Législation sur la cyberrésilience : les eurodéputés proches d’un accord pour les appareils connectés
Les principaux groupes politiques du Parlement européen devraient parvenir à une position commune sur la nouvelle règlementation en matière de cybersécurité lors d’une réunion politique ce mercredi.
Les principaux groupes politiques du Parlement européen devraient parvenir à une position commune sur la nouvelle règlementation en matière de cybersécurité lors d’une réunion politique ce mercredi (5 juillet).
La législation sur la cyberrésilience est une proposition législative visant à introduire des exigences en matière de cybersécurité, telles que des correctifs de sécurité obligatoires et le traitement des vulnérabilités pour les produits de l’Internet des objets (IdO), des appareils connectés capables de collecter et d’échanger des données.
Les législateurs européens de la commission de l’Industrie (ITRE) du Parlement européen se réunissent ce mercredi pour discuter de la question du code source ouvert, que ce soit dans le chapeau ou dans le corps du texte, de la période d’assistance du produit, des obligations de notification et du calendrier d’entrée en vigueur.
Avant l’approbation politique, le rapporteur du dossier Nicola Danti (Renew) a partagé une version largement consolidée du texte, consultée par EURACTIV, à la suite d’une réunion technique lundi (3 juillet). Le vote en commission est prévu le 19 juillet.
Cyberrésilience : les eurodéputés définissent le champ d’application et les obligations des fabricants
Les eurodéputés peaufinent les obligations que la nouvelle législation sur la cybersécurité imposera aux fabricants…
2 minutes
Champ d’application
Le dernier compromis clarifie que les solutions de traitement des données à distance intégrées dans les appareils connectés, telles que les fonctionnalités basées sur le cloud pour les appareils domestiques intelligents, sont également couvertes par le champ d’application du règlement.
« En revanche, les sites web qui ne sont pas inextricablement liés à un produit comportant des éléments numériques ou des services cloud ne relevant pas de la responsabilité du fabricant ne doivent pas être considérés comme des solutions de traitement de données à distance en vertu de ce règlement », peut-on lire dans le texte.
Les logiciels gratuits et à code source ouvert qui ne sont pas utilisés dans un cadre commercial sont quant à eux exclus du champ d’application. Dans un cadre commercial, les développeurs employés par des entités commerciales ou leurs employeurs peuvent exercer un contrôle sur les modifications qui sont acceptées dans la base de code.
Responsabilités de la chaîne d’approvisionnement
Les obligations liées au devoir de vigilance visant à garantir le respect des exigences en matière de cybersécurité incomberaient aux fabricants qui décident d’intégrer dans leurs produits des composants provenant de tiers, y compris des logiciels libres et gratuits.
Si les fabricants découvrent une vulnérabilité en effectuant ce devoir de vigilance, ils doivent la corriger et informer le développeur du composant du correctif de sécurité qu’ils ont appliqué.
Le texte du Parlement oblige les fabricants de composants à fournir gratuitement au fabricant du produit final toutes les informations pertinentes pour se conformer au règlement.
La responsabilité de se conformer à la loi sur la cybersécurité incombe à tout opérateur économique qui modifie le produit de manière substantielle. La Commission est chargée de fournir des orientations sur ce qui constitue des modifications substantielles.
Période d’assistance
La définition de la période d’assistance a été modifiée pour inclure le délai pendant lequel les fabricants sont censés traiter les vulnérabilités.
Les fabricants doivent proportionner la période d’assistance à la durée de vie prévue du produit et fournir aux autorités du marché les informations pertinentes sur demande. Les autorités doivent veiller activement à ce que les fabricants déterminent correctement la période d’assistance.
Obligations de notification
Les fabricants doivent signaler toute vulnérabilité activement exploitée tout au long de la période d’assistance.
Les députés ont expliqué que ces obligations couvrent « les cas où un acteur exécute un code malveillant sur un produit contenant des éléments numériques afin de générer une faille de sécurité, par exemple en exploitant les faiblesses des fonctions d’identification et d’authentification ».
Dans le même temps, les piratages effectués de bonne foi, par exemple pour tester, enquêter, corriger ou promouvoir la sécurité du système et de ses utilisateurs, sont exclus.
Les fabricants devraient également permettre aux tiers de leur signaler les vulnérabilités directement ou indirectement par l’intermédiaire du centre national de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team) pour ceux qui souhaitent le faire de manière anonyme.
Cybersécurité : le Parlement européen entame les négociations sur les règles pour les appareils connectés
Les obligations des fabricants, la notification, la conformité et l’application sont les principaux domaines du…
7 minutes
Marchés en ligne
Dans une précédente version du texte, les députés ont introduit des obligations pour les marchés en ligne, qui devront mettre en place un point de contact unique pour communiquer avec les autorités de surveillance du marché sur les questions de cybersécurité.
Une nouvelle formulation clarifie les situations dans lesquelles un marché en ligne agit comme un simple intermédiaire ou produit certains des dispositifs connectés qu’il vend, auquel cas les exigences du projet de loi les couvriraient également.
Cybersécurité : le Parlement envisage d’imposer des obligations aux marchés en ligne
Les exigences relatives aux marchés en ligne, le champ d’application du règlement sur la cybersécurité…
4 minutes
Vendeurs à haut risque
La formulation relative aux vendeurs à haut risque a été considérablement atténuée par rapport aux amendements précédents. La notion couvre des fournisseurs tels que Huawei qui sont considérés comme présentant un risque en raison de la loi nationale chinoise qui autorise le gouvernement à demander l’accès aux données.
L’autorité de surveillance des marchés et la Commission européenne sont chargées de fournir des orientations et des recommandations ciblées afin de mettre en œuvre des mesures correctives pour les produits de l’internet des objets qui présentent un risque de cybersécurité important en raison de ces facteurs de risque non techniques.
Soutien aux PME
Les députés souhaitent que la Commission soutienne les efforts de mise en conformité des PME avec le règlement en rationalisant le soutien financier via le programme pour une Europe numérique et d’autres programmes de l’UE. Les pays de l’UE doivent également envisager des actions complémentaires.
L’article sur les bacs à sable réglementaires a été supprimé en faveur d’environnements d’essai contrôlés plus génériques que les pays de l’UE pourraient mettre en place avec le soutien de l’ENISA, l’agence de cybersécurité de l’UE. Les fabricants de produits utilisant un système d’IA jugé à haut risque en vertu de la législation sur l’IA pourront rejoindre les bacs à sable réglementaires établis en vertu de ce règlement.
Calendrier
Le rapporteur a repoussé la date d’application du règlement de 24 à 40 mois, tandis que les obligations de notification ont été étendues de 12 à 20 mois à partir de l’entrée en vigueur.
Il est à noter que cette question pourrait encore faire l’objet de changements importants au niveau politique.
Cyberrésilience : le Conseil de l’UE propose des modifications à la classification des produits critiques
La présidence suédoise du Conseil de l’UE a partagé un nouveau texte de compromis comportant…
6 minutes
[Édité par Anne-Sophie Gayet]
