Le Conseil de l’UE propose un premier compromis sur la loi sur la cyberrésilience
La présidence tchèque du Conseil de l’UE a fait circuler le premier compromis sur la loi sur la cyberrésilience, daté du 18 novembre et obtenu par EURACTIV, en apportant d’importantes modifications au champ d’application de la proposition ainsi qu’à la clause de libre circulation.
La présidence tchèque du Conseil de l’UE a fait circuler le premier compromis sur la loi sur la cyberrésilience (Cyber Resilience Act), daté du 18 novembre et obtenu par EURACTIV, en apportant d’importantes modifications au champ d’application de la proposition ainsi qu’à la clause de libre circulation.
La loi sur la cyberrésilience est une législation horizontale destinée à introduire des exigences fondamentales en matière de cybersécurité pour les appareils connectés et leurs services connexes. Depuis la publication de la proposition en septembre, les représentants nationaux au Conseil de l’UE ont entamé des discussions préliminaires.
Le nouveau texte sera discuté au sein du groupe horizontal « Questions liées au cyberespace » (Cyber), une instance préparatoire du Conseil de l’UE, mercredi (23 novembre). À l’issue de cette discussion préliminaire, les États membres seront invités à fournir des commentaires écrits.
Sécurité nationale
La présidence a ajouté que le règlement ne devrait pas empêcher les États membres d’imposer des restrictions nationales aux produits comportant des éléments numériques pour des raisons de sécurité nationale, y compris en les interdisant sur leurs marchés.
« Le présent règlement ne porte pas atteinte aux responsabilités des États membres en matière de sauvegarde de la sécurité nationale ni à leur pouvoir de sauvegarder d’autres fonctions essentielles de l’État, notamment la garantie de l’intégrité territoriale de l’État et le maintien de l’ordre public », poursuit le document.
En outre, les produits connectés développés exclusivement pour la défense ont également été exclus du champ d’application du règlement. Cette exclusion risque de créer une certaine incertitude concernant les technologies à double usage, qui peuvent être utilisées à la fois dans les sphères militaire et civile.
Le compromis limite également les obligations de déclaration des informations dont la divulgation pourrait aller à l’encontre des intérêts de sécurité nationale, de sécurité publique ou de défense d’un pays de l’UE.
Par ailleurs, le compromis indique que la loi sur la cyberrésilience ne devrait pas empêcher les États membres d’évaluer la conformité des produits utilisés dans le domaine militaire ou de la défense, à des fins de sécurité nationale ou de traitement d’informations classifiées.
Logiciels
Selon une version préliminaire du rapport d’étape, datée du 18 novembre et également consultée par EURACTIV, une partie essentielle des discussions au Conseil s’est concentrée sur la question de savoir dans quelle mesure le « logiciel en tant que service » (« Software-as-a-Service ») est couvert par le règlement.
La question s’annonçait sensible dès le départ. Avant même que le projet ne soit publié, le Danemark, l’Allemagne et les Pays-Bas ont publié un document officieux appelant à étendre le champ d’application aux logiciels en tant que service.
Les Tchèques ont ainsi proposé d’inclure le paragraphe suivant dans la définition de logiciel : « le code informatique comprend une séquence ou un ensemble d’instructions décrites dans un langage de programmation, y compris un code machine ou binaire, destiné à être exécuté par un autre logiciel ou par du matériel, afin de traiter, stocker ou transmettre des données numériques ».
Législation sectorielle
Les produits couverts par la directive européenne harmonisant les systèmes d’information fluviale sur les voies navigables intérieures ont été exclus du champ d’application. De manière générale, les produits couverts par une législation sectorielle imposant un niveau de protection identique ou supérieur peuvent être exclus des exigences du règlement.
Le texte original autorisait la circulation de logiciels inachevés et non conformes à condition qu’ils ne soient mis à disposition qu’à des fins expérimentales. Les États membres souhaitent toutefois préciser que cette disposition ne s’applique pas aux composants de sécurité couverts par la législation européenne harmonisée.
Autres éléments de discussion
« Les États membres ont indiqué que la délimitation de ce que sont les produits critiques méritera une discussion approfondie. Les États membres ont également souligné la nécessité de clarifier l’interaction avec d’autres législations pertinentes, telles que la directive NIS 2 [sécurité des réseaux et des systèmes d’information] ou la loi sur la cybersécurité », peut-on lire dans le rapport d’étape.
Les États membres de l’UE ont également appelé à clarifier certains des termes utilisés dans la proposition et à évaluer de près la charge que le règlement ferait peser sur les PME et les start-up qui développent et fabriquent ces produits.
Certains gouvernements européens souhaitent également examiner de près la proposition visant à limiter la conformité aux exigences du règlement à la durée de vie prévue du produit ou à cinq ans à compter de sa mise sur le marché européen — la période la plus courte étant retenue.
Le rôle et les tâches prévus pour l’Agence de l’Union européenne pour la cybersécurité (ENISA) sont également présentés comme nécessitant des discussions plus approfondies.
[Édité par Anne-Sophie Gayet]
