Cybersécurité : le Parlement européen entame les négociations sur les règles pour les appareils connectés
Les obligations des fabricants, la notification, la conformité et l’application sont les principaux domaines du premier compromis sur la nouvelle loi sur la cybersécurité que les eurodéputés examineront la semaine prochaine.
Les obligations des fabricants, la notification, la conformité et l’application sont les principaux domaines du premier compromis sur la nouvelle loi sur la cybersécurité que les eurodéputés examineront la semaine prochaine.
La législation sur la cyberrésilience (Cyber Resilience Act) est une proposition législative introduisant des exigences de base en matière de cybersécurité pour les produits connectés. Le rapporteur du Parlement européen sur le dossier, Nicola Danti (Renew Europe), a fait circuler le premier amendement de compromis la semaine dernière.
Les groupes politiques ont jusqu’à lundi (22 mai) pour soumettre leurs commentaires écrits avant la première réunion technique de mercredi prochain (24 mai). Le texte, consulté par EURACTIV, s’appuie sur le projet de rapport de M. Danti en introduisant des amendements à des parties cruciales du dossier.
Champ d’application
Le champ d’application du règlement a été élargi pour couvrir tout produit avec des éléments numériques qui peuvent avoir une connexion de données directe ou indirecte à un appareil ou à un réseau.
Dans le même temps, les dispositifs connectés développés exclusivement pour le secteur de la défense ont été exclus, de même que ceux destinés à la sécurité nationale et à des fins militaires.
Le texte du préambule, qui couvre des aspects essentiels de la proposition, tels que la manière de traiter les logiciels ouverts, n’a pas été inclus dans le premier lot de compromis, car EURACTIV croit savoir que le rapporteur n’a toujours pas pris de décision sur la question.
Obligations pour les fabricants
Lorsqu’ils les mettent un produit sur le marché de l’UE, les fabricants doivent déterminer les exigences essentielles pertinentes pour leurs produits en fonction d’une évaluation des risques, en justifiant leur choix dans le document technique.
Les fabricants de produits devront fournir les mises à jour de sécurité et de fonctionnalité nécessaires, qui devront être déployées automatiquement par défaut, à moins que les utilisateurs ne choisissent de les désactiver, pendant toute la durée de vie du produit.
Les mises à jour de sécurité visant à atténuer les vulnérabilités ont été exclues de la définition de la modification substantielle.
Les fabricants doivent conserver la documentation technique attestant de la conformité à la loi sur la cybersécurité pendant dix ans ou toute la durée de vie prévue du produit, si celle-ci est plus longue.
Obligations de notification
Selon la proposition législative, les fabricants seraient tenus de notifier l’ENISA, l’agence de l’UE chargée de la cybersécurité, des incidents de cybersécurité et des vulnérabilités activement exploitées. Ces dernières étant des informations plus sensibles, leur traitement a été limité au besoin d’en connaître.
Un amendement de Bart Groothuis (Renew Europe), rapporteur pour la directive révisée sur la sécurité des réseaux et des systèmes d’information (SRI2), a aligné les exigences de notification entre les deux législations et a garanti qu’« une entité ne peut être condamnée à une amende qu’une seule fois en cas de non-respect d’exigences qui se chevauchent ».
En outre, un paragraphe qui donnerait à l’ENISA ou aux centres nationaux de réponse aux incidents de sécurité informatique (CSIRT) la capacité de divulguer un incident important dans l’intérêt du public a été ajouté.
En cas d’incident significatif, les fabricants devront notifier les utilisateurs concernés, et le cas échéant tous les utilisateurs, et leur indiquer les mesures d’atténuation des risques et les mesures correctives qu’ils peuvent mettre en œuvre.
En outre, les fabricants devront établir un point de contact unique pour permettre aux utilisateurs de communiquer avec eux rapidement et directement.
Obligations supplémentaires
Une nouvelle obligation a été introduite pour les importateurs et les distributeurs de produits critiques destinés à des entités jugées essentielles au fonctionnement de la société dans le cadre de la directive SRI2, afin qu’ils prennent également en compte les facteurs de risque non techniques.
Il s’agit ici des fournisseurs à haut risque, une catégorie utilisée pour restreindre le recours à un fournisseur considéré comme étant sous l’influence de puissances hostiles, comme ce fut le cas pour le géant chinois des télécommunications Huawei.
Démontrer la conformité
Pour démontrer leur conformité au règlement, les fabricants pourront à présent également obtenir une certification européenne en matière de cybersécurité. La conformité sera présumée lorsque les fabricants suivront des normes techniques harmonisées.
Le compromis prévoit que les normes harmonisées, les spécifications communes et les systèmes de certification en matière de cybersécurité doivent être en place depuis six mois avant que la procédure d’évaluation de la conformité ne commence à s’appliquer.
La Commission européenne pourra publier des spécifications communes obligatoires lorsqu’une demande de normalisation n’a pas été acceptée et qu’aucune norme harmonisée ne devrait être mise en place dans un délai raisonnable.
Les fabricants de produits critiques doivent se soumettre à un contrôle externe effectué par des organisations désignées par les États membres pour évaluer la conformité de certains produits avant leur mise sur le marché appelés les « organismes notifiés ». La Commission doit pour sa part veiller à ce qu’un nombre suffisant d’organismes notifiés soit disponible dans l’UE dans les deux ans suivant l’entrée en vigueur du règlement afin d’éviter les goulets d’étranglement.
Mise en œuvre
Les autorités de surveillance du marché pourraient demander à l’ENISA des conseils techniques sur l’application du règlement. En particulier, l’ENISA pourrait être invitée à fournir une évaluation non contraignante pour les produits présentant un risque de cybersécurité important.
Les autorités de surveillance du marché sont également invitées à fournir des données granulaires sur les catégories de produits connectés. La Commission doit analyser ces données afin d’identifier les catégories spécifiques de produits pour lesquels le taux de non-conformité est exceptionnellement élevé.
La prise en compte des facteurs de risque non techniques a également été introduite pour les autorités nationales, et une référence à l’identification d’éventuelles portes dérobées intégrées ou d’autres vulnérabilités exploitées a été ajoutée en ce qui concerne les actions de contrôle coordonnées, appelées « balayages ».
Durée de vie des produits
L’un des principaux changements introduits par M. Danti consistait à laisser les fabricants se faire concurrence pour fixer la durée de vie attendue des produits, pour autant qu’elle corresponde aux attentes raisonnables des consommateurs.
Bien que cette mesure ait été maintenue, le compromis exige des fabricants qu’ils prennent en compte l’usage prévu du produit et les aspects de durabilité.
Produits critiques
Le compromis stipule que « l’intégration d’un composant d’une classe de criticité supérieure ne modifie pas le niveau de criticité du produit dans lequel le composant est intégré ».
La liste des produits critiques a été modifiée pour inclure les plateformes utilisées pour l’authentification, l’autorisation et la comptabilité dans la première classe de produits critiques et les lecteurs biométriques dans la seconde.
Bacs à sable règlementaires
Un nouvel article ajouté à la proposition législative impose la mise en place de bacs à sable règlementaires afin de fournir un environnement contrôlé aux fabricants qui souhaitent tester leurs produits.
[Édité par Anne-Sophie Gayet]
