[2024-03-12] (Accès libre) Le Parlement européen a approuvé le 12 mars 2024 le texte provisoire du projet de règlement sur la cyberrésilience (Cyber Resilience Act).
Ce texte de 340 pages, intitulé « Exigences horizontales de cybersécurité pour les produits comportant des éléments numériques et modification du règlement (UE) 2019/1020 », vise à garantir que les produits dotés de fonctions numériques sont sûrs à utiliser, résilients contre les cybermenaces et fournissent suffisamment d’informations sur leurs propriétés de sécurité.
Les produits concernés seront classés selon deux niveaux de risques, et ceux appartenant à la classe de risque la plus élevée devront faire l’objet d’un examen par un organisme notifié.
Parmi les exigences, nous pouvons retenir celle de séparer les mises à jour de fonctionnalités des mises à jour de sécurité (lesquelles devront être installées automatiquement), ou encore celle qui, en cas de fin de période d’assistance, oblige le fabricant à divulguer le code source du produit soit au public, soit à d’autres entreprises. Ces derniers s’engagent à étendre la fourniture de services de traitement des vulnérabilités (dans ce cas, le code source pourra être protégé contractuellement).
Le rôle de l’Agence européenne de cybersécurité (ENISA) est également renforcé. En effet, en cas d’incident, cette dernière se verra notifiée par l’État membre concerné et recevra des informations afin d’évaluer la situation et, si elle identifie un risque systémique, informera les autres États membres afin qu’ils soient en mesure de prendre les mesures nécessaires.
Afin de souligner l’importance des compétences professionnelles dans le domaine de la cybersécurité, les députés ont également introduit dans le règlement des programmes d’éducation et de formation, des initiatives de collaboration et des stratégies visant à renforcer la mobilité de la main-d’œuvre.
Une procédure « corrigendum » va être lancée pour rectifier les quelques erreurs potentiellement identifiées dans le texte provisoire voté, après quoi le rectificatif sera examiné et approuvé par le Parlement (dans sa version anglaise). Le Conseil votera ensuite sur la loi de cyberrésilience. Il faudra enfin attendre la publication au Journal officiel de l’UE (JOUE), probablement en septembre/octobre 2024. La date d’application obligatoire du texte de loi sera donc prévue 3 ans plus tard (automne 2027 si le calendrier ne dérive pas).
Article rédigé par Karim Chelly, membre du réseau DMEXPERTS.