Les négociateurs du Conseil de l’UE et du Parlement européen sont parvenus, dans la nuit du jeudi 30 novembre au vendredi 1er décembre, peu avant minuit, à un accord politique concernant la législation sur la cyberrésilience (‘Cyber Resilience Act’).
« La loi sur la cyberrésilience renforcera la cybersécurité des produits connectés, en s'attaquant aux vulnérabilités matérielles et logicielles, faisant de l'UE un continent plus sûr et plus résilient », a commenté le rapporteur du dossier pour le Parlement européen, Nicola Danti (Renew Europe, italien).
« Les appareils connectés doivent bénéficier d'un niveau de cybersécurité de base lorsqu'ils sont vendus dans l'UE, afin que les entreprises et les consommateurs soient correctement protégés contre les cybermenaces. C'est exactement ce que la loi sur la cyberrésilience permettra de réaliser une fois qu'elle sera entrée en vigueur », a complété le ministre espagnol de la Transformation numérique, José Luis Escrivá.
Selon le document de compromis obtenu par EUROPE, les colégislateurs européens se sont accordés sur la durée de la période d’assistance pendant laquelle les fabricants doivent garantir le traitement efficace des vulnérabilités. Celle-ci est fixée à cinq ans, à moins que la durée de vie prévue d’un produit y soit inférieure.
En revanche, les fabricants devront, pour les produits dont la durée d'utilisation est supérieure à cinq ans, tels que les cartes mères, les microprocesseurs, les dispositifs de réseau comme les routeurs ou les modems, ou encore les logiciels, à l'image des systèmes d'exploitation ou des outils d'édition vidéo, « garantir des durées d'assistance plus longues qui reflètent la durée d'utilisation raisonnablement attendue du produit ».
Un rôle renforcé pour l'ENISA, même si les États membres gardent le contrôle
Le Parlement et le Conseil de l'UE ont aussi précisé le rôle de l’Agence de l'Union européenne pour la cybersécurité (ENISA), qui faisait office de pierre d’achoppement au cours des négociations (EUROPE 13291/8).
Le compromis auquel sont parvenues les deux institutions prévoit que les alertes de vulnérabilités soient envoyées par les fabricants à l’autorité nationale compétente - le centre d'alerte et de réaction aux attaques informatiques (CSIRT) -, qui la soumettra à l’ENISA. Celle-ci décidera alors d’informer les autres États membres si elle juge la menace importante.
Toutefois, si le PE a été écouté sur le renforcement du rôle de l’ENISA, les États membres ont obtenu, au cours de cet ultime trilogue, qu’ils pourront décider de limiter les informations que contiennent les notifications s’ils jugent que cela pourrait avoir un impact en matière de sécurité.
Des exemptions sont aussi prévues si le produit ayant des vulnérabilités est majoritairement présent dans un seul État membre et que cela ne fait pas courir de risque aux 26 autres membres de l’UE, ou si le fabricant en question estime que la divulgation de la vulnérabilité représente un risque, notamment en matière de cybersécurité.
Toutefois, quelle que soit la notification, l’ENISA devrait toujours être informée du nom du fabricant, du produit concerné, ainsi que d'autres informations générales.
Élargissement de la liste des produits couverts
Le PE et le Conseil de l’UE ont en outre tranché en faveur de l’élargissement de la liste des dispositifs couverts, avec l’inclusion de produits tels que les logiciels de systèmes de gestion de l'identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées.
Les logiciels libres seront aussi couverts, à condition qu’ils soient destinés à des activités commerciales. Les logiciels libres vendus par des organisations à but non lucratif qui réinvestissent leurs revenus dans des activités à but non lucratif ne tombent pas sous le coup du champ d’application, tout comme les services ‘en nuage’ (‘cloud’).
Pour tous les objets couverts par le ‘Cyber Resilience Act’, le texte de l’accord précise que les mises à jour de sécurité devront être installées automatiquement et séparément des mises à jour fonctionnelles.
« Actuellement, de nombreux produits provenant de pays tiers entrent sur le marché unique de l'UE sans aucune garantie qu'ils sont cyber-sécurisés ou régulièrement mis à jour avec les derniers logiciels. À l'avenir, les produits devront être conformes à la loi sur la cyberrésilience. Ils porteront la marque ‘CE’ », a expliqué Henna Virkkunen (PPE, finlandaise).
Le règlement ne s’appliquera pas non plus aux produits dont les exigences en matière de cybersécurité sont déjà définies dans le cadre d’autres législations européennes, comme les dispositifs médicaux, les produits aéronautiques, les voitures ou les logiciels en tant que services - des modèles d’exploitation commerciale de logiciels installés sur des serveurs distants plutôt que sur la machine de l’utilisateur -, couverts par la directive révisée ‘NIS 2’ (EUROPE 13297/25).
En application d'ici trois ans
En outre, le texte inclut certaines dispositions pour les micro- et petites entreprises, qui pourront bénéficier de sensibilisation, de formation et de soutien pour les procédures d’essai et d’évaluation de la conformité.
« Nous avons veillé à soutenir les micro- et petites entreprises et à mieux impliquer les parties prenantes, et nous avons répondu aux préoccupations de la communauté des logiciels libres, tout en conservant une dimension européenne ambitieuse », a déclaré M. Danti.
Enfin, les colégislateurs européens ont convenu que les nouvelles règles devront être appliquées dans les trois années qui suivront l’entrée en vigueur du texte. (Thomas Mangin)