Règlement (UE) 2025/38 du Parlement européen et du Conseil du 19 décembre 2024 établissant des mesures destinées à renforcer la solidarité et les capacités dans l’Union afin de détecter les cybermenaces et incidents, de s’y préparer et d’y réagir et modifiant le règlement (UE) 2021/694 (règlement sur la cybersolidarité)

JOUE Série L du 15 janvier 2025 et rectificatif publié au JOUE Série L du 24 janvier 2024

Ce texte définit des mesures visant à renforcer la solidarité et les capacités dans l’Union européenne pour détecter les cybermenaces et incidents, s’y préparer et y réagir (règlement sur la cybersolidarité).
Pour ce faire, il prévoit la mise en place :
– d’un réseau paneuropéen de cyberpôles (nommé « système européen d’alerte en matière de cybersécurité ») : celui-ci doit instaurer et développer des capacités de détection coordonnée et d’appréciation commune de la situation. Ce réseau se compose de cyberpôles nationaux et de cyberpôles transfrontières. Le texte prévoit une coopération accrue et un partage d’informations au sein des cyberpôles transfrontières et entre eux-mêmes ;
– d’un mécanisme d’urgence dans le domaine de la cybersécurité. L’objectif est d’accompagner les États membres à se préparer aux incidents de cybersécurité importants et aux incidents de cybersécurité majeurs, à y réagir, à en atténuer les effets et à débuter le rétablissement des services à la suite de ces incidents. Les autres utilisateurs pourront s’inspirer de ce mécanisme pour faire face aux incidents de cybersécurité majeurs qu’ils pourraient rencontrer. Dans ce cadre, ce texte définit les mesures soutenues par ce mécanisme d’urgence (actions de préparation, tests de préparation coordonnés des entités, mesures de soutien à l’assistance mutuelle). Dans le cadre de ce mécanisme d’urgence, il instaure une réserve de cybersécurité de l’Union comprenant des services de fournisseurs de services de sécurité gérés de confiance. Cette réserve soutient les mesures de réaction et amorce le rétablissement en cas d’incidents de cybersécurité importants, majeurs ou assimilés à des incidents majeurs touchant des États membres, des institutions, organes ou organismes de l’Union ou des pays tiers associés au programme pour une Europe numérique ;
– d’un mécanisme européen d’analyse des incidents de cybersécurité pour étudier et évaluer les incidents de cybersécurité importants ou majeurs.
Ce texte poursuit, par ailleurs, la réalisation d’autres objectifs en :
– consolidant l’écosystème de cybersécurité ;
– augmentant la cyberrésilience des États membres ;
– développant les aptitudes, le savoir-faire, les capacités et les compétences de la main-d’œuvre dans le domaine de la cybersécurité ;
– renforçant les capacités communes de détection coordonnée au niveau de l’Union ;
– améliorant la préparation des entités actives dans des secteurs hautement critiques aux incidents de cybersécurité importants ou majeurs.
Enfin, il modifie le règlement 2021/694 du 29 avril 2021 établissant le programme pour une Europe numérique. En particulier, il apporte des précisions portant sur :
– l’ajout de nouveaux objectifs opérationnels relatifs au système européen d’alerte en matière de cybersécurité et au mécanisme d’urgence dans le domaine de la cybersécurité à l’objectif spécifique n°3 du programme pour une Europe numérique ;
– les conditions dans lesquelles une aide financière peut être accordée pour des actions mettant en œuvre le système européen d’alerte en matière de cybersécurité et la réserve de cybersécurité de l’Union ;
– la fixation des mécanismes de gouvernance et de coordination nécessaires pour atteindre les objectifs poursuivis par le règlement sur la cybersolidarité.
Ce texte a fait l’objet d’un rectificatif publié au JOUE Série L du 24 janvier 2024 (correction d’une référence).