Le CESE estime que le nouveau mandat permanent de l’Agence de l’Union européenne pour la cybersécurité (ENISA) tel qu’il est proposé par la Commission contribuera de manière significative à renforcer la résilience des systèmes européens. Toutefois, le budget prévisionnel et les ressources qu’il est prévu d’affecter à l’ENISA ne seront pas suffisants pour permettre à l’agence de s’acquitter de sa mission. Le CESE recommande que tous les États membres mettent en place une instance clairement définie qui soit un équivalent de l’ENISA au niveau national, la plupart d’entre eux ne l’ayant pas encore fait. Le CESE estime par ailleurs que l’ENISA devrait accorder la priorité aux actions visant à soutenir l’administration en ligne, fournir des rapports réguliers au sujet de la préparation des États membres en matière de cybermenaces, en se concentrant essentiellement sur les secteurs recensés à l’annexe II de la directive SRI et contrôler les résultats et la prise de décision des autorités nationales de contrôle de la certification. Le CESE soutient la proposition visant à créer un réseau de compétences en cybersécurité. Ce réseau serait épaulé par un centre européen de recherche et de compétences en cybersécurité.
Le CESE rappelle que le facteur humain est l’une des principales causes des accidents de cybersécurité. Il est nécessaire d’établir une solide base de cyber-compétences et d’améliorer la cyber-hygiène et la sensibilisation auprès des particuliers et des entreprises. Le CESE est favorable à la mise en place d’un programme de formation certifié par l’UE à l’intention des établissements du second degré et des professionnels.
Le CESE estime qu’un marché unique numérique européen a besoin d’une interprétation uniforme des règles en matière de cybersécurité et qu’un cadre ainsi que des systèmes de certification pour les différents secteurs seraient à même de fournir une base commune. Les divers secteurs nécessitant des approches différentes, le CESE estime que les agences sectorielles de l’UE (l’AESA, l’AFE, l’EMA, etc.) devraient être associées au processus et, dans certains cas, chargées de concevoir des systèmes de cybersécurité. Des normes européennes minimales en matière de sécurité informatique devraient être arrêtées en coopération avec le CEN, le CENELEC et l’ETSI. Le Groupe européen de certification de cybersécurité soutenu par l’ENISA qu’il est envisagé de créer devrait être composé d’autorités nationales de contrôle de la certification, d’acteurs du secteur privé, de scientifiques et d’acteurs de la société civile. Le CESE est d’avis que l’activité de certification doit forcément passer par un système d’étiquetage adapté, qui sera également appliqué aux produits importés, afin de renforcer la confiance des consommateurs. Concernant les financements, l’Europe doit accroître les investissements en faisant converger les différents Fonds européens, les financements nationaux et les investissements du secteur privé vers des objectifs stratégiques dans le cadre d’une coopération public-privé solide, notamment grâce à la création, au titre du programme-cadre de recherche actuel et futur, d’un Fonds européen pour l’innovation et la R&D en matière de cybersécurité. En outre, l’Europe devrait créer un fonds pour le déploiement de la cybersécurité, ce qui ouvrirait de nouvelles perspectives dans la configuration actuelle et future du mécanisme pour l’interconnexion en Europe ainsi que pour le futur EFSI 3.0.
Enfin, le CESE estime nécessaire d’adopter un niveau de sécurité minimum pour gérer les dispositifs «ordinaires» de l’«internet des personnes». Dans ce cas, la certification est une méthode indispensable pour garantir un niveau plus élevé de sécurité. La sécurité de l’internet des objets devrait être une priorité.
