Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA): développement

2010/0275(COD)

OBJECTIF: proposer la refonte du règlement instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) afin d’étendre son mandat.

ACTE PROPOSÉ : Règlement du Parlement européen et du Conseil.

CONTEXTE : l’Agence européenne chargée de la sécurité des réseaux et de l’information (ou «l’ENISA») a été créée en mars 2004 pour une période initiale de 5 ans par le règlement (CE) n° 460/2004. Son mandat a été prolongé jusqu’en mars 2012 par le règlement (CE) n° 1007/2008. La prolongation de ce mandat a fourni aux parties concernées, l'occasion d'entamer un débat concernant l'orientation générale que doivent suivre les efforts européens en faveur de la sécurité des réseaux et de l'information (SRI), débat auquel la Commission a contribué en lançant une consultation publique (celle-ci s'est déroulée de novembre 2008 à janvier 2009 et a permis de recueillir près de 600 contributions).

Le 30 mars 2009, la Commission a adopté une communication relative à la protection des infrastructures d'information critiques (PIIC) visant à protéger l'Europe des cyber-attaques et des perturbations en améliorant la préparation, la sécurité et la résilience. La communication comportait un plan d'action invitant l'ENISA à jouer un rôle principalement de soutien aux États membres. Le plan d'action a été largement approuvé lors des discussions de la conférence ministérielle sur la PIIC qui s'est tenue à Tallinn, en Estonie, les 27 et 28 avril 2009. Dans ses conclusions, la conférence de la présidence de l'UE soulignait notamment la nécessité de repenser et de reformuler le mandat de l'Agence.

Cette dernière a en effet été créée à l’origine pour assurer un niveau élevé et efficace de sécurité des réseaux et de l'information au sein de l'Union. Mais compte tenu de l'expérience acquise ainsi que des défis et menaces actuels en matière de SRI, la nécessité s'est imposée de moderniser son mandat pour répondre mieux aux besoins de l'Union européenne, en particulier pour répondre à la diversité des approches nationales en matière de SRI, de l’absence de modèles de coopération dans la mise en œuvre des politiques SRI, du manque de données européennes fiables et de la connaissance limitée de problèmes en évolution constante et de la difficulté à intégrer des aspects SRI dans les politiques de lutte contre la cybercriminalité.

La présente proposition de refonte de l’ENISA vise à rencontrer ces nouveaux défis en modifiant le mandat de l’Agence.

Á noter que dans l’attente de l’adoption de la présente proposition, une proposition parallèle de prolongation du mandat actuel de l’ENISA jusqu’en septembre 2013 est également proposée afin de laisser le temps aux institutions de se mettre d’accord sur le présent texte.

ANALYSE D’IMPACT : partant du principe où une agence s’avère nécessaire pour atteindre les objectifs stratégiques de l'Union, 5 options stratégiques ont été retenues:

  • Option 1 – aucune politique;
  • Option 2 – Statu quo, c'est-à-dire conserver un mandat analogue et le même niveau de ressources;
  • Option 3 – étoffer les tâches de l'ENISA en impliquant les autorités chargées du respect de la loi et de la vie privée en tant que parties prenantes de plein droit;
  • Option 4 – ajouter aux tâches de l'Agence la lutte contre les cyber-attaques et la réaction aux incidents informatiques;
  • Option 5 – ajouter aux tâches de l'Agence l'assistance aux autorités de police et judiciaires dans leur lutte contre la cybercriminalité.

Après une analyse comparative des coûts et bénéfices, l'option 3 a été retenue comme la plus rentable et un moyen efficace d'atteindre les objectifs stratégiques car elle permet de : i) maintenir en activité un réseau de liaison entre parties prenantes et un réseau de connaissances assurant à l'ENISA une vision exhaustive du paysage SRI européen; ii) servir de centre de soutien SRI pour l'élaboration des politiques et leur mise en œuvre ; iii) soutenir la politique de l'Union en matière de protection des infrastructures critiques ; iv) établir un cadre de l'Union pour la collecte des données SRI ; v) favoriser la coopération avec les pays tiers et les organisations internationales ; vi) exécuter des tâches non opérationnelles liées à des aspects SRI de la lutte contre la cybercriminalité et de la coopération judiciaire.

BASE JURIDIQUE : article 114 du traité sur le fonctionnement de l’Union européenne (TFUE).

CONTENU : la proposition de règlement vise à renforcer et moderniser l'ENISA et à définir un nouveau mandat pour une durée de 5 ans.

Les principales innovations apportées au règlement initial peuvent se résumer comme suit :

Tâches de l’Agence : les tâches de l’ENISA sont actualisées et reformulées dans leurs grandes lignes de façon à étendre le champ des activités de l'Agence; elles sont assez précises pour décrire les moyens par lesquels les objectifs doivent être atteints. Celle-ci sera ainsi chargée, entre autre, de :

  • assister la Commission dans l'élaboration de la politique en matière de SRI en lui fournissant des conseils et des avis, des analyses techniques et socioéconomiques, et des travaux préparatoires à l'élaboration et à l'actualisation de la législation de l'Union dans ce domaine ;
  • faciliter la coopération au sein des États membres, et entre les États membres et la Commission afin de prévenir les problèmes et incidents de SRI, de les détecter et d'y faire face;
  • assister les États membres et les institutions et organismes européens dans leurs efforts pour recueillir, analyser et diffuser des données sur la SRI et évaluer régulièrement la situation en Europe;
  • favoriser la coopération entre les organismes publics compétents en Europe et échanger des bonnes pratiques et des normes ;
  • assister l'Union et les États membres dans la promotion du recours aux bonnes pratiques et normes de gestion des risques pour les produits, systèmes et services électroniques;
  • favoriser la coopération entre parties prenantes publiques et privées au niveau de l'Union et faciliter le dialogue et l'échange de bonnes pratiques à tous les niveaux notamment en matière de lutte contre la cybercriminalité;
  • assister la Commission dans la fixation d'orientations politiques qui tiennent compte des aspects «sécurité des réseaux et de l'information» dans la lutte contre la cybercriminalité;
  • exécuter les tâches confiées à l'Agence par les actes législatifs de l'Union.

Le nouveau mandat de l’Agence permettra :

    1. aux institutions et organismes européens de s'adresser à l'Agence pour obtenir une assistance et des conseils, ce qui est conforme à l'évolution politique et réglementaire actuelle ;
    2. aux autorités chargées du respect de la loi et de la vie privée de devenir des parties prenantes de plein droit de l'Agence, ce qui lui permettra de devenir une véritable interface dans la lutte contre la cybercriminalité.

Gestion : sur le plan organisationnel, les principales modifications portent sur les points suivants :

- Renforcement de la structure de gestion : la proposition accroît le rôle de surveillance du conseil d'administration de l'Agence au sein duquel les États membres et la Commission sont représentés. Le conseil d'administration pourra ainsi fixer des orientations générales concernant le personnel (ce qui relevait de la seule responsabilité du directeur exécutif auparavant). Il pourra également créer des organes de travail pour l'assister dans l'exécution de ses tâches, y compris dans le suivi de la mise en œuvre de ses décisions.

- Rationalisation des procédures : les procédures qui se sont révélées inutilement lourdes sont simplifiées :

  • la procédure concernant les règles internes du conseil d'administration est simplifiée,
  • l'avis sur le programme de travail de l'ENISA est rendu par les services de la Commission plutôt que par une décision de la Commission ;
  • les ressources nécessaires sont mises à la disposition du conseil d'administration au cas où celui-ci aurait besoin de prendre des décisions exécutoires et de les faire appliquer (par exemple, si un membre du personnel dépose une plainte contre le directeur exécutif ou le conseil lui-même).

- Accroissement progressif des ressources : pour faire face au resserrement des priorités européennes et à l'ampleur croissante des défis, et sans préjudice de la proposition de Commission concernant le prochain cadre financier pluriannuel, il est prévu d'accroître progressivement les ressources financières et humaines de l'Agence entre 2012 et 2016 (voir ci-après, paragraphe sur l’incidence financière).

- Possibilité de prolonger le mandat du directeur exécutif : le conseil d'administration pourra prolonger de 3 ans le mandat du directeur exécutif.

Clause de révision : la proposition prévoit une évaluation de l'Agence couvrant la période écoulée depuis la précédente évaluation en 2007. En fonction des conclusions de cette évaluation, le conseil d'administration formulera des recommandations, à l'intention de la Commission, concernant l'éventuelle modification du règlement, l'Agence et ses méthodes de travail. Pour permettre à la Commission de préparer à temps une éventuelle proposition de prolongation de mandat, l'évaluation devra avoir été effectuée avant la fin de la 2ème année du mandat prévu par la proposition de règlement.

INCIDENCE BUDGÉTAIRE : la proposition aura une incidence sur le budget de l'Union. Il est prévu de mettre les ressources nécessaires à la disposition de l'Agence pour qu'elle exerce ses activités de façon satisfaisante. Toutefois, le financement de l'UE au-delà de 2013 sera examiné dans le contexte d'un débat au sein de la Commission sur toutes les propositions pour la période après 2013. Dans l’attente, la fiche financière annexée à la proposition prévoit une enveloppe financière pour la période 2012-2013 de 17,894 millions EUR. Une fiche financière législative modifiée sera présentée le moment venu pour la période allant au-delà du cadre financier actuel.