Des milliards de l'UE destinés à la Pologne sont-ils menacés ? Le ministère met en garde

• Le ministère du Numérique se prépare à défendre l'amendement à la loi sur le Système national de cybersécurité. Il craint une tentative de saper cet amendement au Sejm.
• Il s'agit d'une réglementation importante censée contribuer à lutter contre les menaces pesant sur l'État, notamment le sabotage et le terrorisme. Elle aura également un impact considérable sur les entreprises. La Pologne tarde à l'adopter ; elle a été portée devant la Cour de justice de l'Union européenne (CJUE) à ce sujet.
• Le directeur adjoint du ministère des Affaires numériques prévient que sans cet amendement, la Pologne sera confrontée à de lourdes amendes et la Commission européenne pourrait suspendre les paiements du Plan national de relance pour la Pologne.
• Marcin Wysocki, dans une interview avec WNP, annonce également les prochains travaux du MC : sur la loi sur les normes de cloud computing dans l'administration et les collectivités locales et le projet d'ambassades de données.

Pourquoi les pompiers devraient-ils bénéficier de primes du Fonds pour la cybersécurité ? C'est ce que souhaite le ministère du Numérique.

- Nous commençons donc par une question triviale.

Banal?

Oui, c'est très simple. Plusieurs dizaines de personnes travaillant au quartier général des pompiers et dans les unités provinciales sont responsables des principaux systèmes informatiques liés à la notification des urgences. Ces systèmes garantissent, par exemple, le déclenchement des sirènes d'alarme au bon moment. La rapidité d'intervention en cas d'incendie, d'accident ou d'autres menaces dépend des systèmes des pompiers de l'État.

Le système de sauvetage moderne dont dépendent la vie et la santé humaines repose en grande partie sur la fiabilité des systèmes informatiques.

À l'avenir, les personnes responsables, conformément à la loi sur la protection de la population, se verront confier des missions supplémentaires, notamment la construction, le développement et la maintenance du Registre central des installations de protection collective, qui traitera les données nécessaires à la prise de décisions éclairées concernant le recours aux protections et aux refuges en situation de crise. Cela concerne les pannes, les catastrophes naturelles ou les attaques avec des moyens de destruction. Dans des services comme les pompiers, nous avons besoin de spécialistes ; je suis donc convaincu que nous devrions les cofinancer.

Qui devrait bénéficier de l’allocation du Fonds pour la cybersécurité ?

Et pourquoi cofinancer les pompiers, mais pas les employés de la Direction générale des routes nationales et des autoroutes ou des eaux polonaises, qui assurent également la maintenance des systèmes clés ?

- Je pense que la question du supplément que vous posez est l’une des raisons pour lesquelles les travaux de modification du Système national de cybersécurité ne sont pas aussi efficaces qu’ils devraient l’être.

Ce n'est pas moi qui le demande, mais le ministre de l'Infrastructure dans le cadre des consultations sur ce projet de loi.

Nous mettons en œuvre la directive NIS2, et d'autres ministères demandent des modifications à la loi relative aux règles spéciales de rémunération des personnes effectuant des tâches dans le domaine de la cybersécurité. Un projet distinct devrait y être consacré – et il le sera peut-être. De nombreuses institutions nous contactent et estiment qu'elles devraient également bénéficier d'une telle prestation. À mon avis, il serait nécessaire d'élaborer à l'avenir une grille tarifaire transparente afin d'examiner les possibilités de financement.

Pour l'instant, le ministère des Finances n'accepte pas d'augmenter le Fonds de cybersécurité de 250 millions PLN par an.

Nous allons convaincre le ministère des Finances de changer d'avis, car nous estimons qu'il est erroné de formuler de tels commentaires sur la loi relative au système national de cybersécurité. 250 millions de PLN représentent un peu plus de la moitié des coûts annuels résultant de l'évaluation de l'impact des réglementations sur la mise en œuvre de l'amendement à la loi relative au système national de cybersécurité. La loi prévoit la création d'équipes d'intervention en cas d'incident de sécurité informatique (CSIRT) pour chaque secteur, la plateforme S46 et mentionne des projets éducatifs.

Quelle suite sera donnée à la modification de la loi sur le système national de cybersécurité ?

Et quand le gouvernement parviendra-t-il à soumettre ce projet de loi ? Le MC a annoncé que le projet de loi serait soumis à la Diète d'ici fin juin.

- Le projet a été soumis au Comité permanent du Conseil des ministres. Je pense qu'il sera adopté par le gouvernement au cours de la première ou de la deuxième semaine de juillet.

Quelles difficultés le projet pourrait-il encore rencontrer au sein du Conseil des ministres ?

Le premier point abordé concerne les coûts. Le deuxième concerne les éléments susceptibles d'aller au-delà de la mise en œuvre minimale de la directive NIS2. Le ministre du Développement et de la Technologie a été chargé d'attirer l'attention sur ces éléments. Les autres questions me semblent déjà résolues.

Les fournisseurs à haut risque restent donc dans le projet ?

Je le crois, et le Premier ministre Gawkowski est fermement déterminé à cet égard. Il s'agit d'une question de sécurité de l'État, de ses intérêts fondamentaux dans ce domaine. Et je ne pense pas que quiconque puisse réellement demander la suppression de cette procédure.

Le Premier ministre a donc pacifié les traîtres numériques du gouvernement ?

- Il n’a pas tant apaisé les gens qu’il les a convaincus de l’importance de ces décisions.

Expliquer l'importance de la question des fournisseurs à haut risque est un tel défi que de nombreux arguments concernant la sécurité de l'État sont classés confidentiels, conformément à la loi sur la protection des informations classifiées. Il s'agit d'une difficulté de communication permanente, par exemple pour les services spéciaux qui proposent des solutions, mais ne peuvent les défendre avec suffisamment de force, notamment lors des réunions des commissions parlementaires. Révéler leurs arguments est sanctionné, de sorte qu'ils doivent souvent se taire ou dire « tomate ».

Vous attendez-vous à une lutte acharnée au Sejm sur ces dispositions ?

Il y aura certainement une lutte à ce sujet au Sejm, comme nous l'avons déjà constaté lors du débat qui a suivi l'exposé du Premier ministre Donald Tusk. Nous observons également les efforts du lobby, qui s'efforce de dénaturer le contenu de ce projet.

Signification?

L'un des mythes les plus répandus concerne l'exclusion d'un fournisseur de matériel ou de logiciels pour des raisons non techniques. Ces raisons sont qualifiées de « politiques ». En pratique, elles concernent la gestion des risques liés, entre autres, à la menace terroriste ou au sabotage. Ce risque résulte de l'influence d'un pays tiers sur le fabricant d'appareils ou de logiciels opérant dans ce pays, que ce soit par la loi ou par des actions menées directement.

Les critiques affirment qu’il s’agit d’une réglementation excessive.

Les mesures prises par la Pologne en la matière ont déjà été adoptées comme solution législative dans 21 pays et sont déjà appliquées dans 12 d'entre eux. Par ailleurs, la Commission européenne, par le biais de la boîte à outils TIC prévue, identifie de nombreux défis en matière de sécurité, non seulement dans les réseaux 5G, mais aussi dans des domaines tels que les dispositifs de télémédecine, les drones et les systèmes de sécurité (par exemple, les portes d'embarquement).

Je parierais une grosse barre de chocolat qu'à l'avenir, les motifs non techniques d'exclusion des fournisseurs à haut risque deviendront la norme dans l'UE, y compris en dehors des réseaux de télécommunications, dans certains secteurs comme l'énergie. Nous entamerions alors ce processus exigeant de révision de la réglementation.

Qui fait pression pour la suppression des locaux non techniques ?

Huawei a fait cette affirmation lors de consultations publiques. L'entreprise ne s'est pas exprimée directement ces derniers temps, mais d'autres entités demandent exactement la même chose : la suppression des locaux dits non techniques, qualifiés de « politiques » par dégoût, et l'affirmation selon laquelle il s'agit d'une invention polonaise et d'une surréglementation. Or, nous nous sommes déjà dit que ce n'était pas le cas.

Je m'attends également à ce que la Diète revienne sur ces arguments et sur des postulats qui, sous couvert d'instauration de la transparence, rendront la procédure administrative pour un fournisseur à haut risque pratiquement impossible. Certains diront probablement que nos consultations sont trop brèves. Cependant, je suis convaincu que le réservoir d'idées qui auraient pu être avancées pour rendre cette procédure inutile a été épuisé. Il faut donc absolument que la loi soit adoptée. Je suppose que cela se fera avant la fin de l'année.

Et si non ?

- Nous sommes l’un des 19 pays qui n’ont pas mis en œuvre la directive NIS2 , si nous ne le faisons pas, nous paierons des pénalités.

Et il n’y a probablement pas de façon plus stupide de dépenser l’argent public que de payer des amendes pour non-transposition d’une directive aussi importante.

La Commission européenne nous demande chaque mois où en sont les travaux. La modification de la loi KSC constitue une étape importante du Plan national de reconstruction. L'absence de modification pourrait avoir de graves conséquences pour l'État polonais.

Disons les choses franchement : soit KSC, soit bloquer l’argent de KPO ?

- La Commission nous avertit que des étapes doivent être franchies et que le transfert effectif des tranches de financement ultérieures et leur règlement dépendent de leur réalisation.

Est-ce que cela constituera un argument pour les députés en faveur d’une procédure rapide ?

- Cela devrait être pour eux un argument selon lequel écouter sans esprit critique les voix des critiques de ce projet de loi pourrait avoir de très mauvaises conséquences pour la Pologne.

Le ministère des Affaires numériques va développer des normes de cloud computing dans l'administration et les données des ambassades

Sur quels autres projets de sécurité MC travaille-t-il ?

Nous préparons actuellement un projet de règlement sur les normes de cloud computing dans l'administration. Nous souhaitons que ce nouveau règlement, contrairement à la précédente résolution du Conseil des ministres, soit également contraignant pour les collectivités locales.

Nous devrions également nous concentrer sur le développement d'un cloud gouvernemental et sur l'élaboration de règles permettant la migration des données les plus importantes vers un cloud commercial dans un autre pays européen, par exemple en cas de menace de guerre imminente . Nous devrions nous inspirer de l'expérience de l'Ukraine, qui a été contrainte de transférer des données importantes des registres d'État en temps de guerre, ce qui n'était pas conforme à la législation ukrainienne jusqu'à la publication du décret correspondant du Conseil des ministres local, intervenu, soit dit en passant, seize jours après l'agression armée de la Fédération de Russie en Ukraine.

Je souhaite que personne ne tremble si la Pologne se retrouve dans une telle situation. Les ambassades de données constituent également un projet important. Il s'agit de garantir la sécurité et la disponibilité des données de l'État en situation de crise, par exemple en créant des copies de sauvegarde dans les missions diplomatiques.

Un tel projet existait déjà au cours du mandat précédent, mais il n’a pas été mis en œuvre à ce jour.

Cette idée est excellente, mais nous devons veiller à ce qu'aucune réglementation n'entrave sa mise en œuvre. Nous essayons également de répondre à des défis tels que le manque d'électricité pour les centres de données des missions diplomatiques.

En plus des centres de données traditionnels, nous introduisons la possibilité de fournir une sauvegarde dans un cloud public ou privé dans un autre pays de l'Espace économique européen.

Quand des solutions concrètes en termes de normes de cloud computing seront-elles sur la table ?

Je suppose que le ministre du Numérique présentera la première version du projet cette année. La mise en œuvre de ce projet sera certainement un défi, car il faudra concilier les intérêts et les points de vue de nombreuses parties prenantes. Ce sera à nouveau un débat, entre autres, entre nos entrepreneurs et nos hyperscalers, sur la manière dont nous devrions développer nos compétences, nos capacités et notre conception de la souveraineté numérique.

Le vice-Premier ministre parle beaucoup de souveraineté numérique. Et le vice-ministre Rosiński a promis, lors du Congrès économique européen, que le ministère développerait des solutions pour soutenir les entrepreneurs polonais.

- Et bien sûr, nous concevons de telles solutions. Les « Normes de cybersécurité pour le cloud computing », annexes à la résolution WIIP (infrastructure informatique commune des États, ndlr), définissent des niveaux spécifiques indiquant quand les données doivent être traitées dans l'Espace économique européen et quand elles doivent l'être en Pologne. Nous proposerons des solutions similaires dans la loi.

Nous n'allons pas modifier les proportions du marché des services cloud. Nous allons plutôt nous concentrer sur le traitement des données les plus importantes en Pologne. Il s'agit également de développer nos propres capacités dans ce domaine.

Et pourquoi le ministère construit-il un autre CSIRT pour 10 millions de PLN ?

C'est une excellente question. Actuellement, le système KSC compte environ 400 opérateurs de services clés, soutenus par des CSIRT nationaux, par exemple le CSIRT NASK ou le CSIRT GOV de l'ABW. Après la modification, leur nombre augmentera considérablement : on parle de plusieurs, voire de plusieurs dizaines de milliers d'entités. C'est pourquoi nous créons un système de CSIRT sectoriels, qui serviront de support aux différents secteurs, à l'instar de l'équipe de la PFSA (Autorité polonaise de surveillance financière - ndlr) pour le secteur financier ou du Centre de cybersanté pour le secteur de la santé.

Le CSIRT Cyfra dont vous parlez fait partie de ces équipes. Dans le secteur des infrastructures numériques, géré par mon équipe, nous comptons actuellement moins de dix entités. Après l'entrée en vigueur de la nouvelle réglementation, les fournisseurs de services cloud et les entrepreneurs en communication électronique seront intégrés, ce qui augmentera considérablement notre envergure ; nous en compterons déjà plusieurs dizaines. Cela justifie la création d'une équipe dédiée. Des équipes similaires seront créées dans d'autres ministères, par exemple au ministère du Climat et de l'Environnement. Leur mission sera de soutenir les entrepreneurs et de soulager les CSIRT nationaux.