Cybersécurité : le Parlement envisage d’imposer des obligations aux marchés en ligne
Les exigences relatives aux marchés en ligne, le champ d’application du règlement sur la cybersécurité et les dispositions sur les produits critiques et hautement critiques, entre autres, devraient être discutés au Parlement européen ce mardi (13 juin).
Les exigences relatives aux marchés en ligne, le champ d’application du règlement sur la cybersécurité et les dispositions sur les produits critiques et hautement critiques, entre autres, devraient être discutés au Parlement européen ce mardi (13 juin).
La législation sur la cyberrésilience (Cyber Resilience Act) est une proposition législative visant à introduire des exigences de cybersécurité pour les fabricants de produits de l’Internet des objets, des appareils connectés qui génèrent et échangent des données.
Le bureau de l’eurodéputé à la tête du dossier, Nicola Danti, a fait circuler une seconde série d’amendements de compromis jeudi (8 juin), consulté par EURACTIV.
Marchés en ligne
Lors de la réunion politique de mardi, les législateurs devraient discuter de l’introduction d’obligations pour les marchés en ligne, conformément au règlement relatif à la sécurité générale des produits (General Product Safety Regulation), exigeant qu’ils mettent en place un point de contact unique pour communiquer avec les autorités de surveillance du marché sur les questions de cybersécurité.
À leur tour, les autorités de surveillance du marché pourraient ordonner aux places de marché en ligne de retirer des produits, d’en désactiver l’accès ou de présenter des avertissements explicites sur les offres d’appareils connectés qui présentent un risque important pour la cybersécurité.
Ces ordonnances doivent respecter les conditions énoncées dans le règlement sur les services numériques (Digital Services Act, DSA). Dès réception de ces ordonnances, le marché en ligne doit prendre des mesures sans délai excessif et au plus tard dans les deux jours. Ces injonctions peuvent également viser toutes les offres identiques.
Les marchés en ligne sont tenus de suspendre temporairement les fournisseurs qui enfreignent le règlement de manière répétée.
Champ d’application
La question de savoir dans quelle mesure le règlement devrait couvrir les logiciels libres est considérée comme nécessitant des discussions plus approfondies au niveau politique.
Dans son projet de rapport, M. Danti a proposé d’exclure du champ d’application les pièces détachées destinées exclusivement au processus de réparation. Le texte précise désormais que le fabricant du produit d’origine doit fournir ces pièces détachées pour bénéficier de cette exception.
Le compromis supprime également une exception pour les produits développés pour le secteur de la défense.
Produits critiques et hautement critiques
La législation sur la cyberrésilience comprend une liste de produits critiques pour lesquels les fabricants doivent se soumettre à des audits externes afin de démontrer leur conformité.
La précédente série d’amendements prévoyait que la Commission ne pouvait pas modifier cette liste avant l’expiration d’un délai de deux ans à compter de l’entrée en vigueur du règlement, afin de garantir la clarté juridique et la responsabilité. Le nouveau compromis va plus loin et exige un délai de deux ans pour chaque modification ultérieure.
De même, le projet de législation sur la cybersécurité prévoit que la Commission européenne pourrait désigner des catégories de produits comme hautement critiques et exiger des certificats délivrés en vertu du règlement sur la cybersécurité (Cybersecurity Act). Mais le texte stipule que l’exigence de certification ne s’appliquerait qu’après un an.
Le dernier texte du Parlement prévoit que les catégories de produits devront atteindre le niveau d’assurance le plus élevé dans le cadre des systèmes de certification. En revanche, un niveau d’assurance « substantiel » suffirait pour les produits critiques.
Durée de vie prévue du produit
Nicola Danti a supprimé le principe selon lequel les fabricants doivent garantir des mises à jour de sécurité pendant au moins cinq ans, laissant cette décision aux fabricants, conformément aux attentes raisonnables des consommateurs. Toutefois, l’adjectif « raisonnable » a finalement été supprimé.
« Le fabricant peut assurer la gestion des vulnérabilités, y compris les mises à jour de sécurité, pendant une période plus longue que la durée de vie prévue du produit », précise le texte, ajoutant que, le cas échéant, les consommateurs devraient être informés de la période de gestion des vulnérabilités avant l’achat.
Obligation de notification
La législation sur la cyberrésilience exige des fabricants qu’ils signalent à l’Agence de l’Union européenne pour la cybersécurité (ENISA) tout incident et toute vulnérabilité activement exploitée. Le texte précise que l’ENISA ou l’équipe d’intervention en cas d’urgence informatique concernée peut demander un rapport intermédiaire.
En outre, il est demandé à l’ENISA d’établir un point d’entrée unique pour les obligations de notification au titre du nouveau règlement sur la cybersécurité et d’autres textes législatifs de l’UE, dans la mesure du possible.
Une nouvelle formulation impose aux fabricants, si nécessaire et sur la base d’une analyse des risques, d’informer en temps utile les distributeurs et les utilisateurs finaux de la non-conformité à l’exigence de cybersécurité et, le cas échéant, des mesures d’atténuation des risques qu’ils peuvent prendre.
Fournisseurs à haut risque
La précédente série d’amendements de compromis a introduit le principe selon lequel les autorités de surveillance du marché doivent prendre en compte les facteurs de risque non techniques. Ces ajouts sont maintenant marqués comme nécessitant une discussion politique plus approfondie.
Dans le même temps, le rapporteur propose de déplacer dans le préambule du texte une référence selon laquelle les autorités de surveillance du marché devraient prendre en compte la détection de portes dérobées ou d’autres vulnérabilités exploitables lorsqu’elles mènent des actions coordonnées, appelées « balayages ».
Groupe d’experts
La composition du groupe d’experts sur la cyberrésilience a été modifiée pour inclure des représentants des organismes européens de normalisation, tandis que « si nécessaire, des représentants d’autres agences de l’UE peuvent être invités ».
En outre, la Commission doit consulter les groupes lors de l’élaboration du droit dérivé. Lors des enquêtes, le groupe peut émettre des avis non contraignants.
Affectation des recettes et exigences essentielles
Dans son projet de rapport, M. Danti proposait d’affecter les amendes résultant de la législation sur la cyberrésilience au financement de projets de cybersécurité dans le cadre du programme pour une Europe numérique.
La référence au programme de l’UE a été supprimée et les États membres ont bénéficié d’une plus grande flexibilité pour financer des projets visant à accroître les cybercompétences, à renforcer les capacités des PME, à améliorer la sensibilisation aux cybermenaces ou à prévenir le cybervol de la propriété intellectuelle.
En outre, la possibilité pour les utilisateurs de retirer et d’effacer définitivement leurs données en toute sécurité a été incluse dans la liste des exigences essentielles.
[Édité par Anne-Sophie Gayet]
