Dans la nuit du 30 novembre au 1er décembre, un accord politique concernant la législation sur la cyber-résilience (le "Cyber Resilience Act") a été conclu entre les négociateurs du Conseil de l'UE et le Parlement européen. Selon Nicola Danti (Renew Europe, Italien), rapporteur du dossier pour le Parlement européen, "la loi sur la cyber-résilience renforcera la cybersécurité des produits connectés, en s'attaquant aux vulnérabilités matérielles et logicielles [...]".
Élargissement de la liste des produits couverts par la législation
La nouvelle législation introduit des exigences en matière de cybersécurité à l'échelle de l'UE pour la conception, le développement, la production et la mise à disposition sur le marché de produits matériels et logiciels. Elle intègre notamment des règles visant à rééquilibrer la responsabilité de la conformité, en la faisant davantage porter par les fabricants, ainsi qu'un processus de traitement des vulnérabilités devant être mis en place par ces derniers.
Le Parlement européen et le Conseil de l’UE ont, en outre, tranché en faveur de l’élargissement de la liste des dispositifs couverts par la législation, avec l’inclusion de produits tels que les logiciels de systèmes de gestion de l'identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées. Les logiciels libres seront aussi couverts, s'ils sont destinés à des activités commerciales.
Pour tous les objets couverts par le ‘Cyber Resilience Act’, le texte de l’accord précise que les mises à jour de sécurité devront être installées automatiquement et séparément des mises à jour fonctionnelles.
Rôle renforcé de l'Agence ENISA et conservation du contrôle par les États membres
Lors de leurs négociations, le Parlement et le Conseil de l'UE ont précisé le rôle de l’Agence de l'Union européenne pour la cybersécurité (ENISA).
Le compromis auquel sont parvenues les deux institutions prévoit que des alertes de vulnérabilités soient envoyées par les fabricants à l’autorité nationale compétente - le centre d'alerte et de réaction aux attaques informatiques pour la France -, qui la soumettra par la suite à l’ENISA. L'ENISA décidera alors d’informer les autres États membres si elle juge la menace importante.
Toutefois, si le Parlement européen s'est prononcé en faveur du renforcement du rôle de l’ENISA, les États membres ont obtenu, au cours des négociations interinstitutionnelles, la possibilité de décider de limiter les informations que contiennent les notifications s’ils jugent que cela pourrait avoir un impact en matière de sécurité.
Une application d'ici trois ans
Enfin, les colégislateurs européens sont convenus que les nouvelles règles devront être appliquées dans les trois années qui suivront l’entrée en vigueur du texte.
Pour plus d'informations
Communiqué de presse du Conseil de l'UE
