login
login
Image header Agence Europe
Bulletin Quotidien Europe N° 13897
Sommaire Publication complète Par article 17 / 39
POLITIQUES SECTORIELLES / NumÉrique

ACT plaide pour une certification en cybersécurité « volontaire » et dissociée des évaluations des risques liés aux chaînes d’approvisionnement

ACT (Association for Competitive Technology), une association représentant des start-ups technologiques, a publié, jeudi 25 juin, sa position sur la révision du règlement sur la cybersécurité (Cybersecurity Act 2) (EUROPE 13790/1). Parmi ses principales demandes figure la nécessité de dissocier les évaluations des risques liés aux chaînes d’approvisionnement des critères d’éligibilité à la certification européenne en cybersécurité, qui doit rester « volontaire », compte tenu de coûts « excessifs » et « des bénéfices très limités pour la cyberrésilience de l’Europe ».

« Les évaluations des risques liés aux chaînes d’approvisionnement ne devraient pas déterminer l’éligibilité à la certification », estime l’association.

Des schémas de certification fondés sur les risques et alignés sur les normes internationales. Les schémas de certification devraient rester fondés sur une approche basée sur les risques et être alignés sur les normes internationales reconnues, plutôt que de créer des exigences propres à l’UE. ACT plaide également en faveur de la reconnaissance mutuelle des certifications équivalentes délivrées dans des pays tiers de confiance afin d’éviter que les petites entreprises ne soient contraintes de certifier plusieurs fois un même produit pour différents marchés.

Sécurité des chaînes d’approvisionnement en TIC : périodes de transition « réalistes ». Elle appelle les colégislateurs à rejeter toute modification introduisant des critères d’éligibilité fondés sur la nationalité, le siège social ou la structure de propriété des entreprises. Selon ACT, des critères non techniques ne devraient pas être utilisés dans les procédures de certification.

Tout en soutenant l’objectif de renforcer la cohérence au niveau de l’UE en matière de sécurité des chaînes d’approvisionnement en TIC, ACT appelle à éviter des effets « disproportionnés », en particulier pour les PME.

Les évaluations des risques devraient être « fondées sur des éléments probants et transparents ». Les fournisseurs devraient être consultés avant d’être désignés comme présentant un risque élevé, afin de leur permettre de proposer des mesures d’atténuation. ACT plaide pour des périodes de transition « réalistes », car le remplacement de « composants TIC largement utilisés » peut « prendre plusieurs années et, dans certains cas, être techniquement impossible sans remplacer l’ensemble des systèmes ».

Par ailleurs, l'association estime qu'il ne faut imposer « aucune application rétroactive aux produits finaux déjà déployés sur le marché ». Les produits intégrant déjà un composant concerné ne devraient donc pas être rappelés. (Ana Pisonero Hernández)

Sommaire

POLITIQUES SECTORIELLES
Invasion Russe de l'Ukraine
ÉCONOMIE - FINANCES - ENTREPRISES
INSTITUTIONNEL
SOCIAL - EMPLOI
ACTION EXTÉRIEURE
DROITS FONDAMENTAUX - SOCIÉTÉ
BRÈVES