Les eurodéputés de la commission de l'industrie, de la recherche et de l’énergie (ITRE) du Parlement européen ont débattu, mardi 25 avril, du rapport de Nicola Danti (Renew Europe, italien) concernant la future législation sur la cyber-résilience (EUROPE 13103/2). Présenté par la Commission européenne en septembre 2022 (EUROPE 13022/9), le futur règlement doit notamment servir à introduire des règles communes de cybersécurité pour les fabricants et les développeurs de tous les produits comportant des éléments numériques et connectés.
Le rapport de M. Danti met l’accent sur plusieurs aspects, notamment la responsabilité pour les logiciels libres et autres produits ‘open source’. Le rapport avance l’idée de faire porter la responsabilité pour ces types de produits aux entités qui intègrent le logiciel en question dans des produits ensuite vendus sur le marché. Un amendement allant dans ce sens sera déposé, a prévenu M. Danti.
« C’est un sujet très sensible pour nous tous. Notre proposition vise à ce que ce ne soit pas l’’open source’ qui compte, mais sa mise sur le marché. Il faut voir quel acteur met les produits sur le marché et comment il monétise cela », a-t-il commenté.
« On doit garantir le rôle de la communauté ‘open source’, avec un texte clair, qui ne restreindrait pas l’application et le développement des logiciels », a complété Ignazio Corra (Verts/ALE, italien).
Une partie des discussions a aussi porté sur le rôle de l’Agence de l'Union européenne pour la cybersécurité (ENISA). Le rapport propose que celle-ci fasse office de 'guichet unique' pour le signalement de problèmes et vulnérabilités afin de simplifier la charge reposant sur les entreprises. À ce titre, a indiqué M. Danti, une demande de garantie que l’ENISA sera bien dotée des ressources nécessaires devrait être adressée à la Commission.
Pour d’autres, à l’instar de Henna Virkkunen (PPE, finlandaise), une attention particulière devra être portée sur le contenu des rapports de signalement pour les entreprises à l’ENISA. « Les obligations sont pour le moment très vastes pour les acteurs ; ça augmentera aussi la charge de l’ENISA. Il ne faut pas charger la barque pour les PME ». Comme d’autres eurodéputés, Mme Virkkunen préconise que seuls les « incidents significatifs » soient signalés.
Outre des discussions sur le soutien nécessaire à apporter aux PME, les échanges ont porté sur le délai de mise en œuvre du futur règlement. Le rapport porte la durée de cette période à 40 mois. « Il y a une très forte attente pour ce règlement. Il ne devra pas y avoir de reports supplémentaires », a jugé Mme Virkkunen.
Enfin, d’autres eurodéputés ont insisté sur le besoin de mettre l’accent sur le développement des compétences pour mener à bien les stratégies liées à la cybersécurité. « Il y a un manque de professionnels, certains chiffres avancent 500 000 personnes compétentes nécessaires. Et seulement 2% des personnes dans ce domaine sont des femmes », a souligné Beatrice Covassi (S&D, italienne). (Thomas Mangin)