Les négociations interinstitutionnelles (‘trilogues) concernant la législation sur la cyberrésilience ('Cyber Resilience Act’) vont pouvoir débuter après que le Parlement européen et le Conseil de l’UE ont adopté, mercredi 19 juillet, leur position respective. Le texte porté par Nicola Danti (Renew Europe, italien) a été soutenu par 61 eurodéputés membres de la commission de l’industrie, de la recherche et de l’énergie (une voix contre, 10 abstentions) (EUROPE 13217/10).
Le texte adopté en commission du PE confirme ainsi les exigences obligatoires en matière de cybersécurité pour la conception, le développement, la production et la mise à disposition sur le marché de produits matériels et logiciels. Ainsi, « tous les éléments numériques disponibles sur le marché qui peuvent avoir une connexion de données directe ou indirecte avec un appareil ou un réseau » devraient être mis à disposition par les fabricants « sans vulnérabilité exploitable connue ».
Ces produits devraient disposer d’une configuration sécurisée par défaut, « sauf accord entre les parties, dans un contexte inter-entreprises ». La mise à disposition des mises à jour fonctionnelles et des mises à jour de sécurité devraient être séparées. Ces dernières devraient être notifiées aux utilisateurs.
Par ailleurs, les fabricants seraient tenus de procéder à une évaluation du risque de cybersécurité associée à leurs produits. Cette évaluation devrait être prise en compte lors des phases de conception, de développement, de livraison et de maintenance des produits.
Cette période de maintenance devrait être « proportionnée à la durée de vie prévue du produit » et tenir compte de « la nature du produit, des attentes des utilisateurs et de la disponibilité de l'environnement d’exploitation ». Les fabricants devraient aussi mettre les informations sur la durée de vie du produit servant de base à la définition de la période de maintenance à disposition des autorités de surveillance.
Dispositions renforcées pour les produits 'critiques'
Par ailleurs, les obligations seraient renforcées pour les produits 'critiques' susceptibles d'avoir un impact sur la santé, les droits fondamentaux ou encore la sécurité. Les fabricants de systèmes de gestion de réseau, de lecteurs biométriques, de gestionnaires de mots de passe ou d’outils de configuration de réseau, par exemple, devraient obtenir un certificat européen de cybersécurité, conformément au règlement relatif à la certification dans ce domaine (2019/881). La Commission européenne pourrait, par le biais d’actes délégués, compléter la liste de produits qualifiés de 'critiques'. Le premier acte délégué pourrait être adopté au plus tôt deux ans après l’entrée en vigueur du règlement.
La position du PE prévoit aussi la possibilité pour les entreprises de recourir à des 'bacs à sable réglementaires' pour les prototypes de produits ou les logiciels inachevés. Les États membres pourraient être soutenus par l’Agence de l'Union européenne pour la cybersécurité (ENISA) pour la mise en place de ces 'bacs à sable réglementaires'.
Le PE demande en outre que la Commission modifie la fiche financière de l’ENISA de façon à la doter de neuf postes équivalents temps plein et de crédits supplémentaires afin qu’elle puisse remplir son rôle dans le cadre de du ‘Cyber résilience Act’.
L'ENISA serait aussi chargée de recevoir les notifications des fabricants concernant les vulnérabilités identifiées. Ces notifications devraient être émises dans les 72 heures suivant le moment où elles ont été détectées. Des mesures correctives ou d’atténuation devraient être prises.
Le texte prévoit aussi la mise en place, « au plus tard six mois après l’entrée en vigueur du texte », d’un groupe d’experts sur la cyber résilience nommé par la Commission et doté d’un mandat de trois ans renouvelable.
Ce groupe d’experts serait constitué de représentants de différents organes et agences de l’UE, notamment l’ENISA, le Comité européen de la protection des données ou encore les organismes européens de normalisation. Ce groupe d’experts devrait, entre autres, conseiller la Commission sur la liste des produits critiques ou la mise en œuvre des systèmes européens de certification en matière de cybersécurité.
Le Parlement souhaite également revoir la date d’application du texte, en tablant sur 36 mois au lieu de 24 à compter de son entrée en vigueur. L’article 11, relatif aux obligations de déclaration des fabricants, s’appliquerait, lui, après 18 mois.
Le Conseil de l'UE revoit le rôle de l'ENISA
De son côté, le Conseil de l’UE a maintenu l’approche de la Commission sur plusieurs points. Conformément à la proposition de la Commission, le Conseil de l’UE entend faire « rééquilibrer la responsabilité de la conformité vers les fabricants », qui devraient assurer la conformité aux exigences de sécurité des produits comportant des éléments numériques.
Ceux-ci seraient tenus d’évaluer les risques de cybersécurité, d’effectuer une déclaration de conformité et de coopérer avec les autorités compétentes. En revanche, l’approche de la Commission a aussi été revue concernant plusieurs aspects, notamment les exigences essentielles relatives aux processus de traitement des vulnérabilités. Le Conseil de l’UE souhaite, par exemple, que les vulnérabilités activement exploitées ou d'éventuels incidents soient notifiés aux autorités nationales compétentes, et non à l’ENISA.
D’autres modifications ont également été apportées concernant le champ d’application, la détermination de la durée de vie des produits, les mesures de soutien aux petites et moyennes entreprises ou encore les déclarations de conformité simplifiées.
Voir le texte adopté en commission du PE : https://aeur.eu/f/866 (Thomas Mangin)