Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA): développement
Conformément au règlement (UE) n° 526/2013, la Commission a présenté un rapport sur l'évaluation de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA).
Contexte: le mandat de l’ENISA, qui vient à expiration le 19 juin 2020, est de contribuer à un niveau élevé de sécurité des réseaux et de l’information au sein de l’Union. En outre, la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (la «directive SRI»), a fixé des missions importantes à l’ENISA en ce qui concerne la mise en œuvre de la législation.
L’Agence a ses bureaux en Grèce. Elle emploie 84 personnes et est dotée d’un budget de fonctionnement annuel de 11,25 millions EUR.
Compte tenu des bouleversements et de l’aggravation des menaces survenues dans le paysage en matière de cybersécurité depuis 2013, la Commission a souhaité avancer le réexamen de l’ENISA (prévue pour le 20 juin 2018), tandis que le Conseil a affirmé que le règlement ENISA constituait l’un des «éléments essentiels d’un cadre de cyber-résilience de l’UE».
Principaux constats de l’évaluation: pour évaluer le fonctionnement de l’Agence, la Commission a commandé une étude indépendante qui a été réalisée entre novembre 2016 et juillet 2017 et qui, avec l’analyse effectuée par la Commission, sont parvenues aux conclusions suivantes:
Efficacité et valeur ajoutée: en dépit d’un mandat insuffisamment détaillé, limitant sa capacité à exercer une grande influence, les objectifs qui étaient fixés à l’Agence se sont révélés pertinents au cours de la période 2013-2016 compte tenu de l’évolution des technologies et des menaces et du besoin pressant d’accroître la sécurité des réseaux et de l’information dans l’UE.
L’Agence a atteint un bon niveau d’efficacité et a démontré la valeur ajoutée de l’action au niveau de l’UE, en particulier par l’intermédiaire d’activités essentielles telles que les exercices de cybersécurité paneuropéens, le soutien à la communauté des CSIRT (mis en place pour promouvoir une coopération rapide et effective, au niveau opérationnel, entre les États membres) ou les analyses du paysage des menaces.
La valeur ajoutée de l’ENISA a d’abord résidé dans la capacité de l’Agence à intensifier la coopération entre les États membres principalement, mais aussi avec les communautés de la sécurité des réseaux et de l’information correspondantes.
Une réforme est nécessaire: dans un contexte où de nouvelles menaces apparaissent, où la dépendance de l’Europe à l’égard des infrastructures et des services numériques s’accroît et où l’internet des objets ouvre de nouvelles perspectives dans le domaine de l’efficacité énergétique, de la protection de l’environnement, et de la mobilité connectée, l’évaluation montre que le mandat actuel ne permet pas de doter l’ENISA des outils nécessaires pour faire face aux défis actuels et futurs en matière de cybersécurité.
En outre, vu le manque de coordination entre les nombreux acteurs européens dans le domaine de la cybersécurité et le risque de morcellement qui s’accroît, l’UE devrait se doter d’un centre de liaison pour faire face à de nouvelles menaces qui sont transversales et concernent de multiples secteurs d'activité, et pour répondre aux besoins de la communauté de la cybersécurité, en particulier des États membres, des institutions de l’UE et des entreprises.
L’ENISA, en tant qu’agence décentralisée de l’UE et intermédiaire neutre, est en mesure de coordonner l’approche de l’UE en matière de cybermenaces.
À la lumière de ces conclusions, la Commission a présenté une proposition de règlement sur la cybersécurité visant à réformer l’ENISA et à la doter d’un mandat permanent qui se fonde sur les points forts de l’Agence et les nouveaux domaines d’action prioritaires, par exemple dans le domaine de la certification de cybersécurité.