© European Union
Des baby-moniteurs aux smart-watches, produits et logiciels qui contiennent un composant numérique sont omniprésents dans notre vie quotidienne. Moins évident pour de nombreux utilisateurs est le risque de sécurité que ces produits et logiciels peuvent présenter.
La loi sur la cyberrésilience (CRA) vise à protéger les consommateurs et les entreprises qui achètent ou utilisent des produits ou des logiciels avec un composant numérique. La loi verrait les dispositifs de sécurité inadéquats devenir une chose du passé avec l’introduction d’exigences de cybersécurité obligatoires pour les fabricants et les détaillants de ces produits, cette protection s’étendant tout au long du cycle de vie du produit.
Le problème abordé par le règlement est double.
Tout d’abord, le niveau inadéquat de cybersécurité inhérent à de nombreux produits ou les mises à jour de sécurité insuffisantes de ces produits et logiciels.
Deuxièmement, l’incapacité des consommateurs et des entreprises à déterminer actuellement quels produits sont cybersécurisés ou à les mettre en place de manière à garantir la protection de leur cybersécurité.
La loi sur la cyberrésilience garantira:
- des règles harmonisées lors de la mise sur le marché de produits ou de logiciels comportant un composant numérique;
- un cadre d’exigences en matière de cybersécurité régissant la planification, la conception, le développement et la maintenance de ces produits, avec des obligations à respecter à chaque étape de la chaîne de valeur;
- l’obligation d’assurer le devoir de sollicitude pour l’ensemble du cycle de vie de ces produits.
Lorsque le règlement entrera en vigueur, les logiciels et les produits connectés à l’internet porteront le marquage CE pour indiquer qu’ils sont conformes aux nouvelles normes. En exigeant des fabricants et des détaillants qu’ils donnent la priorité à la cybersécurité, les clients et les entreprises seraient habilités à faire des choix plus éclairés, confiants dans les qualifications en matière de cybersécurité des produits marqués CE.
Le règlement a été annoncé dans la stratégie 2020 de l’UE en matière de cybersécurité et complète d’autres législations dans ce domaine, en particulier le cadre SRI2.
Il s’appliquera à tous les produits connectés directement ou indirectement à un autre dispositif ou réseau, à l’exception des exclusions spécifiées, telles que les logiciels ou services open source qui sont déjà couverts par les règles existantes, ce qui est le cas pour les dispositifs médicaux, l’aviation et les voitures.
Le règlement devrait entrer en vigueur au début de 2024. Les fabricants devront appliquer les règles 36 mois après leur entrée en vigueur. La Commission examinera ensuite périodiquement la Loi et fera rapport sur son fonctionnement.
Contenu associé
Vue d’ensemble
L’Union européenne travaille sur différents fronts pour promouvoir la cyberrésilience, protéger nos communications et nos données et préserver la sécurité de la société et de l’économie en ligne.
À lire également
La législation de l’UE sur la cybersolidarité améliorera la préparation, la détection et la réaction aux incidents de cybersécurité dans l’ensemble de l’UE.
Les opérateurs de services essentiels (OES), les autorités nationales de certification de cybersécurité (ANC) et les autorités nationales compétentes (ANC) en matière de cybersécurité figurent parmi les candidats sélectionnés qui recevront un financement de 11 millions d’euros...
Le réseau européen de cybersécurité et le Centre de compétences en cybersécurité aident l’UE à conserver et à développer les capacités technologiques et industrielles en matière de cybersécurité.
Le Stakeholder Cybersecurity Certification Group a été créé pour fournir des conseils sur les questions stratégiques relatives à la certification de cybersécurité.
La loi sur la cybersécurité renforce l’Agence de l’UE pour la cybersécurité (ENISA) et établit un cadre de certification de cybersécurité pour les produits et services.
Le cadre de certification de cybersécurité de l’UE pour les produits TIC permet la création de systèmes de certification de l’UE sur mesure et fondés sur les risques.
La directive SRI2 est la législation européenne en matière de cybersécurité. Il prévoit des mesures juridiques visant à renforcer le niveau global de cybersécurité dans l’UE.