Cyberrésilience : les ambassadeurs de l’UE vont approuver la nouvelle législation pour les appareils connectés
Dans le nouveau texte de la législation sur la cyberrésilience, les parties sur les obligations de notification, les produits hautement critiques et la durée de vie des produits ont été ajustées avant l’approbation au niveau des ambassadeurs.
Dans une nouvelle version de la législation sur la cyberrésilience (Cyber Resilience Act), consultée par EURACTIV, les parties sur les obligations de notification, les produits hautement critiques et la durée de vie des produits ont été ajustées avant l’approbation au niveau des ambassadeurs.
Au début du mois, la présidence espagnole du Conseil des ministres de l’UE a partagé un compromis révisé, qui a été discuté lundi dernier (10 juillet) au sein du groupe horizontal « Questions cyber », un organe technique du Conseil, afin de signaler toute question en suspens à traiter.
Cette discussion a permis de peaufiner le nouveau texte que la présidence espagnole a diffusé jeudi dernier (13 juillet), avant une réunion du Comité des représentants permanents (COREPER) qui doit adopter la position du Conseil de l’UE ce mercredi (19 juillet).
Le même jour, la commission de l’Industrie (ITRE) du Parlement européen, en charge du dossier, devrait également adopter sa version du texte, sans qu’un vote en séance plénière ne soit prévu. Les négociations entre les colégislateurs de l’Union devraient débuter en septembre.
Obligations de notification
Le règlement sur la cybersécurité introduit l’obligation pour les fabricants qui ont connaissance d’un incident de cybersécurité ou d’une vulnérabilité activement exploitée d’en informer l’autorité compétente.
Le Conseil a transféré cette tâche délicate des mains de l’Agence de l’Union européenne pour la cybersécurité (ENISA), à celles des centres nationaux de réponse aux incidents de sécurité informatique (Computer Security Incident Response Teams, CSIRT). Le nouveau texte encourage les États membres à mettre en place un point d’entrée national unique pour les exigences de notification.
Le CSIRT qui reçoit le rapport devra le partager avec ses pairs via une plateforme de notification unique, à moins qu’il n’y ait des raisons justifiées liées à la cybersécurité, compte tenu de la sensibilité des informations notifiées, pour retarder la transmission.
Collectivement, les CSIRT élaboreront des spécifications sur la manière dont ces circonstances exceptionnelles s’appliquent et sur l’organisation, la sécurité et le type d’informations à partager via la plateforme de signalement.
L’ENISA établira la plateforme paneuropéenne selon les spécifications des CSIRT, en analysant les complémentarités potentielles avec la base de données européenne sur les vulnérabilités établie dans le cadre de la directive révisée sur les réseaux et la sécurité de l’information (SRI2).
L’ENISA notifiera tout incident de cybersécurité lié à la plateforme dans les meilleurs délais. Les références à l’accès des autorités de surveillance du marché à la plateforme ont été supprimées.
Une formulation ajoutée précédemment, qui aurait donné aux fabricants une certaine flexibilité quant aux délais de notification, par exemple s’ils développent une mesure d’atténuation, a été supprimée.
Le fabricant doit également informer l’utilisateur de tout incident ou vulnérabilité active. S’il ne le fait pas en temps voulu, le CSIRT notifié peut intervenir.
Produits hautement critiques
La législation sur la cyberrésilience introduit le concept de produits hautement critiques pour lesquels la Commission européenne pourrait imposer des systèmes de certification de cybersécurité de l’UE. Toutefois, la dernière version a supprimé toute référence explicite aux « produits hautement critiques ».
Les pays de l’UE ont réduit le pouvoir discrétionnaire de l’exécutif européen dans ce domaine, en introduisant notamment une première liste de catégories de produits hautement critiques que la Commission pourrait modifier ultérieurement.
Le texte du Conseil prévoit également qu’avant de demander une certification obligatoire, l’exécutif européen doit réaliser une étude d’impact afin d’évaluer l’offre et la demande sur le marché intérieur ainsi que la capacité et l’état de préparation des États membres pour la mise en œuvre des systèmes.
Les itérations précédentes du texte indiquaient que les produits hautement critiques devraient être invités à se conformer au niveau d’assurance « substantiel » ou « élevé » en vertu du règlement sur la cybersécurité (Cybersecurity Act). Cette référence à des niveaux d’assurance spécifiques a été supprimée du texte.
En outre, la Commission devra réaliser une analyse d’impact avant de demander un certificat de cybersécurité, mais le délai pour la réaliser a été supprimé. L’exécutif européen devra consulter les parties prenantes concernées, y compris le groupe européen de certification de cybersécurité (GECC).
Durée de vie des produits
Les fabricants doivent indiquer la durée de vie prévue du produit pendant laquelle les utilisateurs peuvent s’attendre à recevoir des mises à jour de sécurité.
Les éléments à prendre en compte dans ce calcul ont été déplacés des parties contraignantes du règlement vers le préambule, à savoir la disponibilité attendue de l’environnement d’exploitation, la durée de vie des produits présentant des fonctionnalités similaires et les conseils des autorités de surveillance du marché.
D’autres points précédemment cités comme pertinents pour déterminer la durée de vie prévue du produit ont été supprimés, à savoir la référence au droit communautaire applicable et la nature du produit, y compris les conditions d’octroi de la licence.
Les autorités de surveillance du marché ne sont plus autorisées à demander aux fabricants de justifier la manière dont la durée de vie du produit a été calculée.
Responsabilité
La responsabilité de se conformer à la législation sur la cybersécurité incombe à l’opérateur économique qui modifie de manière substantielle un dispositif connecté. Toutefois, cette responsabilité est levée pour les correctifs de sécurité qui ne modifient pas la fonction prévue d’un produit.
Une nouvelle formulation a été ajoutée pour préciser que ces mises à jour de sécurité exclues comprennent celles qui « modifient les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de diminuer le niveau de risque en matière de cybersécurité ».
Les produits comportant des éléments numériques développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ont également été exclus.
Application de la loi
Les autorités de surveillance du marché de l’UE réunies au sein du groupe de coopération administrative publieront des documents d’orientation afin de rationaliser l’application du règlement au niveau national.
Cela prendrait notamment la forme d’une liste de meilleures pratiques et d’indicateurs permettant de vérifier efficacement le respect du règlement.
Pièces détachées
Les composants des appareils connectés fabriqués exclusivement comme pièces détachées pour remplacer des composants identiques étaient exclus du champ d’application du règlement.
La nouvelle version précise que ces pièces détachées doivent suivre « les mêmes processus de développement et de production que le produit original ».
