Intervention de Juhan Lepassaar

Au sujet de la subsidiarité, il faut être clair sur la répartition des responsabilités entre le niveau européen et le niveau national.

Je vais m'appuyer sur une métaphore simple. S'il y a un incendie, ce n'est pas l'ENISA qui va venir éteindre l'incendie, cela relève de la responsabilité des autorités nationales. L'ENISA est là pour s'assurer qu'il y ait des mécanismes d'alerte incendie dans les établissements, que les pompiers sont bien formés et elle aide les différentes brigades de pompiers, lorsque l'incendie est important, à échanger les informations pour qu'elles puissent mieux se préparer. Elle est également là pour les aider à tirer les enseignements de l'événement. C'est la mission de l'échelon européen.

L'échelon national est le premier à aller sur le terrain, mais nous souhaitons qu'il y ait une coordination toujours plus poussée. Je suis ravi de constater que l'ANSSI appelle de ses voeux la mise en place de mécanismes européens.

Les parlements nationaux ont un rôle à jouer pour s'assurer que la cybersécurité reste au coeur des priorités des gouvernements. Il ne s'agit en effet pas uniquement d'une question technologique, mais d'une question hautement stratégique et politique.

Deuxièmement, le cadre de certification de cybersécurité soulève la question du type de produits et de services devant relever de cette certification. Chaque État membre est représenté au sein du groupe de certification européen qui discute des catégories de produits et services qui doivent être certifiés en priorité. Il faut certes identifier les lacunes, mais c'est aussi une question de priorités politiques. Je serais intéressé de connaître celles des parlements nationaux.

L'ENISA a également un rôle à jouer pour ce qui concerne l'identité numérique. Un mécanisme de rapport des incidents a été mis en place, qui nous permet de tirer des enseignements de nos vulnérabilités afin de s'assurer que les identités numériques nationales soient préservées. Il nous faut évaluer ce cadre, l'améliorer et peut-être l'inscrire dans le cadre général de lutte contre la cybercriminalité.

Des questions très spécifiques ont été posées sur la certification. Je rappelle que l'ENISA est une agence qui relève du marché intérieur ; elle n'a pas compétence en matière de défense nationale. L'ENISA est dotée de la capacité d'aider les États membres et l'Union Européenne en matière de coopération internationale, mais elle n'est pas chef de file. C'est aux États membres de faire appel à l'ENISA. Celle-ci ne peut pas avoir une approche proactive, mais elle est toujours là pour aider à définir une approche commune et apporter son expertise.