Ce projet de loi vise à introduire des règles communes en matière de cybersécurité sur les produits matériels comme logiciels.
L’exécutif européen veut durcir les règles destinées aux fabricants de produits numériques en matière de cybersécurité. Jeudi 15 septembre, le Cyber Resilience Act, du commissaire au Marché intérieur Thierry Breton a été présenté devant le Parlement européen. Le texte, s'il est adopté, obligera les fabricants de matériels et de logiciels à renforcer le niveau de sécurité de leurs produits.
« En tant que plus grand marché unique numérique au monde, il est de notre responsabilité de protéger nos consommateurs et nos entreprises contre les cyberattaques. Désormais, tout appareil, application ou logiciel connecté sur notre marché européen devra être "CyberSafe by design" », a twitté Thierry Breton.
A l'heure actuelle, « la plupart des produits matériels et logiciels ne sont couverts par aucune législation de l’UE traitant de leur cybersécurité. », s’inquiète la Commission européenne. Alors même que lesdits produits, qui se comptent par dizaines de milliards à travers le monde, souffrent de plusieurs problèmes « majeurs », selon l'exécutif européen. Citons : un faible niveau de cybersécurité, des vulnérabilités généralisées et une fourniture « insuffisante et incohérente » de mises à jour de sécurité. A quoi s'ajoute un manque d’informations transmis aux utilisateurs afin de mieux appréhender ces objets, et choisir ceux disposant des meilleures propriétés en matière de cybersécurité.
Responsabiliser les fabricants
Dans le détail, le texte imposera aux fabricants, opérateurs économiques, distributeurs et importateurs, d'être transparents quant aux instructions d’utilisations et aux éléments numériques et de cybersécurité « qui doivent être portés à la connaissance des clients. » Ils devront également fournir un support de sécurité, des mises à jour de sécurité ainsi qu’une assistance pendant une période de temps d’au moins 5 ans. Ils seront également tenus de signaler les vulnérabilités et incidents exploités par des pirates.
Charge aux fabricants de se soumettre à un processus d'évaluation de la conformité pour prouver le respects des exigences en matière de cybersécurité. L’évaluation pourra être réalisée par « une tierce partie » ou, plus étonnant, via une auto-évaluation. La confiance règne. Les fabricants et développeurs devront établir une déclaration UE et apposer une marque CE sur leurs produits une fois la conformité attestée. Un prérequis afin que les produits puissent circuler librement au sein de l’Union européenne.
Les États membres, quant à eux, nommeront des autorités de surveillance de l'application du Cyber Resilience Act. En cas de non-conformité, les autorités imposeront soit une remise en conformité, un retrait ou un rappel d’un produit. Des sanctions administratives allant de 15 millions d’euros à 2,5 % du chiffre d'affaires annuel mondial sont également prévues.
La loi doit encore être examinée par le Parlement européen et le Conseil de l’Union européenne. Ensuite, les opérateurs et États membres auront deux ans pour se mettre en conformité.