La concurrence exige une réduction des coûts et de la bureaucratie dans le plan d’urgence numérique

La Commission nationale des marchés et de la concurrence (CNMC) a rendu un rapport décisif sur le projet d'arrêté royal relatif à la sécurité et à la résilience des réseaux et services de communications électroniques, transmis par le secrétaire d'État chargé des Télécommunications et des Infrastructures numériques. L’organisme de contrôle a émis un avertissement central qui devrait guider la rédaction finale de la norme : la nécessité impérative d’éviter les chevauchements réglementaires. La CNMC prévient que, même si l’objectif de protéger les infrastructures numériques des catastrophes et des cyberattaques est louable, la conception actuelle risque de créer un cadre juridique confus et redondant qui pourrait étouffer opérationnellement les entreprises du secteur en les obligeant à se conformer à des réglementations qui se chevauchent.

L’axe principal de l’analyse de la CNMC est la cohérence réglementaire. Le superviseur souligne que l'Espagne est en train de transposer les directives européennes fondamentales, comme NIS2 et la directive CER (Résilience des entités critiques). Le rapport est donc clair : nous ne pouvons pas légiférer en vase clos.

La CNMC demande au ministère de la Transformation numérique de garantir que ce nouvel arrêté royal s'insère avec une précision chirurgicale dans le puzzle législatif européen pour éviter que les opérateurs ne soient contraints de dupliquer les procédures, les plans de sécurité et les systèmes de notification. Selon l'agence, un excès de niveaux réglementaires ne se traduit pas nécessairement par une plus grande sécurité, mais plutôt par une charge administrative plus lourde qui pourrait détourner les ressources précisément là où elles sont le plus nécessaires : l'investissement technique dans les réseaux eux-mêmes.

Le projet d'arrêté royal apparaît comme une réponse défensive de l'État après des incidents qui ont mis en échec la connectivité nationale, comme le dana d'octobre 2024 et la panne massive d'électricité qui a touché la péninsule ibérique en avril 2025. Le gouvernement souhaite que les réseaux de télécommunications cessent d'être considérés comme un simple service commercial et soient traités, à tous égards, comme des installations essentielles dans les situations d'urgence.

Cela implique que les opérateurs de réseaux et de services, ainsi que les gestionnaires d’infrastructures critiques telles que les câbles sous-marins ou les points d’échange Internet, devront se soumettre à un régime de surveillance et de préparation sans précédent. Toutefois, pour la CNMC, ce renforcement doit être proportionné et non général, suggérant de revoir les seuils des opérateurs obligés afin que les exigences soient proportionnelles au risque réel de chaque entité.

L’un des points où se génèrent le plus de frictions est la demande d’autonomie énergétique. Le projet du ministère établit que les installations critiques doivent pouvoir fonctionner de manière autonome pendant 24 heures en cas de panne de courant. Les infrastructures de niveau intermédiaire auraient besoin d'une durée de 12 heures et le reste des emplacements d'un minimum de quatre heures. Dans le cas spécifique des réseaux mobiles, cette autonomie de quatre heures doit assurer une couverture à 85 % de la population.

Ici, la CNMC fait une nouvelle fois appel à la sagesse réglementaire pour éviter les chevauchements avec d’autres plans de protection civile, en proposant que cette autonomie soit mise en œuvre progressivement. Le régulateur suggère qu'au lieu d'imposer un investissement massif dans des batteries et des générateurs dans chaque tour, des solutions plus efficaces soient explorées, comme l'itinérance forcée entre les opérateurs dans les zones de crise ou l'utilisation de réseaux satellitaires comme secours à moyen terme.

Impact économique

L’impact économique de ce blindage numérique est un autre champ de bataille. Alors que le gouvernement estime que la facture totale du secteur s'élèvera à environ 73 millions d'euros – un chiffre qu'il qualifie de « proportionnel et équilibré » – les opérateurs et les sociétés de tours de télécommunications, comme Cellnex, estiment que le coût réel s'élèvera à plusieurs centaines de millions.

La difficulté technique d'installer des batteries lourdes ou des générateurs diesel sur les toits des bâtiments urbains, qui nécessitent des autorisations de voisinage et des renforcements structurels, représente un défi logistique que le secteur considère sous-évalué dans le rapport économique officiel.

La CNMC, consciente de cette lacune, recommande que les mesures soient modulées pour ne pas compromettre la capacité d'investissement des entreprises télécoms dans d'autres domaines critiques comme le déploiement de la 5G ou l'amélioration de la couverture en zones rurales, où l'autonomie énergétique est justement plus difficile à assurer.

Concernant la gestion des incidents, l'arrêté royal impose une discipline de fer dans la communication des pannes. Les entreprises sont tenues de donner une première notification à l'autorité dans un temps record d'une heure maximum après le début de l'événement. La CNMC, bien qu'elle valorise la nécessité d'une information rapide, demande que ce système de notification ne fasse pas double emploi avec les canaux existants en matière de cybersécurité, renforçant une fois de plus son message visant à éviter le labyrinthe administratif.

La norme vise à préparer après chaque crise un rapport détaillé qui sert de leçon apprise, classant les incidents comme « significatifs » ou « mineurs » en fonction de leur impact sur la population et sur la géographie. Pour le régulateur, ce système de notification doit être clair et unique, évitant aux entreprises de devoir informer plusieurs organisations sur un même événement.

Enfin, le superviseur rappelle une question institutionnelle en suspens : la désignation formelle d'une autorité de cybersécurité spécifique aux flux transfrontaliers d'électricité, fonction que la CNMC elle-même exerce temporairement.