Les négociateurs de l’UE sont parvenus à un accord politique sur le règlement sur la cyberrésilience (Cyber Resilience Act) ce jeudi (30 novembre), aplanissant leurs divergences sur les dernières questions en suspens dans ce dossier.
Le règlement sur la cyberrésilience est une proposition législative visant à introduire des exigences de sécurité pour les appareils connectés, des jouets intelligents aux machines-outils. Les dispositions finales du texte ont été convenues lors d’une réunion interinstitutionnelle (« trilogue ») entre la Commission européenne, le Parlement et le Conseil, au terme duquel les co-législateurs sont parvenus à un accord politique provisoire.
Comme Euractiv l’avait déjà rapporté, l’accord avait fait l’objet d’un travail important au niveau technique en amont de la réunion politique, au cours de laquelle de nombreux aspects de la proposition ont simplement été approuvés. Les désaccords qui étaient toujours en suspens ont pu être résolus après d’intenses débats.
« Le règlement sur la cyberrésilience renforcera la cybersécurité des produits connectés, en s’attaquant aux failles de sécurité matérielle et logicielle, faisant de l’UE un continent plus sûr et plus résilient. Le Parlement a protégé les chaînes d’approvisionnement, en s’assurant que les produits clés tels que les routeurs et les antivirus soient identifiés comme une priorité pour la cybersécurité », a expliqué l’eurodéputé Nicola Danti (Renew Europe) à Euractiv.
Traitement des failles de sécurité
Les fabricants d’appareils connectés ne pourront plus lancer de produits sur le marché s’ils ont connaissance de failles de sécurité importantes susceptibles de donner lieu à des piratages. Ils devront au contraire gérer ces points d’entrée potentiels dès qu’ils en auront connaissance, tout au long de la période de maintien en conditions opérationnelles.
Lorsque les fabricants ont connaissance d’un incident ou d’une faille de sécurité activement exploitée, ils devront la signaler et informer les autorités compétentes des mesures prises pour l’atténuer.
Les failles activement exploitées constituent un type d’information extrêmement sensible du point de vue de la cyberdéfense, car, au moment de la communication, le point d’entrée des pirates n’a pas encore été corrigé. C’est pourquoi la question de savoir qui doit traiter ces informations sensibles a été un point d’achoppement au cours des négociations.
Le Conseil des ministres de l’UE a transféré cette tâche de l’Agence européenne pour la cybersécurité (ENISA), aux centres de réponses aux incidents de sécurité informatique (CSIRT), qui ont une tâche similaire en vertu de la directive révisée sur les réseaux et les systèmes d’information (Networks and Information Systems Directive, NIS2).
Le Parlement européen a insisté pour que l’ENISA soit tenue au courant afin d’éviter de laisser aux autorités nationales une trop grande marge de manœuvre et de conserver pour elles-mêmes ces informations hautement sensibles.
Un compromis a été trouvé en décidé que la notification qui d’une faille de sécurité sera envoyée simultanément par les fabricants au CSIRT compétent et à l’ENISA via une plateforme de notification unique. Cependant, les États membres ont défendu l’idée qu’ils devraient pouvoir restreindre les informations envoyées à l’ENISA pour des raisons de cybersécurité.
Les conditions de ces restrictions ont fait l’objet d’intenses discussions, qui ont abouti à des conditions assez étroites. En particulier, le CSIRT pourra limiter la notification lorsque le produit concerné est essentiellement présent sur son marché national et ne présente pas de risque pour les autres États membres de l’UE.
En outre, les autorités nationales ne seront pas tenues de divulguer les informations qu’elles jugent nécessaires à la protection des intérêts essentiels de sécurité. Cette mise en garde est conforme aux traités de l’UE.
La troisième condition s’applique si le fabricant lui-même décèle un risque imminent en cas de diffusion ultérieure et l’indique dans son signalement.
Les eurodéputés ont obtenu que l’ENISA reçoive toujours certaines informations pour surveiller tout risque systémique sur le marché unique. L’agence européenne sera informée du nom du fabricant et du produit concerné, ainsi que de quelques informations générales portant sur son utilisation.
Les parlementaires ont également insisté sur la nécessité de doter l’ENISA de ressources suffisantes pour faire face à ses nouvelles tâches. Ce point n’a pas été intégré au règlement, mais il fera partie d’une déclaration commune des principales institutions de l’UE.
Logiciels open source
Un autre point de négociation concerne les logiciels libres intégrés dans les produits commerciaux. Ici, un accord a été trouvé au niveau technique et approuvé au niveau politique.
Comme précédemment divulguée sur Euractiv, l’idée était de ne couvrir que les logiciels développés dans le cadre d’activités commerciales et d’avoir des règles plus limitées pour les responsables des logiciels libres en ce qui concerne la documentation et la gestion des failles.
Dans la version finale du texte, consultée par Euractiv, les organisations à but non lucratif qui commercialisent des logiciels libres sur le marché mais réinvestissent tous les revenus dans des activités à but non lucratif ont également été exclues du champ d’application.
Exemption en matière de sécurité nationale
Les États membres ont obtenu l’exclusion du champ d’application du règlement tout produit développé ou modifié exclusivement à des fins de sécurité nationale ou de défense.
Législation secondaire
C’est une discussion récurrente dans le processus législatif de l’UE : quel sera donc le « type » de législation secondaire qui sera utilisé pour modifier le règlement dans le futur ?
Les actes délégués impliquent le Parlement, et donc un vote des eurodéputés, ainsi que le Conseil. Or, les actes d’exécution requièrent uniquement la supervision de comités composés de représentants des États membres.
Selon l’accord conclu, la définition de la période de maintien en conditions opérationnelles sera détaillée dans un acte délégué, tandis que celle des catégories de produits spéciaux sera effectuée dans un acte d’exécution.
Affectation des recettes provenant des sanctions
Le Parlement européen a insisté pour que soit introduite une formulation exigeant que les sanctions prévues par cette législation soient réinvesties dans des activités de renforcement des capacités en matière de cybersécurité.
Ce point n’a pas été inclus dans le corps du texte de loi, mais une référence dans le chapeau du règlement a été insérée.
[Édité par Théophane Hartmann & Anne-Sophie Gayet]