Les nouvelles règles de l’UE en matière de cybersécurité garantissent des matériels et des logiciels plus sûrs.
Des baby-moniteurs aux montres intelligentes, les produits et logiciels qui contiennent un composant numérique sont omniprésents dans notre vie quotidienne. Moins évident pour de nombreux utilisateurs est le risque de sécurité que ces produits et logiciels peuvent présenter.
Le règlement sur la cyberrésilience (CRA) vise à protéger les consommateurs et les entreprises qui achètent ou utilisent des produits ou des logiciels comportant un composant numérique. La loi verrait les dispositifs de sécurité inadéquats devenir une chose du passé avec l'introduction d'exigences de cybersécurité obligatoires pour les fabricants et les détaillants de ces produits, cette protection s'étendant tout au long du cycle de vie du produit.
Le problème abordé par le règlement est double.
Tout d'abord, le niveau inadéquat de cybersécurité inhérent à de nombreux produits, ou les mises à jour de sécurité inadéquates de ces produits et logiciels.
Deuxièmement, l'incapacité des consommateurs et des entreprises à déterminer actuellement quels produits sont cybersécurisés ou à les configurer de manière à garantir la protection de leur cybersécurité.
Le règlement sur la cyberrésilience garantira:
- des règles harmonisées lors de la mise sur le marché de produits ou de logiciels comportant un composant numérique;
- un cadre d’exigences en matière de cybersécurité régissant la planification, la conception, le développement et la maintenance de ces produits, avec des obligations à respecter à chaque étape de la chaîne de valeur;
- une obligation de diligence pour l'ensemble du cycle de vie de ces produits.
Lorsque le règlement entrera en vigueur, les logiciels et produits connectés à l'internet porteront le marquage CE pour indiquer qu'ils sont conformes aux nouvelles normes. En exigeant des fabricants et des détaillants qu’ils accordent la priorité à la cybersécurité, les clients et les entreprises seraient habilités à faire des choix mieux informés, confiants dans les informations d’identification en matière de cybersécurité des produits portant le marquage CE.
Le règlement a été annoncé dans la stratégie de cybersécurité de l’UEde 2020 et complète d’autres actes législatifs dans ce domaine, en particulier lecadre SRI 2.
Il s'appliquera à tous les produits connectés directement ou indirectement à un autre dispositif ou réseau, à l'exception des exclusions spécifiées telles que les logiciels ou services open source qui sont déjà couverts par les règles existantes, ce qui est le cas pour les dispositifs médicaux, l'aviation et les voitures.
Le règlement sur la cyberrésilience devrait entrer en vigueur au second semestre 2024 et les fabricants devront mettre des produits conformes sur le marché de l’Union d’ici 2027. La Commission examinera ensuite périodiquement la loi et fera rapport sur son fonctionnement.
Contenu associé
Vue d’ensemble
The European Union works on various fronts to promote cyber resilience, safeguarding our communication and data and keeping online society and economy secure.
À lire également
Le règlement de l’UE sur la cybersolidarité améliorera la préparation, la détection et la réaction aux incidents de cybersécurité dans l’ensemble de l’UE.
Les opérateurs de services essentiels (OES), les autorités nationales de certification de cybersécurité (ANC) et les autorités nationales compétentes (ANC) en matière de cybersécurité figurent parmi les candidats sélectionnés qui recevront un financement de 11 millions d’euros...
Le réseau européen de cybersécurité et le Centre de compétences en cybersécurité aident l’UE à conserver et à développer les capacités technologiques et industrielles en matière de cybersécurité.
Le groupe de certification des parties prenantes en matière de cybersécurité a été créé pour fournir des conseils sur les questions stratégiques relatives à la certification de cybersécurité.
La loi sur la cybersécurité renforce l’Agence de l’UE pour la cybersécurité (ENISA) et établit un cadre de certification de cybersécurité pour les produits et services.
Le cadre de certification de cybersécurité de l’UE pour les produits TIC permet la création de systèmes de certification de l’UE adaptés et fondés sur les risques.
La directive SRI2 est la législation européenne en matière de cybersécurité. Il prévoit des mesures juridiques visant à renforcer le niveau global de cybersécurité dans l’UE.