La Commission a présenté une proposition de nouvelle loi sur la cyber-résilience afin de protéger les consommateurs et les entreprises contre les produits dotés de fonctions de sécurité inadéquates. Première législation de ce type à l’échelle de l’UE, elle introduit des exigences obligatoires en matière de cybersécurité pour les produits contenant des éléments numériques, tout au long de leur cycle de vie.
La loi, annoncée par la présidente Ursula von der Leyen en septembre 2021 lors de son discours sur l’état de l’Union européenne , et s’appuyant sur la stratégie 2020 de l’ UE en matière de cybersécurité et la stratégie 2020 sur l’union de la sécurité de l’UE , garantira que les produits numériques, tels que les produits sans fil et câblés et les logiciels, sont plus sûrs pour les consommateurs de l’UE : en plus d’accroître la responsabilité des fabricants en les obligeant à fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités identifiées, cela permettra aux consommateurs de disposer d’informations suffisantes sur la cybersécurité des produits qu’ils acheter et utiliser.
Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère numérique, a déclaré : « Nous méritons de nous sentir en sécurité avec les produits que nous achetons sur le marché unique. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur avec un marquage CE, la loi sur la cyber-résilience garantira que les objets et logiciels connectés que nous achetons respectent de solides mesures de sécurité en matière de cybersécurité. Cela mettra la responsabilité là où elle appartient, avec ceux qui placent les produits sur le marché.
Margaritis Schinas, vice-présidente pour la promotion de notre mode de vie européen, a déclaré : « Le Cyber Resilience Act est notre réponse aux menaces de sécurité modernes qui sont désormais omniprésentes dans notre société numérique. L’UE a été pionnière dans la création d’un écosystème de cybersécurité par le biais de règles sur les infrastructures critiques, la préparation et la réaction en matière de cybersécurité et la certification des produits de cybersécurité. Aujourd’hui, nous complétons cet écosystème par une loi qui apporte la sécurité dans la maison de chacun, dans toutes nos entreprises et dans chaque produit qui est interconnecté. La cybersécurité est une affaire de société, et non plus une affaire d’industrie.
Thierry Breton, commissaire chargé du marché intérieur, a déclaré : « En matière de cybersécurité, l’Europe n’est aussi forte que son maillon le plus faible : qu’il s’agisse d’un État membre vulnérable ou d’un produit dangereux tout au long de la chaîne d’approvisionnement. Ordinateurs, téléphones, appareils électroménagers , dispositifs d’assistance virtuelle, voitures, jouets… chacun de ces centaines de millions de produits connectés est une porte d’entrée potentielle pour une cyberattaque. Pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation de cybersécurité. introduisant la cybersécurité dès la conception, le Cyber Resilience Act contribuera à protéger l’économie européenne et notre sécurité collective. »
Avec des attaques de rançongiciels frappant une organisation toutes les 11 secondes dans le monde et le coût annuel mondial estimé de la cybercriminalité atteignant 5,5 billions d’euros en 2021 (rapport du Centre de recherche conjoint (2020) : « Cybersecurity – Our Digital Anchor, a European perspective »), garantissant une un niveau élevé de cybersécurité et la réduction des vulnérabilités des produits numériques – l’une des principales voies de réussite des attaques – sont plus importantes que jamais. Avec la croissance des produits intelligents et connectés, un incident de cybersécurité dans un produit peut avoir un impact sur l’ensemble de la chaîne d’approvisionnement, entraînant éventuellement de graves perturbations des activités économiques et sociales dans l’ensemble du marché intérieur, compromettant la sécurité ou même mettant la vie en danger.
Les mesures proposées aujourd’hui sont basées sur le nouveau cadre législatif pour la législation européenne sur les produits et établiront:
a) des règles de mise sur le marché de produits contenant des éléments numériques pour assurer leur cybersécurité;
(b) les exigences essentielles pour la conception, le développement et la production de produits contenant des éléments numériques, et les obligations des opérateurs économiques concernant ces produits;
c) les exigences essentielles relatives aux processus de traitement des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits contenant des éléments numériques tout au long de leur cycle de vie, et les obligations des opérateurs économiques en rapport avec ces processus. Les fabricants devront également signaler les vulnérabilités et les incidents activement exploités ;
d) des règles de surveillance du marché et d’application.
Les nouvelles règles rééquilibreront la responsabilité vis-à-vis des fabricants, qui doivent garantir la conformité aux exigences de sécurité des produits contenant des éléments numériques mis à disposition sur le marché de l’UE. En conséquence, ils bénéficieront aux consommateurs et aux citoyens, ainsi qu’aux entreprises utilisant des produits numériques, en améliorant la transparence des propriétés de sécurité et en favorisant la confiance dans les produits contenant des éléments numériques, ainsi qu’en garantissant une meilleure protection de leurs droits fondamentaux, tels que confidentialité et protection des données.
Alors que d’autres juridictions dans le monde cherchent à résoudre ces problèmes, la loi sur la cyber-résilience est susceptible de devenir une référence internationale, au-delà du marché intérieur de l’UE. Les normes de l’UE fondées sur la loi sur la cyber-résilience faciliteront sa mise en œuvre et seront un atout pour le secteur de la cybersécurité de l’UE sur les marchés mondiaux.
Le règlement proposé s’appliquera à tous les produits connectés directement ou indirectement à un autre appareil ou réseau. Il existe quelques exceptions pour les produits pour lesquels des exigences en matière de cybersécurité sont déjà définies dans les règles existantes de l’UE, par exemple sur les dispositifs médicaux, l’aviation ou les voitures.
Prochaines étapes
Il appartient maintenant au Parlement européen et au Conseil d’examiner le projet de loi sur la cyber-résilience. Une fois adoptées, les opérateurs économiques et les États membres disposeront de deux ans pour s’adapter aux nouvelles exigences. Une exception à cette règle est l’obligation de déclaration des fabricants pour les vulnérabilités et les incidents activement exploités, qui s’appliqueraient déjà un an à compter de la date d’entrée en vigueur, car ils nécessitent moins d’ajustements organisationnels que les autres nouvelles obligations. La Commission réexaminera régulièrement la loi sur la cyber-résilience et rendra compte de son fonctionnement.
Arrière plan
La cybersécurité est l’une des principales priorités de la Commission et une pierre angulaire de l’Europe numérique et connectée. Une augmentation des cyberattaques pendant la crise du coronavirus a montré à quel point il est important de protéger les hôpitaux, les centres de recherche et les autres infrastructures. Une action forte dans ce domaine est nécessaire pour pérenniser l’économie et la société de l’UE. On estime que les coûts annuels des violations de données sont d’au moins 10 milliards d’euros et les coûts annuels des tentatives malveillantes de perturbation du trafic sur Internet sont estimés à au moins 65 milliards d’euros ( rapport d’analyse d’impact accompagnant le règlement délégué de la Commission complétant les équipements radio directive règlement délégué).
La stratégie de cybersécurité, présentée en décembre 2020, a proposé d’intégrer la cybersécurité dans chaque élément de la chaîne d’approvisionnement et de rassembler davantage les activités et les ressources de l’UE dans les quatre communautés de cybersécurité – marché intérieur, application de la loi, diplomatie et défense. Il s’appuie sur la stratégie de l’UE » Façonner l’avenir numérique de l’Europe « et sur la stratégie de l’ UE pour l’union de la sécurité , et s’appuie sur un certain nombre d’actes législatifs, d’actions et d’initiatives que l’UE a mis en œuvre pour renforcer les capacités en matière de cybersécurité et garantir une Europe plus cyber-résiliente.
La nouvelle loi sur la cyber-résilience viendra compléter le cadre de l’UE en matière de cybersécurité : la directive sur la sécurité des réseaux et des systèmes d’information ( directive NIS ), la directive relative à des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union ( directive NIS 2 ), récemment adopté par le Parlement européen et le Conseil, et la loi sur la cybersécurité de l’UE .
