La présidence suédoise du Conseil de l’UE présente la première révision complète de la législation sur la cyberrésilience
Le Conseil de l’UE s’oriente vers la suppression des produits critiques et la réduction du pouvoir discrétionnaire de la Commission européenne dans la nouvelle législation européenne sur la cyberrésilience.
Le Conseil de l’UE, qui représente les États membres du bloc, s’oriente vers la suppression des produits critiques et la réduction du pouvoir discrétionnaire de la Commission européenne dans la nouvelle législation sur la cyberrésilience (Cyber Resilience Act). C’est ce qu’il ressort d’un nouveau texte de la présidence suédoise consulté par EURACTIV.
Depuis que la présidence suédoise du Conseil de l’UE a repris le dossier en janvier, elle a présenté trois compromis partiels sur la proposition visant à introduire des exigences de sécurité de base pour les produits comportant des éléments numériques.
Les Suédois ont retravaillé l’ensemble du texte pendant les vacances de Pâques, consolidant les changements précédents et en introduisant de nouveaux. Le nouveau compromis, daté du 20 avril, sera examiné par le groupe horizontal « Questions liées au cyberespace » (Cyber) le 26 avril prochain.
Produits critiques
La législation sur la cyberrésilience introduit des obligations horizontales pour tous les appareils connectés. Cependant, alors qu’une auto-évaluation suffira pour la plupart des produits, les produits considérés comme « critiques » devront faire l’objet d’audits externes.
Les produits critiques sont divisés en deux niveaux, selon des critères spécifiques énumérés dans l’annexe du règlement. Deux critères permettent de qualifier les produits critiques.
Le premier critère consiste à déterminer si le produit possède « une fonctionnalité liée à la cybersécurité et, en particulier, s’il exécute principalement des fonctions essentielles à la sécurité, notamment la sécurisation de l’authentification et de l’accès, la prévention et la détection des intrusions, la sécurité des points terminaux ou la protection des réseaux ».
Dans la classe I, les catégories de produits répondant à ce critère ont été modifiées pour supprimer les systèmes de surveillance du trafic réseau, tandis que les technologies portables et les produits connectés destinés à être utilisés par ou pour les enfants, comme les jouets intelligents et les moniteurs pour bébés, ont été ajoutés.
Le deuxième critère consiste à déterminer si le produit remplit une fonction de système central, telle que la gestion de réseau, le contrôle de la configuration, la virtualisation, le traitement des données personnelles ou toute autre fonction susceptible de perturber de nombreux appareils connectés.
Les catégories de produits de la classe I relevant de ce deuxième critère ont été modifiées de manière encore plus significative. Les systèmes d’exploitation, les navigateurs web, les microcontrôleurs, l’automatisation industrielle et les systèmes de contrôle ont tous été supprimés.
Pour la deuxième classe et la classe supérieure, les produits appartenant à des catégories spécifiques doivent répondre aux deux critères pour être admissibles.
Les catégories de produits de la classe II ont été modifiées, supprimant les microprocesseurs, les systèmes d’automatisation industrielle et une vaste catégorie couvrant tout dispositif connecté utilisé par des entités qualifiées d’essentielles en vertu de la directive révisée sur la sécurité des réseaux et des systèmes d’information (SRI 2).
Exigences essentielles
La présidence suédoise du Conseil a ajouté deux exigences essentielles supplémentaires.
Tout d’abord, chaque appareil connecté doit avoir un identifiant de produit unique permettant de l’identifier. Cet identifiant doit être mentionné lors du déploiement des correctifs de sécurité afin que l’applicabilité de la mise à jour puisse être facilement déterminée.
Deuxièmement, le texte exige des fabricants qu’ils donnent aux utilisateurs les moyens de supprimer facilement et en toute sécurité toutes les données et tous les paramètres, y compris ceux permettant l’accès aux réseaux Wi-Fi, du produit afin de s’en débarrasser en toute sécurité.
Le texte prévoit désormais que si une exigence essentielle ne s’applique pas à un produit particulier, peut-être parce qu’elle est incompatible avec sa nature même, le fabricant doit inclure une justification dans l’évaluation des risques de cybersécurité figurant dans la documentation technique.
Cette évaluation des risques doit « comprendre au moins une analyse des risques de cybersécurité sur la base de la fonction prévue et de l’utilisation raisonnablement prévisible, ainsi que des conditions spécifiques d’utilisation ».
Standardisation et certification
La législation sur la cyberrésilience prévoit la publication de normes techniques qui aident les fabricants à déterminer si leur produit connecté est conforme à la règlementation.
L’industrie est à l’origine du processus de standardisation. Toutefois, si la Commission estime que la norme résultante s’éloigne trop de l’intention du règlement ou qu’aucune norme n’est fournie dans le délai fixé, l’exécutif européen peut publier des spécifications communes à la place.
En outre, les retards dans l’élaboration des normes européennes étant de plus en plus fréquents, le Conseil a introduit une formulation mettant en garde la Commission contre la publication de spécifications communes si le retard est dû à des complexités techniques.
Des exigences ont également été ajoutées afin de réduire le pouvoir discrétionnaire de la Commission, notamment en obligeant l’exécutif européen à consulter les représentants nationaux, les experts et les parties prenantes concernées. Par ailleurs, le Conseil de l’UE a introduit la possibilité pour un État membre de contester la spécification commune si elle ne satisfait pas entièrement aux exigences du règlement.
Le pouvoir discrétionnaire de la Commission a également été réduit en ce qui concerne les systèmes de certification de cybersécurité, le nouveau texte imposant que le niveau d’assurance de ceux-ci soit « substantiel » ou « élevé ».
Mises à jour de sécurité
Dans un compromis précédent, le Conseil a introduit le principe selon lequel les paramètres par défaut des produits devraient prévoir le déploiement automatique des mises à jour de sécurité, avec la possibilité pour les utilisateurs de s’y opposer.
Le compromis précise que cette exigence ne s’applique pas aux produits principalement destinés à être intégrés dans des composants d’autres produits ni aux dispositifs pour lesquels les utilisateurs ne s’attendent pas « raisonnablement » à des mises à jour automatiques, comme dans un environnement industriel où la mise à jour pourrait interférer avec les opérations.
Mécanisme de notification
La proposition initiale obligeait les fabricants à notifier à l’agence de l’Union européenne pour la cybersécurité (ENISA), tout incident éventuel ou toute vulnérabilité activement exploitée. Les États membres ont confié cette tâche aux centres nationaux de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team).
Toutefois, le texte précise que le rôle de l’ENISA doit encore faire l’objet de discussions approfondies, tandis que la formulation relative aux vulnérabilités activement exploitées doit être rédigée sur la base de discussions futures, voire d’un atelier ad hoc.
En cas d’incident, les fabricants devront informer les utilisateurs des mesures correctives possibles dans un format standardisé, structuré et facilement exploitable automatiquement par une machine.
Mesures nationales supplémentaires
La nouvelle loi sur la cybersécurité vise à harmoniser les exigences relatives aux dispositifs connectés sur le marché de l’UE.
Le texte indique cependant que les gouvernements nationaux peuvent imposer des exigences de sécurité supplémentaires pour les produits liés aux technologies de l’information et de la communication utilisés par des entités qualifiées d’essentielles ou d’importantes dans le cadre de la directive SRI 2.
[Édité par Anne-Sophie Gayet]
