La Commission européenne (CE) a publié sa proposition de règle sur les normes de cybersécurité pour les produits à aspects numériques, connue sous le nom de Loi sur la cyber-résilience, le 15 septembre 2022. La loi est décrite par la Commission européenne comme “le premier règlement de ce type”, et la proposition sera maintenant examinée par le Parlement européen et le Conseil européenne, un processus qui peut prendre jusqu’à deux ans.
Fond
La législation, qui s’appuie sur la Stratégie de cybersécurité de l’UE et la Stratégie de l’Union de la sécurité de l’UE, a été initialement annoncée par la Présidente de la CE, Ursula von der Leyen, lors de son discours sur l’État de l’Union européenne le 15 septembre 2022. Parce que la loi serait un règlement de l’UE plutôt qu’une directive, si elle est mise en œuvre par la CE, elle sera immédiatement exécutoire et applicable dans tous les États membres de l’UE, garantissant la cohérence des obligations en matière de cybersécurité dans tous les pays représentés.
Règles et exigences
La législation proposée estime le coût mondial de la cybercriminalité en 2021 à 5,5 billions d’euros, en attribuant cela au fait que (1) les éléments matériels et logiciels ont un faible degré de cybersécurité et (2) les utilisateurs ne sont pas conscients des qualités de cybersécurité de ces produits. La loi comprend les dispositions suivantes pour répondre à ces préoccupations:
-
Règles pour la mise sur le marché de l’UE d’articles améliorés numériquement.
-
Exigences pour la conception, le développement et la production d’articles comportant des éléments numériques, ainsi que des obligations pour les fabricants, les importateurs et les distributeurs.
-
Fabricants doivent mettre en place des mécanismes de gestion des vulnérabilités.
-
Règles de surveillance et d’application du marché.
Portée
La législation s’appliquerait aux producteurs, importateurs et distributeurs d’articles améliorés numériquement dont l’utilisation prévue ou raisonnablement prévisible implique une connectivité directe ou indirecte à un appareil ou à un réseau. Les “produits à aspects numériques” sont généralement définis comme englobant tout logiciel ou matériel, ainsi que les procédures de traitement des données à distance qui leur sont associées. Certains articles ayant des aspects numériques, tels que les produits et équipements médicaux couverts par les règlements (UE) 2017/745 et (UE) 2017/746, sont exemptés.
Évaluation de la conformité
Les fabricants devraient effectuer une double” évaluation de la conformité ” en vertu de la législation avant de commercialiser un produit contenant des fonctionnalités numériques sur le marché de l’UE. Selon ce critère, le fabricant doit :
-
S’assurer que le produit est conforme aux normes de sécurité décrites à la section 1, annexe I de la loi. Par exemple, se défendre contre les accès non autorisés, maintenir la confidentialité des données traitées et fournir des informations relatives à la sécurité en enregistrant et / ou en surveillant les activités internes.
-
Établir des pratiques de gestion de la vulnérabilité conformément à l’article 2, annexe I de la loi. Par exemple, effectuer des tests et des évaluations efficaces et fréquents de la sécurité des biens numériques, élaborer et mettre en œuvre une politique de divulgation coordonnée des vulnérabilités et proposer des mises à niveau de sécurité des produits numériques.
Si l’évaluation de la conformité démontre la conformité aux exigences de la section 1, Annexe 1, et de la section 2, Annexe 1 de la loi, le fabricant doit alors préparer une déclaration UE de conformité qui constate le respect des exigences essentielles applicables conformément à l’article 20 de la loi et apposer le marquage “CE” sur la déclaration conformément à l’article 22 de la loi, qui stipule que ce marquage indique que le produit a été évalué. Le fabricant accepterait la responsabilité de la conformité en faisant une telle déclaration et en appliquant le marquage CE.
Les fabricants seraient également tenus d’emballer la déclaration de conformité de l’UE avec le produit, ou d’offrir une URL de site Web où les consommateurs peuvent obtenir la déclaration de conformité de l’UE dans les instructions et/ou tout document écrit fourni aux utilisateurs. Le non-respect de ces critères peut entraîner des mesures punitives de la part des autorités de surveillance du marché.
Produits critiques avec des éléments numériques
L’annexe III de la législation comprend une liste d’éléments “essentiels” contenant des caractéristiques numériques classées en deux catégories :
-
Classe I (“faible risque”) : Cela inclut les gestionnaires de mots de passe, les systèmes de gestion de réseau et la gestion des mises à jour/correctifs.
-
Classe II (“risque plus élevé”) : Cela inclut les systèmes d’exploitation pour serveurs, ordinateurs de bureau, appareils mobiles, compteurs intelligents et contrôleurs de robots.
Les fabricants seraient tenus de se soumettre à des contrôles de conformité plus stricts dans le cadre des critères de la loi avant de mettre ces articles vitaux dotés de fonctionnalités numériques sur le marché de l’UE. Les fabricants de produits essentiels de classe II, par exemple, seraient tenus de faire appel à un tiers dans le cadre de l’évaluation de la conformité décrite ci-dessus.
Obligations de déclaration
Les fabricants seraient tenus d’informer l’Agence de l’Union Européenne pour la cybersécurité (ENISA) dans les 24 heures suivant leur prise de connaissance (1) de toute vulnérabilité activement exploitée contenue dans des produits avec des éléments numériques, et (2) de tout incident ayant un impact sur la sécurité des produits avec des éléments numériques, en plus de l’évaluation de la conformité (discutée ci-dessus). Les fabricants seraient également tenus d’informer les consommateurs de tout événement de ce type dès que possible et, si nécessaire, des mesures qu’ils pourraient prendre pour atténuer l’effet de tels accidents.
La législation obligerait également les importateurs et les distributeurs à (1) informer les producteurs de toute vulnérabilité de ces articles sans retard injustifié et (2) alerter rapidement les autorités de surveillance du marché des États membres si ces produits présentent un risque “grave” pour la cybersécurité. Un risque important de cybersécurité est un risque qui, en fonction de ses caractéristiques technologiques, peut être susceptible d’avoir de fortes chances qu’un événement génère des pertes ou des perturbations matérielles ou immatérielles importantes.
À compter de la date d’introduction, la législation prévoit un délai de grâce de 24 mois pour se conformer aux exigences.
Cependant, les fabricants disposent d’un délai de grâce de 12 mois pour s’acquitter de leurs responsabilités distinctes en matière de déclaration, comme décrit précédemment.
Exécution et sanctions
La législation obligerait chaque État membre à nommer une autorité de surveillance du marché existante ou nouvelle.Ces autorités devraient travailler avec d’autres agences de surveillance, telles que l’ENISA et les autorités de protection des données.
Dans les cas où les autorités de surveillance du marché ont des motifs raisonnables de croire qu’un produit contenant des éléments numériques présente un risque important pour la cybersécurité, la loi habilite les autorités à procéder à des évaluations de produits et, en cas de non-conformité à la loi, à prendre toutes les mesures correctives nécessaires pour assurer la conformité, y compris le retrait du produit du marché ou le rappel du produit dans un délai raisonnable. La loi donnerait également aux autorités de surveillance du marché le pouvoir d’entreprendre des “balayages” simultanés d’articles contenant des caractéristiques numériques pour assurer la conformité à la loi. Les résultats du balayage pourraient être rendus publics, ce qui pourrait avoir de graves conséquences sur la réputation des entreprises soumises à de tels balayages.
La législation établit des sanctions administratives en cas de non-respect; les frais administratifs maximum sont de 15 millions d’euros ou 2,5% du chiffre d’affaires annuel mondial pour l’exercice précédent, selon le montant le plus élevé. Cependant, comme pour le Règlement général sur la Protection des Données (RGPD), le processus d’imposition des sanctions administratives est laissé à la discrétion de chaque État membre, ce qui peut entraîner un manque de cohérence entre les pays. Le Comité Européen de la Protection des Données (CEPD) a établi des règles pour le calcul des sanctions administratives en vertu du RGPD le 12 mai 2022, dans le but d’unifier l’approche utilisée par les organes de contrôle lors du calcul des amendes administratives. Il reste à voir si des instructions équivalentes pour la Loi sur la cyber résilience seront produites.
Comment interagira-t-il avec les règles existantes ?
La Loi sur la cyber-résilience harmonisera l’environnement réglementaire de l’UE en mettant en œuvre des critères de cybersécurité pour les produits dotés de fonctionnalités numériques et en évitant le chevauchement des exigences résultant de plusieurs textes législatifs. Cela fournira une clarté juridique aux opérateurs et aux utilisateurs dans toute l’Union, ainsi qu’une meilleure harmonisation du marché unique européen, ce qui le rendra plus réalisable pour les opérateurs souhaitant entrer sur le marché de l’UE.
La Loi sur la cyber-résilience, en particulier, compléterait la directive NIS 2, qui a récemment été approuvée par le Parlement européen et le Conseil. La directive NIS2 impose des normes de cybersécurité aux entreprises vitales et importantes, y compris des mesures de sécurité de la chaîne d’approvisionnement et des obligations de signalement des incidents, dans le but de renforcer la résilience des services qu’elles offrent. En conséquence, une cybersécurité accrue des produits dotés de fonctionnalités numériques permettrait aux entreprises soumises à la directive NIS2 de se conformer à la directive et renforcerait la sécurité de l’ensemble de la chaîne d’approvisionnement.
La Loi sur la Cyber-Résilience s’applique aux équipements radio couverts par le Règlement Délégué de la Directive Équipements Radio 2014/53/UE (Règlement Délégué ROUGE). La Loi sur la cyber-résilience est conforme aux exigences du Règlement Délégué ROUGE, y compris les normes précises exigées par le Règlement délégué ROUGE. Ainsi, la Loi sur la cyber-résilience serait la prochaine étape importante et globale, s’appuyant sur ces normes à créer jusqu’à l’entrée en vigueur de la Loi sur la cyber-résilience. Le règlement délégué ROUGE serait alors supprimé par souci de simplicité et de clarté juridique.
Quelles sont les prochaines étapes?
La proposition d’Acte sur la cyber-résilience va maintenant être examinée par le Parlement européen et le Conseil. Les opérateurs économiques et les États membres disposeront de deux ans pour s’adapter aux nouveaux critères si la proposition est acceptée et entre en vigueur. L’obligation de déclaration imposée aux fabricants pour les vulnérabilités et événements activement exploités est une exception à cette norme car elle nécessite moins de changements organisationnels que les autres nouvelles responsabilités. La Commission examinera régulièrement la Loi sur la cyber-résilience et en rendra compte.