La Commission européenne a publié, le 15 septembre 2022, une proposition de règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, connue sous le nom de « règlement sur la cyber-résilience » ou « Cyber Resilience Act ». Prochainement soumis à l’examen du Parlement européen et du Conseil de l’Union européenne, ce texte vise à renforcer la sécurité des produits numériques et l’information des utilisateurs en établissant des normes européennes communes.
Le champ d’application de la proposition de règlement sur la cyber-résilience
Il est prévu que le Cyber Resilience Act s’applique à tous les acteurs économiques impliqués dans la mise sur le marché et présents tout au long du cycle de vie des produits comportant des éléments numériques. Cette notion de produits numériques englobe tant les dispositifs matériels (ordinateurs, smartphones, voitures, jouets, assistants virtuels, etc.) que les logiciels (antivirus, navigateurs, systèmes d’exploitation, etc.). Le texte ne s’appliquera toutefois pas à certains domaines disposant déjà d’une législation spécifique, comme les appareils médicaux, les produits destinés à l’aéronautique et les dispositifs militaires.
Parmi les produits comportant des éléments numériques, la Commission européenne fait une distinction entre la catégorie générale et les produits considérés comme « critiques ». Cette seconde catégorie devrait se subdiviser en deux classes, en fonction du niveau de risques pour la cybersécurité. Selon la classe à laquelle le produit numérique appartiendra, des obligations plus ou moins strictes lui seront rattachées. Au sein de la classe 1 figurent notamment les antivirus, les gestionnaires de mots de passe ou encore les VPN. La classe 2 comprend, quant à elle, les systèmes d’exploitation, les smartphones, les serveurs et les objets connectés à destination du monde industriel.
Les obligations et sanctions prévues par le Cyber Resilience Act
Pour l’ensemble des produits numériques, la proposition de règlement sur la cyber-résilience prévoit que les fabricants prennent en compte la sécurité de l’appareil ou du logiciel dès sa conception, et qu’ils ne livrent pas de produits comportant des failles de sécurité connues. Ces produits devront, en outre, être accompagnés d’une documentation claire afin que les utilisateurs disposent de toutes les informations relatives à la sécurité. Selon le projet de règlement, les constructeurs devront également diffuser des correctifs de sécurité, s’il y a lieu, et mettre en place des procédures de gestion des vulnérabilités. Pour les produits compris dans la catégorie « critique », des contraintes supplémentaires sont prévues. Les fabricants auront notamment l’obligation de signaler sous vingt-quatre heures à l’Agence de l’Union européenne pour la cybersécurité (ENISA) toutes nouvelles vulnérabilités découvertes dans ces produits.
Afin d’assurer la conformité des organisations et des produits à cette nouvelle régulation, la Commission européenne prévoit que soient désignées par les États membres des autorités de surveillance du marché, responsables de la bonne application du Cyber Resilience Act. En cas de manquement aux règles européennes, ces autorités pourront prendre différentes mesures, comme exiger des opérateurs qu’ils mettent fin à la non-conformité constatée et qu’ils restreignent la mise à disposition d’un produit. Elles pourront en outre sanctionner les acteurs défaillants en leur infligeant des amendes pouvant atteindre 2,5 % de leur chiffre d’affaires ou 15 millions d’euros.
Articles les plus lus
Articles les plus récents
Inscription à la newsletter
