Les États membres ont discuté, mercredi 15 février, dans le cadre d’une réunion du groupe de travail horizontal ‘Questions liées au cyberespace’, de la dernière version de compromis de la Présidence suédoise du Conseil de l’UE sur la législation sur la cyberrésilience (EUROPE 13103/2).
Plusieurs changements ont été apportés par rapport à la version précédente du texte de compromis présenté par la Présidence suédoise du Conseil. Ainsi, le texte prévoit désormais que les objets ayant une fonction de sécurité essentielle soient considérés comme 'critiques'.
Ces objets, tels que les systèmes de surveillance du trafic réseau pour le contrôle du débit et des flux ou les systèmes de gestion des informations et des événements de sécurité, ne seraient pas les seuls à être qualifiés de 'critiques'.
Le document de compromis ajoute en effet également à cette liste les objets issus du domaine de l'Internet, des objets jouant un rôle majeur dans la gestion d’un système ou ceux pouvant nuire à d’autres produits, comme les logiciels d’accès à distance, les systèmes d’exploitation ou encore les navigateurs intégrés.
D’autres produits pourraient, eux, être qualifiés de 'hautement critiques', s’ils cochent les cases des deux options qui permettent de qualifier un objet de 'critique', tels que les outils d’authentification à distance ou encore les réseaux privés virtuels.
Par ailleurs, le document de compromis prévoit que les fournisseurs d’objets 'hautement critiques' pourraient se voir contraints par la Commission européenne d’obtenir un 'certificat de cybersécurité'.
Pour justifier la demande d'obtention d'un certificat, la Commission devrait se baser sur les critères recensés dans la catégorie des objets 'hautement critiques' et analyser l’impact potentiel de ces objets sur les entités 'essentielles' tombant sous le coup de la directive révisée 'NIS2', qui doit garantir un niveau commun élevé de cybersécurité dans toute l’UE (EUROPE 13072/30).
Voir le document : https://aeur.eu/f/5cb (Thomas Mangin)