Cybersécurité : les députés européens adoptent le projet de règlement sur la cyberrésilience (Cyber Resilience Act)

[2024-03-12] (Accès libre) Le Parlement européen a approuvé le 12 mars 2024 le texte provisoire du projet de règlement sur la cyberrésilience (Cyber Resilience Act).

Ce texte de 340 pages, intitulé « Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020 », vise à garantir que les produits dotés de fonctions numériques sont sûrs à utiliser, résilients contre les cybermenaces et fournissent suffisamment d’informations sur leurs propriétés de sécurité.

Les produits concernés seront classés selon deux niveaux de risques, et ceux appartenant à la classe de risque la plus élevée devront faire l’objet d’un examen par un organisme notifié.

Parmi les exigences, nous pouvons retenir celle de séparer les mises à jour de fonctionnalités des mises à jour de sécurité (lesquelles devront être installées automatiquement), ou encore celle qui, en cas de fin de période d’assistance, oblige le fabricant à divulguer le code source du produit soit au public, soit à d’autres entreprises. Ces derniers s’engagent à étendre la fourniture de services de traitement des vulnérabilités (dans ce cas, le code source pourra être protégé contractuellement).

Le rôle de l’Agence européenne de cybersécurité (ENISA) est également renforcé. En effet, en cas d’incident, cette dernière se verra notifiée par l’État membre concerné et recevra des informations afin d’évaluer la situation et, si elle identifie un risque systémique, informera les autres États membres afin qu’ils soient en mesure de prendre les mesures nécessaires.

Afin de souligner l’importance des compétences professionnelles dans le domaine de la cybersécurité, les députés ont également introduit dans le règlement des programmes d’éducation et de formation, des initiatives de collaboration et des stratégies visant à renforcer la mobilité de la main-d’œuvre.

Une procédure « corrigendum » va être lancée pour rectifier les quelques erreurs potentiellement identifiées dans le texte provisoire voté, après quoi le rectificatif sera examiné et approuvé par le Parlement (dans sa version anglaise). Le Conseil votera ensuite sur la loi de cyberrésilience. Il faudra enfin attendre la publication au Journal officiel de l’UE (JOUE), probablement en septembre/octobre 2024. La date d’application obligatoire du texte de loi sera donc prévue 3 ans plus tard (automne 2027 si le calendrier ne dérive pas).

Article rédigé par Karim Chelly, membre du réseau DMEXPERTS.

Ces articles pourraient aussi vous intéresser

Méthodologies de référence CNIL : publication des nouvelles MR-001 et MR-003

[2026-05-23] La Commission Nationale de l’Informatique et des Libertés (CNIL) a modernisé, le 23 mai 2026, le cadre juridique applicable aux recherches dans le domaine…contenu réservé à nos abonnés Premium <div id="load" style="border: 2px solid #000; padding: 25px; font-size: 20px;...

1ᵉʳ juillet : jalon important pour la traçabilité des dispositifs médicaux en Suisse et en Australie

[2026-07-01] Le 1ᵉʳ juillet 2026, les autorités compétentes suisse et australienne ont rappelé l’entrée en application de nouvelles exigences. Swissdamed obligatoire Swissmedic (Institut suisse des produits thérapeutiques) a publié le 1ᵉʳ juillet une communication de synthèse rappelant le début de l’utilisation...

MHRA : rapport sur la phase 2 de AI Airlock

[2026-06-09] La MHRA (Medicines & Healthcare products Regulatory Agency), l’autorité compétente au Royaume-Uni, a publié ce 9 juin 2026 son rapport concernant la phase 2 du…contenu réservé à nos abonnés Premium <div id="load" style="border: 2px solid #000; padding: 25px; font-size: 20px;...

Master UDI-DI : spécifications et enregistrements se précisent !

[2026-06-09] (Accès libre) En décembre dernier, il manquait encore des éléments pour mettre en œuvre l’identification unique (Unique Device Identification ou UDI) des montures, verres et lunettes prémontées. L’identification de ces dispositifs, hautement individualisés, fait l’objet d’une solution ad hoc,...