Législation sur la cyberrésilience : le Conseil de l’UE restreint les catégories de produits spéciaux
La présidence espagnole du Conseil de l’UE a diffusé une version semi-finale du projet de législation sur la cybersécurité, qui prévoit une réduction importante du nombre de produits soumis à un régime particulier.
La présidence espagnole du Conseil de l’UE a diffusé une version semi-finale du projet de législation sur la cybersécurité, qui prévoit une réduction importante du nombre de produits soumis à un régime particulier.
La législation sur la cyberrésilience (Cyber Resilience Act) est une proposition législative introduisant des exigences de sécurité pour les appareils connectés. La présidence espagnole du Conseil a fait circuler une version semi-finale du texte, qui devrait être adopté au niveau des ambassadeurs le 19 juillet.
Le texte, consulté par EURACTIV, a été discuté au sein du groupe horizontal « Questions cyber », un organe technique du Conseil, ce lundi (10 juillet). Les représentants nationaux avaient jusqu’à vendredi dernier (7 juillet) pour soumettre des commentaires écrits avant une dernière mise au point.
Catégories de produits spéciaux
La législation sur la cybersécurité prévoit que les fabricants de produits devront s’autoévaluer pour s’assurer qu’ils respectent les exigences du règlement, à l’exception de certaines catégories de produits qui doivent faire l’objet d’un contrôle externe par des auditeurs agréés appelés « organismes notifiés ».
Ces catégories spéciales sont les produits des classes I et II, pour lesquels les critères de sélection ont été considérablement modifiés pour couvrir les catégories de produits qui remplissent principalement des fonctions essentielles à la cybersécurité d’autres produits ou qui comportent un risque important d’effets néfastes pour de nombreux autres produits s’ils sont manipulés.
Les produits de la classe I ne devront remplir qu’un seul de ces critères, tandis que les produits de la classe II devront remplir les deux.
La liste des produits de la classe I a été considérablement réduite et ne comprend plus que les logiciels antivirus, les gestionnaires de démarrage à usage général, les logiciels de délivrance de certificats numériques, les systèmes d’exploitation, les interfaces de réseau, les routeurs internet, les microprocesseurs et les microcontrôleurs.
De même, la classe II ne comprend plus que les réseaux privés virtuels (VPN), les systèmes d’exécution qui prennent en charge l’exécution virtualisée des systèmes d’exploitation et les pare-feu.
Une autre catégorie particulière concerne les produits hautement critiques, pour lesquels la Commission sera habilitée à exiger une certification européenne obligatoire en matière de cybersécurité. Toutefois, le texte du Conseil limite considérablement le pouvoir discrétionnaire de la Commission à cet égard.
La Commission devra d’abord réaliser une évaluation de l’impact de la certification obligatoire sur le marché intérieur, ainsi que sur les capacités de mise en œuvre des États membres.
En outre, la Commission devra spécifier le niveau d’assurance requis, soit « substantiel » ou « élevé », qui devrait être proportionnel au niveau de risque du produit.
La liste des produits hautement critiques contient désormais des dispositifs matériels dotés de boîtiers de sécurité, des systèmes de comptage intelligents à des fins de sécurité avancée, y compris le cryptotraitement sécurisé et les cartes à puce.
Obligations de notification
Le projet de loi oblige les fabricants de produits à signaler les incidents de cybersécurité et les vulnérabilités activement exploitées, c’est-à-dire les points d’entrée pour les pirates informatiques qui n’ont pas encore été corrigés. Les pays de l’UE ont transféré ces informations sensibles des mains de l’Agence de l’Union européenne pour la cybersécurité (ENISA), à celles des centres nationaux de réponse aux incidents de sécurité informatique (CSIRT).
Dans une version précédente du texte, les fabricants devaient informer le CSIRT du pays dans lequel ils prenaient principalement leurs décisions en matière de cybersécurité, et le centre devait alors soumettre la notification via une plateforme paneuropéenne gérée par l’ENISA.
Le Conseil a supprimé l’accès direct des autorités de surveillance du marché à la plateforme, car les CSIRT les informeraient.
Les CSIRT devront donner des orientations sur l’organisation de la sécurité de la plateforme, notamment en ce qui concerne les points de terminaison de la notification, les dispositions en matière de sécurité, le type d’informations à partager et les aspects liés au stockage des données.
Parallèlement, le CSIRT disposera d’une certaine marge de manœuvre pour retarder la diffusion de la notification « lorsque cela peut être justifié par des raisons liées à la cybersécurité et pour une période de temps strictement nécessaire, en particulier lorsque les fabricants démontrent qu’un tel retard est justifié ».
L’une des raisons de ce retard pourrait être de suivre une procédure coordonnée de divulgation des vulnérabilités dans le cadre de la directive révisée sur la sécurité des réseaux et des systèmes d’information (SRI2).
Le réseau des CSIRT doit élaborer des lignes directrices sur les motifs liés à la cybersécurité qui justifieraient de tels retards, par exemple si le fabricant doit déployer une mesure d’atténuation sous peu ou si la diffusion immédiate l’emporte sur les avantages.
Durée de vie du produit
Le texte du Conseil exige des fabricants qu’ils déterminent la durée de vie prévue du produit sur la base d’un ensemble d’éléments tels que la législation européenne pertinente, la nature du produit, y compris les conditions de licence, la disponibilité prévue de l’environnement d’exploitation, la durée de vie de produits présentant des fonctionnalités similaires, les lignes directrices des autorités et la durée de vie des composants intégrés.
Les autorités de surveillance du marché sont habilitées à demander aux fabricants de justifier le calcul de la durée de vie prévue du produit.
Charge administrative et champ d’application
Le texte du Conseil charge la Commission d’établir un formulaire de document technique simplifié pour les petites et microentreprises. Les mesures nationales visant à soutenir ces entreprises ont été rendues facultatives plutôt qu’obligatoires.
Dans le même temps, la formulation imposant aux organismes notifiés de tenir compte des intérêts spécifiques des PME lors de la fixation des redevances d’évaluation de la conformité a été supprimée au profit d’une mention du financement de l’UE visant à alléger les coûts de mise en conformité pour les micro et petites entreprises.
Enfin, un amendement précise que le règlement « ne s’applique pas aux composants qui sont exclusivement fabriqués comme pièces de rechange pour remplacer des composants identiques et qui sont fournis par le fabricant du produit d’origine avec des éléments numériques ».
[Édité par Anne-Sophie Gayet]
