Les négociations sur loi de l’UE sur la cybersécurité pour les appareils connectés progressent
Lors des négociations interinstitutionnelles sur le règlement sur la cyberrésilience (Cyber Resilience Act), les co-législateurs ont établi le cadre d’un accord politique attendu dans le courant du mois. Toutefois, certaines questions restent en suspens.
Lors des négociations interinstitutionnelles sur le règlement sur la cyberrésilience (Cyber Resilience Act), les co-législateurs ont établi le cadre d’un accord politique attendu dans le courant du mois. Toutefois, la question controversée concernant l’entité qui devrait recevoir les signalements de failles de sécurité n’a pas encore été entièrement réglée.
Le règlement sur la cyberrésilience est un projet de loi qui introduit des exigences de sécurité pour les appareils connectés. Le dossier se trouve actuellement à la dernière étape du processus législatif, les trilogues entre le Parlement européen, le Conseil de l’UE et la Commission européenne.
Mercredi (8 novembre), lors du deuxième trilogue politique, la disposition concernant la période de maintien en conditions opérationnelle au cours de laquelle les correctifs de sécurité devront être garantis a été approuvé. Les co-législateurs ont également fourni des orientations techniques pour œuvrer à un compromis concernant deux points de friction du projet de loi : les obligations de déclaration et les produits critiques.
Obligations de déclaration
Le projet de loi sur la cybersécurité impose aux fabricants de signaler les incidents de sécurité et les failles activement exploitées.
Cet aspect s’est avéré le plus controversé des négociations, car la Commission européenne et le Parlement voulaient que ces signalements soient envoyés à l’Agence de l’UE pour la cybersécurité (ENISA), tandis que les États membres souhaitaient la confier à leurs centres nationaux de réponse aux incidents de sécurité informatique (CSIRT).
Bien que chaque co-législateur reste ferme sur sa position, un terrain d’entente possible est actuellement à l’étude : les CSIRT continueraient à établir les rapports, mais l’ENISA jouerait un rôle plus important. Alors que les eurodéputés semblent ouverts à une plateforme unique de signalement, le point d’achoppement dans les négociations reste l’entité qui devrait être le premier destinataire du signalement.
La Commission a notamment suggéré que le rapport de signalement soit transmis à la fois à l’agence de l’UE et au CSIRT national. Cependant, cette solution élargirait considérablement la surface d’attaque pour les informations extrêmement sensibles.
Entre-temps, dans un texte de compromis diffusé juste avant le trilogue, la définition de « faille activement exploitée » a été modifiée pour ne couvrir que les failles qui ont été exploitées avec succès, excluant ainsi les tentatives infructueuses.
En outre, le texte précise que seuls les incidents ayant un impact grave doivent être signalés. Les définitions des « incidents » et des « incidents évités de justesse » ont été alignées sur la directive NIS2 relative à des mesures visant à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Les eurodéputés ont également introduit l’idée que l’ENISA devrait inclure la faille détectée dans la base de données européenne établie dans le cadre de la directive NIS2 une fois qu’un correctif de sécurité est déployé pour celle-ci. Il est important de noter que le texte précise désormais que cela ne concerne que les vulnérabilités connues du public.
Catégories « critiques »
Le projet de loi sur la cyberrésilience prévoit que la plupart des fabricants de produits peuvent évaluer eux-mêmes s’ils répondent aux exigences de sécurité. Cependant, les catégories de produits critiques doivent faire l’objet de procédures d’évaluation de la conformité avec des auditeurs certifiés.
Des divergences subsistent quant à l’utilisation du terme « critique » pour ces catégories de produits. Dans le texte anglais, la Commission a proposé d’utiliser plutôt le terme « impactful » (« lourdes de conséquences ») qui figure également dans la loi sur l’IA, mais la discussion doit se poursuivre au niveau technique.
Une question qui doit encore être résolue est de savoir quel type de législation secondaire est nécessaire : les actes d’exécution ou les actes délégués. Ce choix aura une incidence sur la capacité de la Commission à mettre à jour la liste des produits critiques une fois la législation adoptée.
Pour rappel, après l’adoption d’un acte législatif, des mises à jour peuvent être nécessaires afin de tenir compte de l’évolution d’un secteur ou pour garantir une mise en œuvre adéquate de la législation. À cette fin, le Parlement et le Conseil peuvent habiliter la Commission à adopter, respectivement, des actes délégués ou des actes d’exécution.
Dans le cas d’un acte d’exécution, la responsabilité première de la mise en œuvre de la législation européenne incombe aux États membres et, dans certains domaines où des conditions de mise en œuvre uniformes sont nécessaires, la Commission peut adopter des actes d’exécution. Dans le cas d’un acte délégué en revanche, la Commission peut les adopter sur la base d’une délégation octroyée dans le texte de l’acte législatif.
Dans le dernier compromis, le Conseil a introduit certains critères filtrant les produits qui peuvent entrer dans les catégories énumérées pour être considérés comme critiques.
Lors du trilogue, les co-législateurs ont tenté d’affiner ces critères : le produit doit soit avoir une fonction critique pour la cybersécurité d’autres produits, soit comporter un risque important de perturbation de nombreux autres produits ou de la santé et de la sécurité de personnes vulnérables.
Le compromis indique également que seuls les appareils connectés dotés d’une fonctionnalité « essentielle » entrant dans l’une des catégories spécifiques énumérées dans l’annexe seront considérés comme des produits critiques.
En outre, si un produit doté d’une fonctionnalité essentielle relevant des catégories critiques est intégré à un autre produit, ce dernier n’est pas automatiquement désigné comme critique.
La Commission serait habilitée à modifier ces catégories spéciales de produits, mais devrait garantir « une période de transition adéquate », en particulier pour les nouvelles catégories. L’exécutif européen serait alors tenu de spécifier ces catégories de produits dans les 16 mois suivant l’entrée en vigueur du règlement.
Suite à une évaluation d’impact, la Commission pourrait également demander que les produits hautement critiques obtiennent une certification de cybersécurité existante. Les eurodéputés ont supprimé la précision selon laquelle l’application de cette obligation prendrait un an.
La liste des produits critiques reste en suspens, les États membres de l’UE tentant de la raccourcir et le Parlement européen de l’étendre.
Maintien en conditions opérationnelles
Le Parlement a obtenu une période de maintien en conditions opérationnelles minimale de cinq ans, pendant laquelle les fabricants devraient assurer les mises à jour de sécurité et le traitement des failles, à moins que le produit n’ait une durée de vie plus courte.
De plus, par rapport à une version précédente du texte, la version la plus récente précise que les « éléments permettant de déterminer la période de maintien sont examinés de manière à garantir la proportionnalité ».
La Commission sera habilitée à imposer une période de maintien minimale pour certaines catégories de produits par le biais de la législation secondaire lorsqu’il est prouvé que les périodes de soutien sont systématiquement inadéquates.
Prochaines étapes
Selon une source au fait du dossier, après le trilogue de mercredi, il est plus que probable qu’un accord final soit conclu lors de la prochaine réunion politique du 30 novembre, bien qu’un travail intense doive avoir lieu au niveau technique d’ici là.
[Édité par Anne-Sophie Gayet]
