulier parmi les PME et les entreprises unipersonnelles, reste faible, et qu’il existe une pénurie de main-d’œuvre qualifiée (l’écart de main-d’œuvre s’est creusé de 20 % depuis 2015), les canaux de recrutement traditionnels ne répondant pas à la demande, y compris pour les postes d’encadrement et les postes interdisciplinaires; considérant que «près de 90 % de la main-d’œuvre mondiale dans le domaine de la cybersécurité est masculine» et que «le manque persistant de diversité entre les sexes restreint encore davantage le réservoir de talents»(13);

J.  considérant que les capacités en matière de cybersécurité sont hétérogènes entre les États membres et que le signalement des incidents et le partage d’informations entre eux n’ont rien de systématique ou de complet, tandis que le recours aux centres d’échange et d’analyse (ISAC) pour l’échange d’informations entre les secteurs public et privé n’a pas atteint son plein potentiel;

K.  considérant qu’il n’y a pas d’accord au niveau de l’Union sur la collaboration en matière de cyberrenseignement ni sur la réponse collective aux cyberattaques et aux attaques hybrides; qu’il est très difficile pour les États membres, sur le plan technique et géopolitique, de prendre seuls des mesures de lutte contre les cybermenaces et les cyberattaques, en particulier celles de nature hybride;

L.  considérant que le partage transfrontière et à l’échelle mondiale des données sont importants pour la création de valeur, à condition que la vie privée et les droits intellectuels et de propriété soient garantis; que l’application de lois étrangères en matière de données pourrait représenter un risque pour les données européennes en matière de cybersécurité, étant donné que les entreprises opérant dans différentes régions sont soumises à des obligations qui se chevauchent, indépendamment de la localisation des données ou de leur origine;

M.  considérant que la cybersécurité représente un marché mondial de 600 milliards d’EUR, un montant qui devrait augmenter rapidement, et que l’Union est importatrice nette de produits et de solutions dans ce domaine;

N.  considérant qu’il existe un risque de fragmentation du marché unique en raison des réglementations nationales en matière de cybersécurité et de l’absence de législation horizontale concernant les exigences essentielles en matière de cybersécurité applicables au matériel informatique et aux logiciels, y compris les produits connectés et les applications;

1.  se félicite des initiatives présentées par la Commission dans la communication conjointe intitulée «La stratégie de cybersécurité de l’UE pour la décennie numérique»;

2.  appelle de ses vœux la promotion du développement de réseaux et de systèmes d’information sûrs et fiables dans l’ensemble de l’Union;

3.  demande que soit adopté l’objectif qui consiste à faire en sorte que tous les produits connectés à l’internet disponibles dans l’Union, y compris à des fins industrielles et de consommation, ainsi que l’ensemble des chaînes d’approvisionnement qui les mettent à disposition, soient sécurisés dès leur conception, résilients aux cyberincidents et mis à jour dans les meilleurs délais lors de la découverte de vulnérabilités; se félicite de l’intention de la Commission de proposer une législation horizontale sur les exigences en matière de cybersécurité applicables aux produits connectés et aux services associés, et demande que cette législation propose l’harmonisation des législations nationales afin d’éviter la fragmentation du marché unique; demande que la législation existante (le règlement sur la cybersécurité, le nouveau cadre législatif et le règlement sur la normalisation) soit prise en compte afin d’éviter tout risque d’ambiguïté et de fragmentation;

4.  invite la Commission à évaluer la nécessité d’une proposition de règlement horizontal qui introduise des exigences en matière de cybersécurité pour les applications, les logiciels, les logiciels intégrés et les systèmes d’exploitation d’ici à 2023, en s’appuyant sur l’acquis de l’Union dans le domaine des exigences en matière de gestion des risques; souligne que les applications, logiciels, logiciels intégrés et systèmes d’exploitation obsolètes (c’est-à-dire qui ne reçoivent plus régulièrement de correctifs ou de mises à jour) constituent une part non négligeable de tous les appareils connectés et un risque en matière de cybersécurité; invite la Commission à se pencher sur cette question dans sa proposition; suggère que la proposition prévoie l’obligation, pour les fabricants, de communiquer à l’avance la période minimale pendant laquelle ils proposeront des correctifs et des mises à jour afin de permettre aux acheteurs de faire des choix éclairés; estime que les fabricants doivent être associés au programme coordonné de divulgation des vulnérabilités (CVD) tel qu’il est défini dans la proposition de directive NIS2;

5.  insiste sur la nécessité d’intégrer la cybersécurité dans la numérisation; demande dès lors que les projets de numérisation financés par l’Union incluent des exigences en matière de cybersécurité; se félicite du soutien à la recherche et à l’innovation dans le domaine de la cybersécurité, en particulier en ce qui concerne les technologies de rupture (telles que l’informatique quantique et la cryptographie quantique), dont l’émergence pourrait déstabiliser l’équilibre international; demande en outre la poursuite des recherches sur les algorithmes post-quantiques en tant que norme de cybersécurité;

6.  observe que la numérisation de notre société signifie que tous les secteurs sont interconnectés et que les faiblesses d’un secteur peuvent avoir des répercussions dans les autres; insiste dès lors pour que les politiques en matière de cybersécurité soient intégrées dans la stratégie numérique de l’Union et dans son financement, et pour qu’elles soient cohérentes et interopérables d’un secteur à l’autre;

7.  appelle de ses vœux une utilisation cohérente des fonds de l’Union en ce qui concerne la cybersécurité et le déploiement des infrastructures connexes; invite la Commission et les États membres à veiller à l’exploitation des synergies liées à la cybersécurité entre les différents programmes, en particulier le programme Horizon Europe, le programme pour une Europe numérique, le programme spatial de l’Union, la facilité de l’Union pour la relance et la résilience, InvestEU et le MIE, ainsi qu’à tirer pleinement parti du Centre et du réseau de compétences en matière de cybersécurité;

8.  rappelle que l’infrastructure de communication est la pierre angulaire de toute activité numérique et que sa sécurité est une priorité stratégique de l’Union; s’engage en faveur du développement actuel du système de certification de cybersécurité de l’Union pour les réseaux 5G; se félicite de la boîte à outils de l’Union sur la cybersécurité de la 5G et invite la Commission, les États membres et les acteurs du secteur à poursuivre leurs efforts en faveur de réseaux de communication sécurisés, notamment au moyen de mesures applicables à l’ensemble de la chaîne d’approvisionnement; invite la Commission à éviter la dépendance à l’égard des fournisseurs et à renforcer la sécurité des réseaux en encourageant les initiatives qui renforcent la virtualisation et la mise en nuage des différentes composantes des réseaux; demande le développement rapide des prochaines générations de technologies de communication, dont la cybersécurité dès la conception constitue un principe fondamental, en mesure de garantir la protection de la vie privée et des données à caractère personnel;

9.  réaffirme qu’il importe de mettre en place un nouveau cadre de sécurité solide pour les infrastructures critiques de l’Union afin de préserver les intérêts de l’Union en matière de sécurité et de tirer parti des capacités existantes pour réagir de manière appropriée aux risques, aux menaces et aux changements technologiques;

10.  invite la Commission à élaborer des dispositions visant à garantir l’accessibilité, la disponibilité et l’intégrité du noyau public de l’internet et, partant, la stabilité du cyberespace, notamment en ce qui concerne l’accès de l’Union au système racine mondial du DNS; estime que ces dispositions devraient inclure des mesures de diversification des fournisseurs afin d’atténuer le risque actuel de dépendance à l’égard des quelques entreprises dominantes sur le marché; se félicite de la proposition relative à un système européen de noms de domaine (DNS4EU) en tant qu’instrument du renforcement de la résilience du noyau de l’internet; demande à la Commission d’évaluer comment ce DNS4EU pourrait utiliser les technologies les plus récentes, les protocoles de sécurité et l’expertise en matière de cybermenaces afin d’offrir un DNS rapide, sécurisé et résilient à tous les Européens; rappelle la nécessité d’une meilleure protection du protocole BGP («Border Gateway Protocol») afin d’éviter qu’il ne soit piraté; réaffirme son soutien à un modèle multipartite de gouvernance de l’internet, dont la cybersécurité devrait constituer l’un des thèmes centraux; souligne que l’Union devrait accélérer la mise en œuvre de l’IPv6; prend acte de l’existence du modèle à code source ouvert qui, en tant que base du fonctionnement de l’internet, a démontré son efficience et son efficacité; encourage dès lors son utilisation;

11.  prend acte de la nécessité d’accentuer la criminalistique en matière de cybersécurité pour lutter contre la criminalité, la cybercriminalité et les cyberattaques, y compris les attaques soutenues par des États, mais met en garde contre les mesures disproportionnées qui compromettent la vie privée et la liberté d’expression des citoyens de l’Union lors de leur usage de l’internet; rappelle la nécessité de conclure la révision du deuxième protocole additionnel à la convention de Budapest sur la cybercriminalité, qui est à même d’accroître la préparation à la cybercriminalité;

12.  invite la Commission et les États membres à mettre leurs ressources en commun afin de renforcer la résilience stratégique de l’Union, de réduire sa dépendance à l’égard des technologies étrangères et de promouvoir son leadership et sa compétitivité en matière de cybersécurité tout au long de la chaîne d’approvisionnement numérique (y compris le stockage et le traitement des données dans le nuage, les technologies des processeurs, les circuits intégrés (puces), la connectivité ultrasécurisée, l’informatique quantique et la prochaine génération de réseaux);

13.  estime que le projet d’infrastructure de connectivité ultrasécurisée est un instrument important pour la sécurité des communications numériques sensibles; salue l’annonce du développement, à l’échelon européen, d’un système de communications mondial sécurisé fondé sur l’espace, qui intègrera les technologies de chiffrement quantique; rappelle que des efforts continus doivent être déployés, en coopération avec l’Agence de l'Union européenne pour le programme spatial (EUSPA) et l’Agence spatiale européenne (ESA), pour sécuriser les activités spatiales européennes;

14.  déplore que les pratiques de partage d’informations relatives aux cybermenaces et aux cyberincidents n’aient pas été adoptées de manière appropriée par les secteurs privé et public; invite la Commission et les États membres à renforcer la confiance et à réduire les obstacles au partage d’informations sur les cybermenaces et les cyberattaques à tous les niveaux; salue les efforts déployés par certains secteurs et appelle à une collaboration intersectorielle, étant donné que les vulnérabilités sont rarement spécifiques à chaque secteur; relève que les États membres doivent unir leurs forces au niveau européen afin de partager efficacement leurs connaissances les plus récentes en matière de cybersécurité; encourage la création d’un groupe de travail des États membres sur le cyberrenseignement afin de favoriser le partage d’informations au sein de l’Union et de l’espace économique européen, en particulier en vue de prévenir les cyberattaques à grande échelle;

15.  se félicite de la création prévue d’une unité commune sur le cyberespace afin de renforcer la coopération entre les organes de l’Union et les autorités des États membres chargées de prévenir les cyberattaques, de les décourager et d’y réagir; invite les États membres et la Commission à renforcer encore la coopération en matière de cyberdéfense et à développer la recherche sur les capacités de cyberdéfense les plus avancées;

16.  rappelle l’importance du facteur humain dans la stratégie de cybersécurité; appelle de ses vœux la poursuite des efforts de sensibilisation à la cybersécurité, y compris en matière d’hygiène et de connaissances informatiques;

17.  souligne la nécessité d’un cadre de sécurité solide et cohérent pour protéger l’ensemble du personnel, des données, des réseaux de communication et des systèmes d’information de l’Union, ainsi que les processus décisionnels contre les cybermenaces, et l’importance de fonder ce cadre sur des règles globales, cohérentes et homogènes ainsi qu’une gouvernance appropriée; demande la mise à disposition de ressources et de capacités suffisantes, y compris dans le cadre du renforcement du mandat de la CERT-UE et en ce qui concerne les discussions en cours sur la définition de règles communes contraignantes en matière de cybersécurité pour l’ensemble des institutions, des organes et des agences de l’Union;

18.  plaide en faveur d’une utilisation plus large des normes volontaires en matière de certification et de cybersécurité, étant donné qu’elles constituent des outils importants en vue de l’amélioration du niveau général de cybersécurité; se félicite de la mise en place du cadre européen de certification et des travaux du groupe européen de certification de cybersécurité; invite l’ENISA et la Commission à envisager, lors de la préparation du système européen de certification de cybersécurité pour les services d’informatique en nuage, de rendre obligatoire l’application du droit de l’Union en ce qui concerne le niveau d’assurance «élevé»;

19.  souligne la nécessité de répondre à la demande de main-d’œuvre en matière de cybersécurité et de combler le déficit de compétences dans ce secteur en poursuivant les efforts dans les domaines de l’éducation et de la formation; observe qu’il convient de porter une attention particulière à l’élimination de l’écart entre les hommes et les femmes, qui affecte aussi ce secteur;

20.  prend acte de la nécessité de mieux soutenir les microentreprises et les PME afin qu’elles comprennent mieux tous les risques liés à la sécurité de l’information et les possibilités d’améliorer leur cybersécurité; invite l’ENISA et les autorités nationales à élaborer des portails d’autodiagnostic et des guides de bonnes pratiques pour les microentreprises et les PME; rappelle l’importance de la formation et de l’accès à des financements spécifiques pour la sécurité de ces entités;

21.  charge son Président de transmettre la présente résolution à la Commission et au Conseil, ainsi qu’aux gouvernements et aux parlements des États membres.

(1) JO L 151 du 7.6.2019, p. 15. (2) JO L 153 du 22.5.2014, p. 62. (3) JO L 321 du 17.12.2018, p. 36. (4) JO L 347 du 20.12.2013, p. 81. (5) JO L 347 du 20.12.2013, p. 104. (6) JO L 166 du 11.5.2021, p. 1. (7) JO L 207 du 6.8.2010, p. 1. (8) Textes adoptés de cette date, P9_TA(2020)0359. (9) Textes adoptés de cette date, P9_TA(2021)0098. (10) Textes adoptés de cette date, P9_TA(2021)0261. (11) Textes adoptés de cette date, P9_TA(2021)0026. (12) JO C 23 du 21.1.2021, p. 2. (13) Document d’information de la Cour des comptes sur les défis d’une politique efficace de l’Union européenne en matière de cybersécurité, mars 2019.