Le 7 février 2013, la Commission et la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité ont adressé une communication conjointe au Parlement européen et au Conseil, intitulée "Stratégie de cybersécurité de l'Union européenne: un cyberespace ouvert, sûr et sécurisé".
Sur cette base, le Conseil a adopté une série de conclusions qui peuvent se résumer comme suit :
Caractère indispensable d’une approche globale : le Conseil estime qu’il est indispensable et urgent de poursuivre l'élaboration d'une approche globale en matière de cybersécurité et de la mettre en œuvre aux fins d'une politique de l'UE sur le cyberespace qui:
Dans ce contexte, le Conseil invite les États membres, la Commission et la haute représentante à coopérer, dans le respect des domaines de compétences de chacun et du principe de subsidiarité, en vue de la mise en œuvre des objectifs suivants :
1) Valeurs : d’une manière générale, le Conseil invite les États membres à prendre toutes les mesures raisonnables pour que tous les citoyens de l'UE soient en mesure d'accéder à l'Internet et d'en tirer parti.
2) Prospérité : le Conseil estime qu’il est indispensable que les technologies de l'information et de la communication (TIC) ainsi que la sécurité des TIC se développent pour favoriser l'innovation et la croissance. Il faut toutefois œuvrer à la protection des infrastructures et des fonctions clés que les États membres jugent indispensables, notamment en protégeant les infrastructures d'informations dites critiques (PIIC) au niveau national.
3) Cyber-résilience : les États membres sont appelés à prendre des mesures pour veiller à atteindre dans leur pays un bon niveau en matière de cybersécurité, en élaborant et en mettant en œuvre des politiques adéquates ainsi que des capacités organisationnelles et opérationnelles adaptées. Dans ce contexte, le Conseil appelle à une série de mesures dont : i) des actions de sensibilisation sur la nature des menaces et les bonnes pratiques en matière numérique ; ii) le renforcement des systèmes informatiques ; iii) le renforcement de la coopération paneuropéenne en matière de cybersécurité, iv) le renforcement de la coopération entre les États membres au niveau de l'UE, en vue de parvenir à une évaluation commune des menaces, v) la prise en compte des questions de cybersécurité à la lumière des travaux en cours sur la clause de solidarité.
4) Lutte contre cybercriminalité : le Conseil estime par ailleurs que des mesures d’envergure doivent être prises en matière de cybercriminalité pour au moins recenser les insuffisances des États membres et les moyens de renforcer leurs moyens d'enquête. Il suggère également l’utilisation du futur Fonds pour la sécurité intérieure, dans les limites de son budget, pour aider les autorités compétentes à lutter contre la cybercriminalité, ainsi que le recours à l'instrument de stabilité pour développer la lutte contre la cybercriminalité et lutter contre les organisations cybercriminelles. Il suggère en outre le renforcement de la coopération intercommunautaire, notamment en soutenant Europol.
D’autres propositions sont faites en vue de lutter contre la cybercriminalité via la coopération avec les pays tiers et la politique de sécurité et de défense commune.
Dans la foulée, le Conseil appelle la Commission et à la haute représentante à rédiger un rapport d'activité sur la stratégie de cybersécurité qui sera présenté lors de la conférence de haut niveau qui se tiendra en février 2014. Il propose également que se tiennent régulièrement des réunions des instances préparatoires compétentes du Conseil pour contribuer à définir les priorités et les objectifs stratégiques de l'UE concernant le cyberespace au sein d'un cadre d'action global.
Enfin, le Conseil appelle la Commission à présenter les modalités de financement de la stratégie ainsi proposée, en tenant compte des futures négociations avec le Parlement européen.