La Commission présente une loi sur la cyber-résilience ciblant les produits de l’Internet des objets

La Commission a présenté jeudi 15 septembre sa proposition de loi sur la cyber-résilience, une législation visant à remédier aux vulnérabilités des appareils connectés grâce à une approche de sécurité dès la conception.

Suite au Nouveau Cadre Législatif (NLF), le Loi sur la cyber-résilience (ARC) introduira des exigences en matière de cybersécurité pour les produits contenant des éléments numériques destinés à être mis sur le marché intérieur de l’UE. Le matériel et les logiciels sont inclus sous le prétexte que lorsque tout est connecté, tout est vulnérable.

Outre les exigences relatives aux propriétés du produit, aux vulnérabilités et à la gestion, il existe également des spécifications de transparence et d’informations sur les utilisateurs, car l’ARC vise à renforcer la confiance des consommateurs dans les produits..

Il s’agit d’un livrable majeur dans notre programme d’union de la sécurité. Parce qu’elle comble une lacune réelle et importante dans notre cadre juridique, a déclaré la vice-présidente de la Commission, Margaritis Schinas, lors d’une conférence de presse.

Cette législation passera de la sécurité des services aux produits pour protéger à la fois les consommateurs et les entreprises des produits dotés de fonctions de sécurité inadéquates, a ajouté Schinas, car les fabricants devront s’assurer qu’ils mettent sur le marché des produits sécurisés numériquement.

Les données de l’Agence européenne pour la cybersécurité (ENISA) montrent qu’en 2021, les ransomwares mondiaux ont causé environ 20 milliards de dommages. L’urgence du problème est également démontrée par le fait qu’en 2021, une attaque de ransomware d’entreprise s’est produite environ toutes les 11 secondes.

L’objectif de ce dossier législatif n’est pas seulement de réguler le marché intérieur mais de devenir une référence internationale, a souligné Schinas.

Un dossier complémentaire

L’ARC n’est pas le premier dossier législatif de l’UE à traiter de la cybersécurité, il vise plutôt à compléter les textes précédents tels que la loi sur l’IA, la loi sur la cybersécurité et la directive Network Information Security 2 (NIS2).

Les logiciels en tant que service (SaaS), tels que couverts par la directive NIS2, ne seront pas ciblés, pas plus que les logiciels libres et open source s’ils ne sont pas développés ou fournis à des fins commerciales.

Un non-document du Danemark, de l’Allemagne et des Pays-Bas, consulté par EURACTIV, a proposé que le SaaS soit également inclus et que peu importe que les produits soient proposés à des fins de consommation ou commerciales.

Le document officieux, daté du 13 septembre, préconise des exigences de cybersécurité plus strictes pour tous les produits, processus et services numériques basés sur différents niveaux d’assurance, qu’ils soient destinés aux consommateurs ou à un usage industriel.

Les autres produits qui seront exclus du champ d’application sont les dispositifs médicaux ou les véhicules à moteur car une législation spécifique au secteur est déjà en place. Pour les trois pays concernés, la nouvelle loi sur la cybersécurité serait une législation horizontale sur laquelle la législation sectorielle s’appuierait comme lex specialis.

Cycle de vie et mise en œuvre

Les fabricants doivent s’assurer pendant la durée de vie prévue du produit ou pendant cinq ans après sa mise sur le marché, selon la période la plus courte, que les vulnérabilités sont gérées efficacement.

Selon Iva Tasheva, un expert en cybersécurité au cabinet de conseil CyEn, ce pourrait être difficile de fixer une période unique dans le marbre, compte tenu de la vaste portée du règlement. Une solution possible pourrait être de choisir une approche basée sur les risques pour l’engagement de la période de support, a suggéré Tasheva.

Une fois adoptées, les opérateurs économiques et les États membres auront deux ans pour s’adapter aux nouvelles exigences. L’obligation de signaler les vulnérabilités et les incidents activement exploités s’appliquera déjà après 12 mois.

Période de déclaration

Les fabricants doivent informer l’Agence européenne pour la cybersécurité (ENISA) dans les 24 heures s’ils ont connaissance d’une vulnérabilité activement exploitée dans le produit ou de tout incident ayant des impacts sur la sécurité.

Cela peut sembler familier, car la directive NIS2 exige également un rapport d’incident dans les 24 heures. Cependant, plus tôt cette année, le le chef de l’ENISA a déclaré que le système de notification était trop bureaucratique et ne fonctionne pas.

Cela reste difficile, en particulier avec le large champ d’application de l’ARC, où tout produit activement exploité, même sans risque majeur lié à celui-ci, devrait être notifié, a déclaré Tasheva.

Le signalement pourrait ouvrir la porte à une notification excessive et créer un risque de non-conformité pour les fabricants, en particulier parce que l’exigence de signalement des incidents serait déjà effective après 12 mois, a ajouté Tasheva.

Trop trop tôt?

Bien que la proposition soit un pas en avant significatif pour DIGITALEUROPE, une association de l’industrie des technologies numériques basée à Bruxelles, ils craignent qu’elle n’en inclue trop trop tôt.

Ce sont les produits tangibles qui souffrent le plus des chevauchements et des incohérences législatives, et c’est là que la plupart des lacunes en matière de protection peuvent être comblées. Inclure tous les logiciels, en revanche, serait prématuré et risquerait de ne pas apporter les bénéfices escomptés, Cecilia Bonefeld-Dahl, directrice générale de DIGITALEUROPE, a déclaré à EURACTIV.

L’accent devrait être mis sur l’obtention de résultats pratiques à une époque où l’industrie et les gouvernements sont aux prises avec des cyber-ressources limitées, a ajouté Bonefeld-Dahl.

Deux classes

La Fédération des industries allemandes (BDI) s’est félicitée que la Commission fasse une distinction entre les catégories de produits et leurs exigences de sécurité. Iris Plger, membre du conseil d’administration de BDI, a déclaré que les infrastructures critiques et les produits de tous les jours, comme une télévision intelligente, ne devraient pas être mis dans la même catégorie.

Alors que tous les produits comportant des éléments numériques relevant du CRA doivent porter le marquage CE, la différence entre les différents niveaux d’assurance des produits critiques réside dans la procédure d’évaluation de la conformité.

Pour les produits critiques de classe I, tels que les systèmes de gestion de réseau, le fabricant peut effectuer l’évaluation de la conformité sous sa propre responsabilité. Pour les produits classés dans la classe critique II, tels que les infrastructures à clé publique et les émetteurs de certificats numériques, une tierce partie devrait être impliquée dans l’évaluation de la conformité.

Luca Bertuzzi a contribué au reportage.

[Edited by Luca Bertuzzi/Nathalie Weatherald]

www.actusduweb.com
Suivez Actusduweb sur Google News


Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite