Intervention de Rayna Stamboliyska

Beaucoup de pratiques résultent de l'histoire et de la culture propres à chaque pays. Prenons le cas de l'Allemagne, notre plus proche allié européen, avec qui nous partageons une frontière. Sa structure fédérale en Länder implique une organisation des administrations tout à fait différente de ce qu'on observe en France. Dans chaque pays coexistent des usages dont il y a lieu de s'inspirer et d'autres, plus critiquables. Il m'apparaît nécessaire de mener une réflexion collégiale au côté de nos homologues européens pour éviter de rédiger des feuilles de route nationales qui perdront de leur pertinence lorsqu'une mise en conformité aux normes européennes s'imposera.

L'exemple de la fiscalité du numérique le montre assez. Les transpositions nationales divergentes de la directive NIS avaient donné lieu à des incohérences problématiques. Plusieurs ateliers se sont attelés l'an dernier à sa révision et à la reformulation de ses exigences. Nous nous y sommes d'ailleurs impliqués. Certains opérateurs de services essentiels en France ignoraient si leurs homologues aussi étaient considérés comme tels dans d'autres pays. Les agences de cybersécurité (les ANSSI locales) édictaient dans chaque pays leurs propres exigences. Des Polonais ont ainsi réclamé aux Français des preuves de conformité au sein d'un même groupe. D'aussi considérables variations, d'une législation nationale à l'autre, apparaissent ingérables et mènent à la catastrophe. On comprend dès lors mieux pourquoi, au moment de réviser la directive NIS, d'aucuns ont argumenté en faveur de sa transformation en Règlement, de manière à l'appliquer sans presque aucune modification d'un pays à l'autre. Le texte parvenu au Parlement reste pour l'heure une directive. Toutefois, son périmètre élargi l'amène à concerner de plus nombreux secteurs, ce qui contribue à une meilleure harmonisation des pratiques.

C'est à de tels niveaux qu'il faut transmettre au reste de l'Europe ce que l'expérience de la France lui a appris. La loi de programmation militaire (LPM) a, dans sa version 2014-2019, défini de manière inédite les systèmes d'information d'importance vitale. Autrement dit, une composante technique et cyber est entrée pour la première fois dans cette loi de financement. Cette LPM a impulsé la première mouture de la directive NIS. La révision de cette dernière, en discussion, prend appui sur les leçons positives et sur d'autres, tirées des dysfonctionnements liés à la notion de lex specialis, selon laquelle prévaut la loi spécifique à un domaine, en l'occurrence nationale.

Lors des ateliers de révision de la directive NIS, j'ai avancé comme exemple concret l'appel d'air créé pour les entreprises par la LPM en France. Les exigences inscrites dans cette loi se sont ajoutées à d'autres édictées par l'ANSSI en matière de sécurité des fournisseurs, de services de sécurité ou d'équipement, aux opérateurs d'importance vitale. Des opportunités de développement commercial non anticipées en ont résulté.

On croit en général que l'application d'exigences réglementaires entraîne des frais et prend du temps. On en oublie de considérer leur impact dans son ensemble. Les fournisseurs contraints d'élever leur niveau de sécurité obtiennent au final un retour sur investissement, dans la mesure où ils captent ainsi de nouveaux clients. Il faut en tenir compte dans les discussions en cours sur la construction technologique européenne. On peut s'inspirer, dans le même ordre d'idées, de l'exemple néerlandais en matière de divulgation des vulnérabilités, ou des pratiques allemandes en ce qui concerne la commande publique fédérale.