- Le Parlement européen et le Conseil européen ont finalisé le 30 novembre 2023 un accord politique sur la loi sur la cyberrésilience (Cyber Resilience Act).
- Cette réglementation, la première législation de ce type à l’échelle de l’Union Européenne, introduit des exigences obligatoires en matière de cybersécurité pour les produits (matériels et logiciels), tout au long de leur cycle de vie.
- Lorsque la proposition aura été officiellement adoptée et que la loi sera entrée en vigueur en 2024, les fabricants, importateurs et distributeurs de produits ou de logiciels comportant un composant numérique disposeront de 36 mois pour s’adapter aux nouvelles exigences.
Le Cyber Resilience Act vise à mettre en place le cadre nécessaire au développement de produits sécurisés contre les accès non autorisés ou les actions malveillantes, en s’assurant qu’ils sont mis sur le marché européen avec moins de vulnérabilités. Les produits comportant des éléments numériques fabriqué ou distribué au sein du marché européen devront répondre à des critères spécifiques. Tous les acteurs économiques doivent respecter ces exigences : depuis le fabricant du produit jusqu’à son distributeur en passant par son importateur.
Objectif de la législation sur la cyberrésilience
- Veiller à ce que les produits (matériels et logiciels) contenant des éléments numériques mis sur le marché de l’UE présentent moins de vulnérabilités et à ce que les fabricants restent responsables de la cybersécurité tout au long du cycle de vie d’un produit ;
- Améliorer la transparence en matière de sécurité des produits matériels et logiciels ;
- Offrir une meilleure protection aux utilisateurs professionnels et aux consommateurs.
Obligations pour le fabricant
- La cybersécurité doit être prise en compte dans les phases de planification, de conception, de développement, de production, de livraison et de maintenance ;
- Tous les risques liés à la cybersécurité doivent être documentés ;
- Les fabricants devront signaler les vulnérabilités et les incidents activement exploités ;
- Une fois le produit vendu, les fabricants doivent veiller à ce que les vulnérabilités soient traitées efficacement pendant toute la durée de la période d’assistance du produit concerné ;
- Des instructions claires et compréhensibles doivent être fournies pour l’utilisation des produits contenant des éléments numériques ;
- Les mises à jour de sécurité doivent être mises à la disposition des utilisateurs pendant la durée d’utilisation prévue du produit.
Ce que garantira la loi sur la cyberrésilience :
- des règles harmonisées lors de la mise sur le marché de produits ou de logiciels comportant un composant numérique;
- un cadre d’exigences en matière de cybersécurité régissant la planification, la conception, le développement et la maintenance de ces produits, avec des obligations à respecter à chaque étape de la chaîne de valeur;
- l’obligation d’assurer le devoir de sollicitude pour l’ensemble du cycle de vie de ces produits
Normalisation et évaluation de conformité
La loi sur la cyberrésilience complète les règles européennes en matière de cybersécurité et renforce la sécurité de l’ensemble de la chaîne d’approvisionnement. Afin de faciliter l’application des exigences essentielles par les fabricants, la Commission européenne publiera une demande de normalisation, qui permettra aux organisations européennes de normalisation d’élaborer des normes techniques pour de nombreuses catégories de produits relevant du règlement sur la cyberrésilience. Les normes européennes fondées sur la loi sur la cyberrésilience faciliteront sa mise en œuvre et constitueront un atout pour le secteur européen de la cybersécurité sur les marchés mondiaux.
En vertu du nouveau cadre législatif applicable à la législation sur les produits dans l’UE, les fabricants seront soumis à un processus d’évaluation de la conformité visant à démontrer si les exigences spécifiées relatives à un produit ont été respectées. En fonction du niveau de risque que présente le produit en question, ce processus pourrait prendre la forme d’une autoévaluation ou celle d’une évaluation de la conformité par un tiers.
Une fois la conformité du produit aux exigences applicables démontrée, les fabricants et les développeurs établiraient une déclaration UE de conformité et pourraient apposer le marquage CE. Le marquage CE indiquera que les produits comportant des éléments numériques sont conformes aux exigences de toutes les directives européennes les concernant y compris le règlement sur la cyberrésilience, afin qu’ils puissent circuler librement dans le marché européen.
Calendrier d’application du Cyber Resilience Act
L’entrée en vigueur de la législation sur la cyberrésilience est prévue courant 2024. Les fabricants devront appliquer les règles 36 mois après leur entrée en vigueur.
L’obligation faite aux fabricants de communiquer des informations concernant les vulnérabilités activement exploitées et les incidents fait exception à cette règle, puisqu’elle s’appliquerait 21 mois après la date d’entrée en vigueur, étant donné qu’elle exige moins d’adaptations organisationnelles que les autres nouvelles obligations.
La Commission européenne réexaminera périodiquement la réglementation sur la cyberrésilience et rendra compte de son fonctionnement.
