La Commission européenne, l’organe exécutif de l’Union européenne (UE), a proposé une nouvelle législation sur la cybersécurité qui obligerait les États membres à retirer les fournisseurs étrangers « à haut risque » des infrastructures critiques des technologies de l’information et de la communication (TIC), en particulier dans les réseaux de télécommunications. Cette refonte vise à renforcer les défenses contre les menaces cybernétiques et à sécuriser les chaînes d’approvisionnement des infrastructures clés à travers le bloc.
Selon cette proposition, l’UE réaliserait des évaluations conjointes des risques des fournisseurs et pourrait imposer des restrictions ou des interdictions sur les équipements et services qui posent des préoccupations pour la sécurité nationale. Les nouvelles règles couvriraient environ 18 secteurs critiques, notamment les réseaux mobiles, les services cloud, les dispositifs médicaux et les systèmes de sécurité frontalière, et accorderaient à la Commission le pouvoir de coordonner les évaluations des risques entre les États membres.
Cette législation s’appuie sur des efforts antérieurs de l’UE, tels que le 5G Security Toolbox, un cadre volontaire introduit en 2020 qui encourageait les États membres à limiter la dépendance aux fournisseurs jugés « à haut risque », sans exigences juridiques contraignantes. Les responsables ont déjà exprimé des préoccupations concernant les risques potentiels liés aux produits technologiques de certaines entreprises tierces, bien que certaines entreprises spécifiques ne soient pas nommées dans le texte provisoire.
Les opérateurs de télécommunications et autres fournisseurs d’infrastructures bénéficieraient de périodes de transition pour retirer ou remplacer les équipements identifiés comme à haut risque une fois qu’une liste de fournisseurs sera établie par la loi. Dans les propositions vues par les médias de presse, les États membres auraient jusqu’à 36 mois pour retirer progressivement ce type d’équipement des réseaux mobiles après la publication de la liste.
Cette réforme réviserait également la loi européenne sur la cybersécurité, qui fixe les cadres et rôles de certification en cybersécurité pour l’Agence européenne de cybersécurité (ENISA), et l’élargirait pour inclure des restrictions obligatoires des fournisseurs dans le cadre des efforts plus larges pour sécuriser les chaînes d’approvisionnement en TIC.
Les décideurs européens ont décrit ces changements comme faisant partie des efforts visant à renforcer la « souveraineté technologique » et à réduire la dépendance envers des fournisseurs externes ayant des liens potentiels avec des gouvernements étrangers ou des risques géopolitiques. Les partisans soutiennent que des évaluations complètes des risques et des mesures coordonnées amélioreront la résilience face aux cyberattaques et aux pressions de la chaîne d’approvisionnement.
Les critiques de la refonte prévue ont exprimé des inquiétudes quant aux implications commerciales et juridiques potentielles, notant que les restrictions fondées sur le pays d’origine pourraient être contestées au regard des règles de l’Organisation mondiale du commerce si elles ne reposent pas sur des preuves techniques de risque. La proposition doit être examinée et approuvée par le Parlement européen et les États membres de l’UE avant de devenir loi.