Les dysfonctionnements inexpliqués survenus sur les gazoducs Nordstream 1 et 2 en Mer du Nord et le contexte de la guerre en Ukraine ont réactivé l’intérêt que porte l’Union européenne (UE) à la protection des infrastructures critiques. L’ensemble des institutions de l’UE a réaffirmé récemment la nécessité d’accélérer la mise à jour de la directive de 2008 qui est consacrée à ces infrastructures.
Accélérer les mesures de protection contre les infrastructures critiques
Pour parer plus efficacement au risque d’attaques malveillantes (terrorisme, cyberattaques...) ou aux catastrophes naturelles, le Conseil et le Parlement européen sont parvenus, en mai 2022, à un accord politique sur une nouvelle directive sur la résilience des entreprises privées ou publiques qui gèrent des infrastructures critiques.
Le 5 octobre 2022, lors d’un débat sur la sécurité des infrastructures critiques avec le vice-président de la Commission, M. Schinas, les députés européens ont appelé à plus d’ambition en matière de cybersécurité et de protection des infrastructures critiques.
Qu'entend-on par infrastructure critique ?
On entend par "infrastructure critique" tout système essentiel à la fourniture de fonctions économiques et sociales vitales. De nombreux domaines sont concernés : santé, alimentation, sécurité, transport, énergie, systèmes d'information, services financiers... L'indisponibilité ou la destruction d'une infrastructure critique peut gravement obérer le potentiel militaire ou économique, la sécurité ou la capacité de survie de la nation ou mettre gravement en cause la santé ou la survie de la population.
Le 18 octobre 2022, la Commission européenne a présenté au Parlement une proposition de recommandation du Conseil qui vise à :
- organiser des tests de résistance des infrastructures critiques, en commençant par le secteur de l'énergie, puis concernant d'autres secteurs à haut risque ;
- faire bon usage de la capacité satellitaire pour détecter les menaces potentielles ;
- renforcer la coopération avec l'OTAN et les principaux partenaires sur la résilience des infrastructures critiques.
Les conclusions du Conseil européen des 20 et 21 octobre 2022 vont également en ce sens. Le Conseil européen propose par ailleurs de mettre en place des mesures d’urgence.
Les grandes dates de la protection européenne des infrastructures critiques
La prise en compte du risque contre les atteintes aux infrastructures critiques remonte, en Europe, au début des années 2000.
La Commission européenne adopte, le 20 octobre 2004, une communication intitulée "Protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme".
En 2008, la directive "recensement et désignation des infrastructures critiques européennes et évaluation de la nécessité d’améliorer leur protection" établit la responsabilité de chaque État membre dans la protection de ses infrastructures critiques situées en Europe (ICE).
En 2016, le Parlement adopte la directive sur la sécurité des réseaux et des systèmes d'information, la première mesure législative à l'échelle de l'UE visant à renforcer la coopération entre les pays de l'UE sur la question essentielle de la cybersécurité.
En 2020, la Commission européenne a publié la stratégie de l’UE en matière de cybersécurité. Elle propose de mettre à jour la directive de 2016 et d'avancer sur une nouvelle directive sur la résilience des entités critiques (CER) afin d’élargir la portée de la précédente directive de 2008.
