Le règlement (UE) 2025/38 “Cyber Solidarity Act” : vers une réponse européenne mutualisée aux cyber-crises
Le règlement (UE) 2025/38 du Parlement européen et du Conseil du 19 décembre 2024, publié au JO de l’Union le 15 janvier 2025 (JO L, 2025/38), dit “Cyber Solidarity Act”, institue un ensemble de mesures pour renforcer la solidarité et les capacités de l’Union en matière de détection, de préparation et de réponse aux cybermenaces et incidents.
Il s’inscrit dans le prolongement de la directive NIS 2, du Cybersecurity Act et du Cyber Resilience Act.
a) Des “Cross-Border Cyber Hubs” au cœur du dispositif
Le règlement crée des “Cross-Border Cyber Hubs”, véritables centres opérationnels transfrontaliers de cybersécurité. Ceux-ci sont destinés à : agréger et analyser en temps réel les données de menaces provenant des équipes nationales de réponse (CSIRTs),
- partager des capacités avancées d’intelligence et d’analytique de données,
- fournir une détection renforcée des incidents à grande échelle.
Les technologies déployées au sein de ces hubs sont partagées avec le réseau des CSIRTs, afin d’aligner les capacités opérationnelles des États membres.
b) Coordination via EU-CyCLONe et le réseau des CSIRTs
Le règlement organise la circulation d’informations entre :
- les Cross-Border Cyber Hubs,
- le réseau des CSIRTs,
- EU-CyCLONe (European Cyber Crises Liaison Organisation Network),
- la Commission et les autorités nationales.
En cas d’incident majeur ou de risque d’incident de grande ampleur, les hubs doivent transmettre des informations techniques (indicateurs de compromission, modus operandi, etc.) et non techniques (contexte, nature de l’attaque, motivations possibles) à ces structures, dans le respect du principe de “need-to-know” et de la sensibilité des données.
L’objectif est de construire une “shared situational awareness” au niveau de l’Union, condition d’une gestion coordonnée des crises cyber.
c) Un “cyber reserve” européen et des mécanismes de financement
Le règlement s’appuie sur le programme Europe numérique (règlement (UE) 2021/694) pour financer des capacités mutualisées, notamment un “EU cyber reserve” composée de prestataires de services de cybersécurité mobilisables en cas d’incident majeur, ainsi que des infrastructures analytiques et des capacités de réponse.
Les États membres peuvent solliciter ce soutien, notamment lorsque leurs capacités nationales sont dépassées par l’ampleur de l’attaque.
d) Articulations avec NIS 2 et impact pour les entités régulées
Le Cyber Solidarity Act ne crée pas directement de nouvelles obligations de conformité pour les entités soumises à la NIS 2 (entités essentielles et importantes), mais il modifie l’environnement dans lequel ces obligations s’appliquent :
- renforcement des mécanismes d’alerte précoce via les hubs ;
- meilleure coordination des réponses et assistance opérationnelle en cas d’incident majeur ;
- possibilité pour les autorités nationales d’imposer ou de recommander le recours à des capacités mutualisées financées au niveau de l’UE.
Pour les entreprises, l’enjeu est de brancher leur dispositif de gestion de crise cyber (plans de réponse, cellules de crise, relations avec les prestataires SOC/MSSP) sur ces nouvelles capacités européennes, et de prévoir dans les politiques internes la possibilité de coopération renforcée avec les autorités et les hubs.