La Commission présente sa loi sur la cyberrésilience ciblant les produits de l’internet des objets
La Commission européenne a présenté jeudi (15 septembre) sa proposition de loi sur la cyber-résilience, une législation visant à remédier aux vulnérabilités des appareils connectés en adoptant une approche de sécurité dès la conception.
La Commission européenne a présenté jeudi (15 septembre) sa proposition de loi sur la cyber-résilience, une législation visant à remédier aux vulnérabilités des appareils connectés en adoptant une approche de sécurité dès la conception.
Faisant suite au nouveau cadre législatif, la loi sur la cyber-résilience (Cyber Resilience Act, CRA) introduira des exigences de cybersécurité pour les « produits comportant des éléments numériques » qui seront introduits sur le marché intérieur de l’UE. Le matériel et les logiciels sont concernés par cette dernière, puisque lorsque tout est connecté, tout est vulnérable.
Outre les exigences relatives aux propriétés du produit, aux vulnérabilités et au traitement, il existe également des spécifications en matière de transparence et d’information des utilisateurs, car le CRA a pour objectif de renforcer la confiance des consommateurs dans les produits.
« Il s’agit d’un résultat majeur dans notre programme d’union de la sécurité. Car elle comble une lacune réelle et importante de notre cadre juridique », a déclaré le vice-président de la Commission, Margaritis Schinas, lors d’une conférence de presse.
Cette législation passera de la sécurité des services à celle des produits « afin de protéger à la fois les consommateurs et les entreprises des produits dont les caractéristiques de sécurité ne sont pas adéquates », a ajouté M. Schinas, car les fabricants devront s’assurer qu’ils mettent sur le marché des produits sûrs sur le plan numérique.
Les données de l’Agence de l’Union européenne pour la cybersécurité (ENISA) montrent qu’en 2021, les ransomwares dans le monde ont causé des dommages à hauteur d’environ 20 milliards d’euros.
En outre, le fait qu’en 2021 une attaque de type ransomware s’est produite toutes les 11 secondes environ dans une entreprise témoigne de la nécessité de remédier à ce problème.
L’objectif de ce dossier législatif n’est pas seulement de réglementer le marché intérieur mais de devenir un « point de référence international », a souligné M. Schinas.
Un dossier complémentaire
Le CRA n’est pas le premier texte législatif de l’UE à traiter de la cybersécurité. Il a plutôt pour but de compléter les précédents textes tels que la législation sur l’intelligence artificielle (AI Act), le règlement sur la cybersécurité (Cybersecurity Act) et la directive sur la sécurité des réseaux et des systèmes d’information 2 (SRI2).
Les logiciels en tant que service (SaaS), couverts par la directive SRI2, ne seront pas visés, pas plus que les logiciels libres et open-source s’ils ne sont pas développés ou fournis à des fins commerciales.
Un document non officiel du Danemark, de l’Allemagne et des Pays-Bas, consulté par EURACTIV, propose que le SaaS soit également inclus et que le fait que les produits soient proposés pour une utilisation grand public ou professionnelle n’ait pas d’importance.
Le document officieux, daté de mardi (13 septembre), préconise des exigences plus strictes en matière de cybersécurité pour tous les produits, processus et services numériques, en fonction de différents niveaux d’assurance, qu’ils soient destinés aux consommateurs ou à l’industrie.
Les autres produits qui seront exclus du champ d’application sont les dispositifs médicaux ou les véhicules à moteur, car une législation sectorielle spécifique existe déjà. Pour les trois pays concernés, la nouvelle législation sur la cybersécurité serait une législation horizontale sur laquelle s’appuierait la législation sectorielle comme lex specialis.
Cycle de vie et mise en œuvre
Les fabricants doivent s’assurer que les vulnérabilités sont traitées efficacement pendant la durée de vie prévue du produit ou pendant cinq ans après sa mise sur le marché, la période la plus courte étant retenue.
Selon Iva Tasheva, experte en cybersécurité au sein du cabinet de conseil CyEn, il pourrait être difficile de fixer une période unique pour tous, compte tenu du vaste champ d’application du règlement. Une solution possible pourrait être de choisir une approche basée sur le risque pour l’engagement de la période de soutien, a suggéré Mme Tasheva.
Une fois le règlement adopté, les opérateurs économiques et les États membres auront deux ans pour se conformer aux nouvelles exigences. L’obligation de signaler les vulnérabilités et les failles activement exploitées s’appliquera déjà après 12 mois.
Période de signalement
Les fabricants doivent informer l’ENISA dans les 24 heures s’ils ont connaissance d’une vulnérabilité activement exploitée dans le produit ou d’un incident ayant un impact sur la sécurité.
Cela peut sembler familier, car la directive SRI2 exige également la notification des incidents dans les 24 heures. Cependant, plus tôt cette année, la cheffe de l’ENISA a déclaré que le système de notification était trop administratif et « ne fonctionnait pas ».
« Cela reste un défi, surtout avec le large champ d’application du CRA, où tout produit qui est activement utilisé, même sans risque majeur lié à celui-ci, devrait être notifié », a déclaré Mme Tasheva.
Ce signalement pourrait ouvrir la porte à un sur-signalement et créer un risque de non-conformité pour les fabricants, notamment parce que l’obligation de signaler les incidents serait effective après 12 mois déjà, a ajouté Mme Tasheva.
Trop, trop tôt ?
Bien que la proposition constitue une avancée significative selon DIGITALEUROPE, une association industrielle de technologie numérique basée à Bruxelles, ils craignent qu’elle ne couvre trop de points, et trop tôt.
« Ce sont les produits tangibles qui souffrent le plus du chevauchement et de l’incohérence de la législation, et c’est là que la plupart des failles de protection peuvent être comblées. Inclure tous les logiciels, en revanche, serait prématuré et risquerait de ne pas apporter les avantages escomptés », a déclaré Cecilia Bonefeld-Dahl, directrice générale de DIGITALEUROPE, à EURACTIV.
L’accent devrait être mis sur l’obtention de résultats pratiques à une époque où l’industrie et les gouvernements luttent avec des ressources cybernétiques limitées, selon Mme Bonefeld-Dahl.
Deux classes de produits
La Fédération des industries allemandes (BDI) a salué le fait que la Commission fasse une distinction entre les catégories de produits et leurs exigences en matière de sécurité. Iris Plöger, membre du conseil d’administration de la BDI, a déclaré que les infrastructures critiques et les produits de tous les jours, tels qu’une télévision intelligente, ne devraient pas être mis dans la même catégorie.
Si tous les produits comportant des éléments numériques relevant de l’ARC doivent porter le marquage CE, la différence entre les différents niveaux d’assurance des produits critiques réside dans la procédure d’évaluation de la conformité.
Pour les produits critiques de classe I, tels que les systèmes de gestion de réseau, le fabricant peut effectuer l’évaluation de la conformité sous sa propre responsabilité. Pour les produits classés comme critiques appartenant à la classe II, tels que les infrastructures à clé publique et les émetteurs de certificats numériques, une tierce partie doit être impliquée dans l’évaluation de conformité.
[Luca Bertuzzi a contribué à la rédaction de cet article.]
