Cyberrésilience : les eurodéputés vont adopter des amendements sur la conformité aux nouvelles règles

En amont d’un vote en commission du Marché intérieur du Parlement européen sur la loi sur la cyberrésilience (Cyber Resilence Act) ce jeudi (29 mai), EURACTIV fait le point sur les principaux changements que les eurodéputés souhaitent introduire concernant l’évaluation de la conformité.

La commission parlementaire du Marché intérieur et de la Protection des consommateurs (IMCO) doit adopter son avis sur la législation sur la cyberrésilience, un projet de loi de l’UE visant à introduire des exigences en matière de cybersécurité pour les appareils connectés.

La commission IMCO n’a que des compétences limitées sur le dossier, exclusives pour la sécurité des produits et les machines industrielles, mais partagées lorsqu’il s’agit de la circulation des biens à travers l’UE, de l’interaction avec la loi sur l’intelligence artificielle (AI Act), du marquage de conformité (CE) et du processus de conformité.

EURACTIV a obtenu la version finale du rapport avant le vote de jeudi. Entre-temps, au sein de la commission de l’Industrie, de la Recherche et de l’Énergie (ITRE), le dossier devrait être adopté en juillet.

Le seul changement significatif introduit dans la partie sur les compétences exclusives concerne le fait que l’équivalence de la conformité pour les exigences de la loi sur la cybersécurité avec celles du règlement de l’UE sur les machines s’appliquerait non seulement aux produits complets mais aussi aux produits incomplets avec des éléments numériques.

Une référence introduite par le rapporteur pour avis au fait que le nouveau règlement sur la cybersécurité abrogerait les exigences énoncées dans la directive relative aux équipements hertziens a été supprimée dans la version finale.

De même, une référence aux produits partiellement complets a été introduite dans la disposition interdisant aux États membres d’empêcher la circulation de produits conformes aux exigences de la législation.

Par ailleurs, les conditions d’autorisation des démonstrations d’appareils connectés lors des foires commerciales ont été rendues plus contraignantes.

La possibilité pour les États membres d’introduire des mesures supplémentaires pour les produits utilisés à des fins militaires, de défense et de sécurité nationale a également été ajoutée.

Pour les produits connectés utilisant l’intelligence artificielle, la procédure de conformité de la loi sur la cyberrésilience a été alignée sur les exigences de cybersécurité de la loi sur l’IA afin d’éviter les redondances, notamment en supprimant une dérogation pour les produits critiques qui sont également considérés comme des systèmes d’intelligence artificielle à haut risque.

Les dispositions couvrant le marquage CE, qui indique la conformité d’un produit aux règles de l’UE, précisent que le marquage ne devrait pas s’appliquer aux produits partiellement complets et que la Commission devrait fournir des principes directeurs aux opérateurs économiques sur la limitation de la charge administrative.

En ce qui concerne les organismes notifiés, c’est-à-dire les auditeurs certifiés chargés de l’évaluation par un tiers, de nouvelles obligations imposent de préserver la confidentialité des informations commerciales et de réduire au minimum la bureaucratie et les frais, en particulier pour les PME.

En outre, « les États membres et la Commission mettent en place des mesures appropriées pour assurer une disponibilité suffisante de professionnels qualifiés, afin de minimiser les goulets d’étranglement dans les activités des organismes d’évaluation de la conformité », indique le texte.

[Édité par Anne-Sophie Gayet]