Cyberrésilience : les eurodéputés définissent le champ d’application et les obligations des fabricants
Les eurodéputés peaufinent les obligations que la nouvelle législation sur la cybersécurité imposera aux fabricants de produits et la manière dont elle s’appliquera aux logiciels libres.
Les eurodéputés peaufinent les obligations que la nouvelle législation sur la cybersécurité imposera aux fabricants de produits et la manière dont elle s’appliquera aux logiciels open source.
La législation sur la cyberrésilience (Cyber Resilence Act) est une proposition législative introduisant des obligations de sécurité pour les appareils connectés. Le bureau du rapporteur du Parlement européen sur le dossier, l’eurodéputé centriste Nicola Danti (Renew Europe), a fait circuler une troisième révision complète du texte jeudi dernier (22 juin), consultée par EURACTIV.
Les législateurs de l’UE finalisent la législation sur la cyberrésilience, avec deux réunions techniques prévues ce mardi (27 juin) et ce vendredi (30 juin). Un accord politique final devrait être conclu entre les principaux groupes politiques du Parlement mercredi prochain (5 juillet).
Champ d’application
En ce qui concerne le champ d’application du règlement, un sujet de discussion très controversé a été de savoir dans quelle mesure les logiciels open source devraient être couverts, le texte précisant que cela ne se produirait que dans des cas spécifiques.
En particulier, seuls les logiciels open source mis à disposition sur le marché dans le cadre d’une activité commerciale sont couverts, l’évaluation devant se faire produit par produit en tenant compte du modèle de développement et de la phase d’approvisionnement du produit libre.
L’exemple donné pour un cadre non commercial est celui d’un modèle entièrement décentralisé dans lequel aucune entité commerciale n’exerce de contrôle sur ce qui est accepté dans la base de code du projet.
Obligations de déclaration
La législation sur la cyberrésilience impose aux fabricants de notifier à l’Agence de l’Union européenne pour la cybersécurité (ENISA) s’ils ont connaissance d’une vulnérabilité activement exploitée.
Dans le nouveau texte, cette obligation de déclaration ne s’applique que si un acteur illégal ou malveillant est à l’origine du piratage. En d’autres termes, si le piratage provient d’une autorité publique telle qu’un organisme chargé de l’application de la loi, il n’y aurait pas d’obligation de le signaler.
Le processus de notification se déroulerait en plusieurs étapes, allant d’une alerte rapide dans le jour suivant l’événement à une notification plus détaillée de la vulnérabilité trois jours plus tard. Toutefois, les PME ont été exemptées de l’alerte précoce si elles ne disposent pas de capacités suffisantes.
Maintien en conditions opérationnelles
Les eurodéputés s’éloignent du concept de « durée de vie prévue du produit » en faveur d’une période de « maintien en conditions opérationnelles plus courte » au cours de laquelle les fabricants doivent assurer le traitement des vulnérabilités.
« Le fabricant veille à ce que la période de maintien soit proportionnée à la durée de vie prévue du produit et tienne dûment compte de la nature du produit, des attentes des utilisateurs, de la disponibilité de l’environnement d’exploitation et, le cas échéant, de la période de maintien des principaux composants intégrés dans le produit avec des éléments numériques », peut-on lire dans le texte.
Les autorités de surveillance du marché sont chargées de veiller à ce que les fabricants appliquent correctement ces critères lors de la détermination de la période de maintien en conditions opérationnelles.
Pour les périodes inférieures à cinq ans, les fabricants peuvent donner accès au code source aux entreprises susceptibles de fournir un service de gestion des vulnérabilités. Toutefois, l’exigence de gratuité de cet accès a été supprimée.
Fournisseurs à haut risque
Les versions précédentes du texte introduisaient le concept de fournisseurs à haut risque, c’est-à-dire des entreprises qui ne sont pas considérées comme fiables en raison de facteurs non techniques, comme c’est le cas pour des fournisseurs chinois tels que Huawei et ZTE.
Les obligations des importateurs de dispositifs connectés ont été modifiées pour indiquer que, s’ils ont une raison de croire qu’un produit peut présenter un tel risque non technique, ils envisageront de le retirer et devront en informer les autorités nationales et la Commission.
Une obligation similaire pour les distributeurs a été supprimée « en tenant compte de la réunion des rapporteurs fictifs », indique une note en marge du texte. Une référence selon laquelle les actions de contrôle coordonnées devraient viser en priorité les vendeurs à haut risque a également été supprimée.
En outre, si les autorités nationales ou la Commission ont des raisons suffisantes de penser qu’un produit présente une menace importante pour la cybersécurité ou une menace pour la sécurité nationale pour des raisons non techniques, elles doivent émettre des recommandations ciblées aux opérateurs économiques sur les mesures correctives à mettre en place.
Évaluation de la conformité
Les fabricants devront démontrer qu’ils respectent les exigences en matière de cybersécurité en appliquant des normes techniques reconnues par le droit communautaire, des spécifications communes publiées par la Commission ou des systèmes de certification en matière de cybersécurité mis en place pendant une période minimale.
Les fabricants pourraient également demander une évaluation par une tierce partie via des auditeurs certifiés, les organismes notifiés.
Les pays de l’UE ont jusqu’à un an après l’entrée en vigueur du règlement pour veiller à ce qu’il y ait un nombre suffisant d’organismes notifiés afin d’éviter les goulets d’étranglement.
Orientations
Étant donné que le règlement touche plusieurs domaines, la Commission a été chargée de fournir des orientations sur des questions telles que le champ d’application, en particulier en ce qui concerne le traitement des données à distance, la classification des produits critiques et l’interaction avec d’autres textes législatifs de l’UE.
Des orientations sont également attendues sur la manière d’effectuer l’évaluation des risques, de déterminer la période de maintien en conditions opérationnelles de manière appropriée et, pour les États membres, sur la non-poursuite des chercheurs en sécurité de l’information, connus sous le nom de « hackers éthiques ». Cette dernière partie est toutefois considérée comme « à compléter ».
Produits hautement critiques
Pour les catégories de produits jugés « hautement critiques », la Commission sera habilitée à exiger, par le biais d’actes délégués, l’obtention d’un certificat de cybersécurité délivré en vertu du règlement sur la cybersécurité (Cybersecurity Act) avec un niveau d’assurance « élevé ».
L’obligation d’obtenir le certificat s’appliquera dans un délai d’un an à compter de l’adoption de la législation secondaire.
Groupe d’experts
Le rapporteur a également introduit l’idée d’établir un groupe d’experts sur la cyberrésilience pour conseiller la mise en œuvre de la législation sur la cybersécurité.
La composition du groupe a été retravaillée pour inclure le Centre européen de compétence en matière de cybersécurité (ECCC), qui regroupe des experts et des ressources de haut niveau de toute l’UE afin de mettre au point des solutions innovantes aux cybermenaces et de renforcer la résilience du bloc face aux attaques.
[Édité par Anne-Sophie Gayet]
