Acte préparatoire52024BP2316

Résolution (UE) 2024/2316 du Parlement européen du 11 avril 2024 contenant les observations qui font partie intégrante de la décision concernant la décharge sur l’exécution du budget de l’ENISA (Agence de l’Union européenne pour la cybersécurité) pour l’exercice 2022

CELEX	52024BP2316
Type	Acte préparatoire
Date	jeudi 11 avril 2024

Résumé IA

Cette résolution du Parlement européen approuve la gestion budgétaire de l'ENISA pour l'exercice 2022, tout en formulant des observations critiques sur l'exécution de son budget. Elle souligne notamment la nécessité d'améliorer la transparence des procédures de passation des marchés et de renforcer le contrôle interne au sein de l'agence. Pour le professionnel du droit français, ce texte constitue un précédent utile pour évaluer les obligations de conformité budgétaire et de reddition de comptes des agences européennes.

Texte intégral

Journal officiel
de l'Union européenne

Série L

2024/2316

10.10.2024

RÉSOLUTION (UE) 2024/2316 DU PARLEMENT EUROPÉEN

du 11 avril 2024

contenant les observations qui font partie intégrante de la décision concernant la décharge sur l’exécution du budget de l’ENISA (Agence de l’Union européenne pour la cybersécurité) pour l’exercice 2022

LE PARLEMENT EUROPÉEN,

—	vu sa décision concernant la décharge sur l’exécution du budget de l’ENISA (Agence de l’Union européenne pour la cybersécurité) pour l’exercice 2022,

—	vu l’article 100 et l’annexe V de son règlement intérieur,

—	vu le rapport spécial no 5/2022 de la Cour des comptes,

—	vu le rapport de la commission du contrôle budgétaire (A9-0134/2024),

considérant que, selon l’état de ses recettes et de ses dépenses (1), le budget définitif de l’ENISA (ci-après, l’«Agence») pour l’exercice 2022 était de 39 207 625 EUR, soit une hausse de 67,03 % par rapport à 2021; que cette augmentation du budget de l’Agence s’explique essentiellement par les tâches supplémentaires relatives à la mise en œuvre pilote du programme d’action de soutien à la cybersécurité; que la majeure partie du budget de l’Agence provient du budget de l’Union;

considérant que, dans son rapport sur les comptes annuels de l’Agence relatifs à l’exercice 2022 (ci-après, le «rapport de la Cour»), la Cour des comptes (ci-après, la «Cour») affirme avoir obtenu des assurances raisonnables que les comptes annuels de l’Agence étaient fiables et que les opérations sous-jacentes étaient légales et régulières;

Gestion budgétaire et financière

note avec satisfaction que les efforts de suivi du budget au cours de l’exercice 2022 se sont traduits par un taux d’exécution budgétaire des crédits d’engagement pour l’exercice en cours de 99,93 %, ce qui représente une augmentation de 0,42 % par rapport à 2021; constate, en outre, que le taux d’exécution des crédits de paiement pour l’exercice en cours s’élevait à 52,02 %, soit une baisse de 25,38 % par rapport à 2021;

souligne que le montant du budget définitif de l’Agence est le résultat d’un amendement de 15 000 000 EUR adopté par le conseil d’administration le 5 août 2022 au regard de la mise en œuvre d’une action de soutien à la cybersécurité visant à renforcer la réponse de l’Agence à l’appui des États membres, conformément à son mandat; relève que la majorité des engagements au titre de l’action de soutien à la cybersécurité ont été signés en fin d’année, ce qui explique le taux de paiement relativement faible (et le report important qui en a résulté);

Performance

se félicite que l’Agence ait mis en œuvre l’intégralité de son programme de travail pour 2022; se félicite que l’Agence utilise des indicateurs de performance clés pour évaluer ses activités et résultats au regard des objectifs de son programme de travail; fait observer que certaines réalisations ne sont pas pleinement conformes aux objectifs fixés en raison de la redéfinition des priorités en matière de ressources en vue du déploiement de l’action de soutien à la cybersécurité en réaction à l’invasion illégale et non provoquée de l’Ukraine par la Russie; relève que les réalisations 4.2 «Élaboration et renforcement de politiques, procédures, méthodes et outils opérationnels standard pour les cybercrises» et 5.3 «Mise en place d’un réseau de fournisseurs de confiance», entre autres, comptent parmi les plus touchées par cette redéfinition des priorités;

est conscient que l’invasion illégale et non provoquée de l’Ukraine par la Russie a prédominé dans le programme de l’Union en matière de sécurité en 2022; constate avec satisfaction que l’Agence a renforcé sa coordination et sa préparation et a contribué à l’appréciation commune de la situation par l’Union en établissant régulièrement des rapports de situation sur les cyberactivités; souligne que la coordination et l’échange d’informations ont également été intensifiés avec des réseaux de cybersécurité, tels que le réseau européen d’organisations de liaison en cas de crise de cybersécurité (EU-CyCLONe), qui regroupe des autorités nationales de gestion des crises de cybersécurité, ainsi que de nombreuses communautés sectorielles soutenues par l’Agence; salue les efforts déployés par l’Agence pour garantir des canaux de communication entre les niveaux politique, opérationnel et technique, ainsi qu’une coopération renforcée avec le réseau des centres de réponse aux incidents de sécurité informatique;

constate avec satisfaction qu’en 2022, l’Agence a piloté l’élaboration de la carte de densité à l’échelle de l’Union destinée à donner un aperçu rapide des événements et incidents en matière de cybersécurité touchant des secteurs critiques de l’Union du fait de la cyberactivité liée à la guerre d’agression menée par la Russie contre l’Ukraine; note que ces secteurs ont contribué au rapport de la Commission sur la connaissance et l’analyse intégrées de la situation, avec 52 mises à jour sur la situation et les incidents liés à la guerre d’agression menée par la Russie contre l’Ukraine, et alimenté ainsi le mécanisme de gestion des crises de l’Union;

prend acte du fait que, selon le rapport spécial no 5/2022 de la Cour, intitulé «Cybersécurité des institutions, organes et agences de l’UE», le nombre de cyberattaques contre des organes de l’Union est en nette augmentation et que leur niveau de préparation en matière de cybersécurité, variable selon l’organe concerné, n’est globalement pas à la hauteur de l’intensification des menaces; fait observer qu’en raison de la forte interconnexion entre les organes de l’Union, une faille dans la sécurité de l’un d’entre eux peut en exposer d’autres à des cybermenaces; souligne que la Cour recommande que l’Agence et l’équipe d’intervention en cas d’urgence informatique pour l’Union (CERT-UE) se concentrent davantage sur les organes de l’Union qui ont moins d’expérience dans la gestion de la cybersécurité: a) en déterminant les domaines prioritaires dans lesquels les institutions, organes et agences de l’Union ont le plus besoin de soutien, par exemple au moyen d’évaluations de leur niveau de maturité, et b) en mettant en œuvre des actions de renforcement des capacités, conformément à leur protocole d’accord; invite l’Agence à remédier aux problèmes soulevés par la Cour et à informer l’autorité de décharge de toute mesure prise en la matière;

prend acte du fait que l’Agence a réalisé diverses activités en 2022 au titre de son rôle de soutien à l’Union; relève que, si l’Agence a été en mesure d’apporter son soutien dans plusieurs dossiers stratégiques, tels que la sécurité des réseaux et des systèmes d’information, la cyberrésilience et la résilience opérationnelle numérique, les contraintes en matière de ressources l’ont empêchée d’apporter un soutien effectif dans des dossiers comportant un volet cybersécurité, tels que l’espace européen des données de santé, et d’autres dossiers majeurs, tels que les marchés numériques et les services numériques; relève notamment, au rang des autres activités, l’information des responsables de l’élaboration des politiques sur l’efficacité des cadres existants en matière de cybersécurité et le soutien apporté aux secteurs critiques; note en outre que l’adoption de la directive (UE) 2022/2555 du Parlement européen et du Conseil (2) (la directive SIR 2) se distingue comme une mesure visant à répondre aux enjeux qui se posent et à harmoniser les politiques dans l’ensemble de l’Union; estime que l’harmonisation insuffisante de la mise en œuvre de la directive SRI 1 a conduit à une fragmentation de l’action menée, à laquelle la directive SRI 2 entend remédier; relève que cette dernière élargit son champ d’application en introduisant de nouvelles tâches transversales pour l’Agence, telles que le registre européen des entités numériques; souligne que l’Agence a adapté ses services et ses ressources au moyen d’une nouvelle stratégie afin de répondre à l’évolution des exigences du paysage en matière de cybersécurité;

Efficacité et gains

note que l’Agence s’est efforcée de recourir davantage aux services partagés avec d’autres agences ou la Commission, y compris, par exemple, au moyen de procédures de passation de marchés interagences et interinstitutionnelles, et de partager des services avec le Centre européen pour le développement de la formation professionnelle (Cedefop) et le Centre européen de compétences en matière de cybersécurité; relève en outre qu’en 2022, l’Agence a signé un accord de niveau de service avec le nouveau Centre de compétences européen pour l’industrie, les technologies et la recherche en matière de cybersécurité en vue d’assurer pour ce dernier les services de délégué à la protection des données et comptabilité, accord qui devrait être mis en œuvre en 2023;

prend acte des mesures prises par l’Agence pour passer de la méthode traditionnellement appliquée en matière d’effectifs à une planification stratégique afin d’anticiper et de combler les déficits de personnel pour assurer la flexibilité des effectifs et allouer des ressources aux domaines prioritaires;

10.

se félicite des efforts déployés par l’Agence pour promouvoir les services partagés entre les agences par l’intermédiaire de plusieurs réseaux dans les domaines des marchés publics, des ressources humaines, des TIC, de la gestion des risques, de la gestion des performances, de la protection des données, de la sécurité de l’information et de la comptabilité; insiste sur la nature transversale des retombées positives de la collaboration et de l’adaptation des bonnes pratiques, et souligne que les initiatives communes permettent de rassembler divers points de vue, de réduire les redondances, de développer l’apprentissage et de renforcer les relations entre les participants; encourage l’Agence à déterminer les procédures internes qui pourraient être rationalisées au moyen de nouveaux outils informatiques;

11.

relève avec satisfaction la participation de l’Agence au projet pilote mené au sein du réseau des agences de l’Union pour aider ces dernières à être mieux préparées au nouveau règlement à venir sur la cybersécurité;

12.

rappelle qu’il importe d’améliorer la numérisation de l’Agence au regard de son fonctionnement et de sa gestion internes, mais également pour accélérer la numérisation des procédures; souligne que l’Agence doit continuer à anticiper à cet égard afin d’éviter que ne se creuse un fossé numérique entre les agences;

Politique du personnel

13.

note que 89,02 % du tableau des effectifs étaient pourvus au 31 décembre 2022, avec 73 agents temporaires engagés sur les 82 agents temporaires autorisés au titre du budget de l’Union (contre 76 postes autorisés en 2021); constate que, de surcroît, 27 agents contractuels, 10 experts nationaux détachés, 10 intérimaires et 16 contractants ont travaillé pour l’Agence en 2022;

14.

prend acte avec préoccupation du déséquilibre hommes-femmes au sein de l’encadrement supérieur et intermédiaire de l’Agence, où 12 postes sur 17 (71 %) sont occupés par des hommes; estime que la répartition hommes-femmes au sein de l’encadrement supérieur et intermédiaire de l’Agence doit être améliorée; rappelle qu’il importe de garantir l’équilibre entre les hommes et les femmes et invite l’Agence à tenir compte de cet aspect lors des futures nominations au sein de son encadrement supérieur et intermédiaire; prend acte de la répartition hommes-femmes au sein du conseil d’administration de l’Agence, où 41 postes sur 55 (soit 75 %) sont occupés par des hommes; reconnaît que la composition du conseil d’administration dépend dans une large mesure des nominations faites par les États membres; insiste pour que la Commission et les États membres tiennent compte de l’importance de l’équilibre hommes-femmes lorsqu’ils nomment leurs membres au conseil d’administration de l’Agence; prend acte de la répartition équilibrée entre les hommes et les femmes à l’échelle de l’ensemble du personnel de l’Agence, qui compte 57 hommes (52 %) pour 53 femmes (48 %); prend acte des mesures prises par l’Agence pour remédier aux problèmes liés à l’équilibre entre les hommes et les femmes, notamment de la révision de sa politique de recrutement afin d’encourager la candidature de femmes; note en outre que l’Agence a prévu, dans sa stratégie institutionnelle, d’obtenir le certificat d’excellence en matière de diversité et d’inclusion du réseau des agences de l’Union d’ici la fin de 2025;

15.

note que l’Agence dispose d’une politique en matière de protection de la dignité de la personne et de prévention du harcèlement psychologique et sexuel et que l’Agence fait partie de la task-force interagences des personnes de confiance; escompte en recevoir le rapport et les recommandations; constate qu’aucun cas de harcèlement n’a été signalé en 2022 et encourage l’Agence à poursuivre et à développer ses efforts visant à prévenir de tels cas à l’avenir également;

16.

s’inquiète du déséquilibre géographique au sein de l’encadrement supérieur et intermédiaire ainsi que d’autres catégories de personnel de l’Agence, qui comptent 40,9 % de ressortissants grecs; insiste sur la nécessité d’améliorer la situation; invite l’Agence à rendre compte à l’autorité de décharge à ce sujet;

17.

constate avec inquiétude qu’au cours de l’élaboration du programme de travail 2023, l’Agence a constaté un déficit de ressources de 734 000 EUR et de deux ETP au niveau opérationnel, et de 2,5 millions d’EUR au niveau des services aux entreprises; relève en outre qu’une évaluation approfondie des besoins en ressources humaines pour la période 2023-2025 a révélé un déficit important, en particulier dans des domaines d’activité critiques, et que sans postes supplémentaires, l’Agence pourrait devoir redéfinir ses priorités et adapter ses futurs programmes de travail afin de compenser le manque de ressources; prend acte du fait que le conseil d’administration de l’Agence a également indiqué qu’il convenait d’augmenter les effectifs de l’Agence afin que celle-ci puisse remplir pleinement son mandat de manière durable;

18.

salue les efforts déployés par l’Agence pour intégrer des personnes handicapées en mettant en place des infrastructures accessibles et des services de soutien;

19.

note qu’en 2022, l’Agence a continué d’apporter une aide complémentaire au personnel sous la forme de bons à valoir, du remboursement des abonnements internet et du programme fit@work, et qu’elle a élaboré un code de conduite qui définit les attentes de l’Agence en ce qui concerne le comportement et la conduite des membres du personnel;

Passation de marchés

20.

relève avec inquiétude que la Cour a relevé deux cas dans lesquels l’Agence avait attribué des marchés de faible valeur (moins de 15 000 EUR) sans publier de rapport d’évaluation ni de décision d’attribution dûment approuvée et signée par l’ordonnateur, ce qui contrevient aux points 30.3 et 30.4 de l’annexe I du règlement financier; rappelle à cet égard que la Cour a formulé une observation similaire dans son rapport de 2021 et que dans sa réponse, l’Agence a indiqué qu’elle avait déjà pris les mesures nécessaires pour remédier au problème; souligne qu’il importe de mettre en œuvre des procédures afin de garantir le plein respect du règlement financier; invite l’Agence à remédier aux problèmes soulevés par la Cour et à tenir l’autorité de décharge informée de toute évolution à cet égard;

21.

prend acte du fait que, selon la Cour, en 2022, l’Agence a proposé à ses cadres une évaluation professionnelle réalisée par un prestataire externe désigné par l’Agence; relève que dans trois cas, l’ENISA a payé directement le prestataire pour ces services, tandis que dans les 23 autres cas, elle a remboursé ses cadres, qui avaient payé eux-mêmes le prestataire; fait observer que le montant total versé par l’Agence pour les 26 évaluations est de 120 276 EUR; déplore que l’Agence ait sélectionné le prestataire sans lancer de procédure de marché public ouverte, raison pour laquelle la Cour a conclu que ces paiements étaient irréguliers; invite l’Agence à remédier aux problèmes soulevés par la Cour et à informer l’autorité de décharge de toute mesure prise en la matière;

22.

insiste sur le fait que les règles en matière de marchés publics visent à permettre aux entités adjudicatrices d’obtenir des biens et des services au meilleur prix, tout en garantissant une concurrence loyale entre les soumissionnaires et le respect des principes de transparence, de proportionnalité, d’égalité de traitement et de non-discrimination; invite l’Agence à améliorer encore ses procédures de marchés publics en veillant au plein respect des règles applicables, afin d’utiliser les ressources de façon optimale;

Prévention et gestion des conflits d’intérêts et transparence

23.

prend acte des mesures prises par l’Agence et des efforts qu’elle déploie actuellement pour garantir la transparence ainsi que la prévention et la gestion des conflits d’intérêts, et observe que les CV des membres du conseil d’administration ainsi que leurs déclarations d’engagement et leurs déclarations d’intérêts sont en cours de publication sur le site internet, bien que certains CV manquent encore;

24.

note que l’Agence n’a signalé aucun cas de conflit d’intérêts en 2022; prend également acte de l’adoption par l’Agence de la décision 15/2021 du conseil d’administration sur la prévention des conflits d’intérêts ainsi que de la mise à jour des modèles de déclaration; insiste sur l’importance de mettre en place des procédures de contrôle du respect des règles relatives au «pantouflage» et d’assurer un suivi effectif de l’activité professionnelle des membres du personnel d’encadrement supérieur, notamment de ceux qui ont quitté l’agence au cours des deux années précédentes, afin de pouvoir détecter les situations de «pantouflage» non déclarées;

25.

prend acte du fait que le calendrier des réunions entre la direction de l’Agence et les parties prenantes externes est accessible au public sur le site internet de celui-ci;

26.

rappelle qu’il importe que l’Agence fasse en sorte d’être plus visible dans les médias, sur l’internet et sur les réseaux sociaux afin de faire connaître son action aux citoyens;

Contrôle interne

27.

relève que le service d’audit interne a réalisé en 2021 un audit sur la programmation de la planification stratégique et la gestion de la performance et qu’il a publié son rapport d’audit final en avril 2022, assorti de trois recommandations importantes; relève en outre que l’Agence adhère aux observations formulées dans l’audit et qu’elle a pris les mesures nécessaires pour répondre aux préoccupations exprimées;

28.

relève que, selon la Cour, l’Agence ne dispose d’aucune évaluation modèle établie au préalable (à savoir des lignes directrices) pour aider le comité d’évaluation à apprécier les offres; fait observer que, dès lors, les offres risquent de ne pas être évaluées de façon cohérente par chaque membre du comité d’évaluation; invite l’Agence à remédier à ce problème soulevé par la Cour et à tenir l’autorité de décharge informée;

29.

prend acte du fait qu’en 2022, l’Agence a réalisé des contrôles ex post des transactions financières effectuées au cours de l’exercice 2021, conformément à l’article 45, paragraphes 8 et 9, du règlement délégué (UE) 2019/715 de la Commission (3); attire l’attention sur le fait que trois faiblesses ont été décelées, qui ont donné lieu à trois recommandations sur les transactions financières, dont aucune n’a été jugée critique; observe que, pour remédier à la principale faiblesse, un suivi hebdomadaire du délai de paiement a été mis en place en 2022 pour alerter le personnel compétent en matière de finances sur les transactions urgentes restant à traiter, afin de respecter le cadre juridique relatif aux délais de paiement;

30.

relève qu’en 2022, l’évaluation de l’efficacité des systèmes de contrôle interne de l’Agence s’est appuyée sur les indicateurs du cadre, ainsi que sur des informations supplémentaires provenant de rapports d’évaluation (de risques) spécifiques, de constatations d’audit et d’autres sources pertinentes; fait observer que l’évaluation des contrôles internes de l’Agence fait état d’une assurance raisonnable pour ce qui est de faciliter des opérations efficaces et efficientes ainsi que d’assurer la qualité de la communication d’informations et le respect de la réglementation, mais que des améliorations sont nécessaires en ce qui concerne certains principes afin d’améliorer l’efficacité et de garantir la mise en œuvre en bonne et due forme des contrôles internes; invite l’Agence à rendre compte à l’autorité de décharge des mesures prises pour donner suite au constat formulé dans le cadre de l’évaluation sur les améliorations nécessaires;

Autres commentaires

31.

note que l’Agence a mis en œuvre des mesures importantes pour renforcer la protection en matière de cybersécurité, telles que des solutions de messagerie électronique sécurisée (SECEM2), un exercice d’«équipe rouge», des mesures de correction et de renforcement, le démantèlement de systèmes obsolètes et la mise à jour du cadre stratégique interne en matière de cybersécurité;

32.

se félicite que le conseil d’administration de l’Agence ait ajouté au document unique de programmation 2022-2024 de l’Agence l’objectif de parvenir à la neutralité climatique dans toutes ses activités d’ici à 2030; note qu’avec l’adoption de la stratégie institutionnelle de l’Agence, la certification EMAS et les marchés publics écologiques sont des objectifs majeurs de l’Agence; prend acte du fait que le processus de certification devrait être achevé dans le courant de l’année 2024;

33.

renvoie, pour d’autres observations de nature horizontale accompagnant la décision de décharge, à sa résolution du 11 avril 2024 (4) sur la performance, la gestion financière et le contrôle des agences.

(1) JO C 377 du 30.9.2022, p. 2.

(2) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).

(3) Règlement délégué (UE) 2019/715 de la Commission du 18 décembre 2018 portant règlement financier-cadre des organismes créés en vertu du traité sur le fonctionnement de l’Union européenne et du traité Euratom et visés à l’article 70 du règlement (UE, Euratom) 2018/1046 du Parlement européen et du Conseil (JO L 122 du 10.5.2019, p. 1).

(4) Textes adoptés de cette date, P9_TA(2024)0280.

ELI: http://data.europa.eu/eli/res/2024/2316/oj

ISSN 1977-0693 (electronic edition)

Documents similaires

Acte préparatoire52024M11764

Notification préalable d’une concentration (Affaire M.11764 – DP WORLD / ARCESE / JV) — Cas susceptible d’être traité selon la procédure simplifiée

27/12/2024

Acte préparatoire52024M11789

Notification préalable d’une concentration (Affaire M.11789 – APOLLO / BARNES GROUP) — Cas susceptible d’être traité selon la procédure simplifiée

23/12/2024

Acte préparatoire52022HB0026R(01)

Acte préparatoire — 52022HB0026R(01)

20/12/2024

Acte préparatoire52025M11717

Non-opposition à une concentration notifiée (Affaire M.11717 — SUMITOMO / EEW HOLDING / EEW OFFSHORE WIND EU HOLDING)