Avec le Cyber ​​Resilience Act, l’Union européenne veut serrer la vis sur la cybersécurité

With the Cyber ​​Resilience Act, the Commission intends to impose several rules on manufacturers and publishers of connected products in the area of ​​data security. Elle espère ainsi prémunir notably against the multiplication of failures of these products that have appeared in daily life since the beginning of the 2010s.

A l’instar, par exemple, des nombreuses caméra de surveillance connectées whose security flaws are frequently pointed out by security researchers and exploited by cybercriminels. Ou encore certains jouets connectés dont le fabricant a été mis en demeure par la Commission nationale de l’informatique et des libertés (CNIL) face aux risques d’espionnage to which they exponent les enfants.

Mais le Cyber ​​Resilience Act vise large : la proposal de la Commission vise à établiser des règles communes pour l’ensemble des « Produits comportant des éléments numériques », une definition large allant des dispositifs matériels aux logiciels. Quelques exceptions are nevertheless provided by the text, which leaves for example the devices of the medical world or those intended for the aeronautical sector, already covered by other European regulations.

Read also: Ce qu’il faut retenir du discours d’Ursula von der Leyen sur l’état de l’UE : creation of a banque publique de l’hydrogen, Ukraine…

The online services are also excluded from the regulations provided for when they are not directly linked to a product. Ainsi les softwares de type messengere instantanee et autres softwares proposés en tant que service en ligne ne sont pas contressente. But the Cyber ​​Resilience Act tel que voulu par la Commission européenne a l’ambition d’encadrer tout le reste: des smartphones aux processors en passant par les systèmes d’exploitation ou les navigators.

Comme le résumé Thierry Breton, commissaire au marché intérieur : « Computers, telephones, home appliances, virtual assistance devices, cars, toys… each of these hundreds of millions of connected products can serve as the gateway to a cyberattack. Yet, aujourd’hui, la plupart des produits matériel et logiciels ne sont soumis à aucune obligation in matière de cybersécurité. En introduisant la cybersécurité dès la conception, l’acte législatif sur la cyber-résilience will contribute to protect l’économie européenne et la sécurité de tous. »

A chaque produit sa category

The text presented by the Commission details a first series of obligations that apply to the set of products as defined, then distinguishes a second category of products considered as “critiques”, which represent, according to the authors of the text, 10% of l’ensemble des objects concerned by the regulation. Dans cette catégorie, ellemême divided into two «classes» according to their level of criticality, we find tools playing a central role in the security of networks or those whose security flaws present a risk for a large number of people.

La Commission donne la liste des produits rangés dans cette catégérie, qui durante se soutret à des exigences supplémentaires. Dans la classe 1, on retrouve par example les antiviruses, les gestionnels de mots de passe ou encore les VPN. Class 2 includes operating systems for computers, smartphones and servers, connected objects and routers for the industrial world, as well as essential software for the management of cloud services (the « hypervisors »). The Commission reserves the right to modify the list of devices and services concerned by the regulation.

Pour l’ensemble des produits, le texte prévoit deux principales mesures : les manufacturers must take into account the security of the appareil ou du logiciel dès sa conception, et ils ne mustn’ pas librer de produits comportant des failles de sécurité connues. D’autres mesures, comme le deployment de cipherment pour protéger la confidentiality des données, poignant s’appliquer selon l’évaluation des risques réalisées par le constructor ou par un thirds.

The manufacturers will not be required to deliver products with known security flaws

Parmi les obligations évoquées, le texte souhaite clarifier la documentation accompagnant les produits : ceux-ci durée être assortis d’informations claires concernant leur sécurité, le support technique proposé par le supplier ou l’installation de mises à jour de sécurité. The Cyber ​​Resilience Act also provides certain dispositions visant à s’assure que les constructeurs assurent la diffusion de security fixes pending au moins cinq ans, ainsi que la mise en place de procédures de gestion de vulnerabilités conforme aux directives de la Commission européenne.

Des amendes jusqu’à 15 million d’euros

Additional constraints are provided for the products included in the “review” category. : contrairement à la majority des produits couverts par le règlement, ceux ci will have to demonstrate their conformity with une norm déjà existante ou la faire verifier par un organisme tiers designated par chaque Etat membre. In addition, the manufacturers will be required to signal sous vingt-quatre heures à l’Agence de l’Union européenne pour la cybersécurité (Enisa) the new vulnerabilities discovered in these products and actively exploited by cybercriminels.

The Commission entrusts the Member States with the task of designating the market surveillance organizations responsible for verifying the compliance of organizations and products with the new regulation. In case of non-compliance, the text provides for fines of up to 15 million euros or 2.5% of the turnover of the offending company, as well as the possibility of prohibiting the commercialization of a product. sur le sol européen.

Read also Article reserved for our subscribers Bruxelles proposes a “European shield” against cyberattacks

The proposal of the Commission is the first step in the European legislative process of the text. Celui-ci doit encore recevoir l’accord du Parlement européen, ainsi que celui du Conseil de l’Union européenne. Les trois will have to subsequently negotiate pour s’accorder sur un texte final. De nombreux détails peuvent donc changer between the initial proposal of the Commission and the final text that will be adopted. En tant que règlement, the text does not provide for transposition in French law and applies in the same way to all member states of the European Union. Une fois adoptées, les entreprises et etat membres « disposeront d’un délai de deux ans pour s’adapter aux nouvelles exigences »assure the Commission.

Leave a Reply

Your email address will not be published.