La proposition de règlement CE de la Commission européenne a pour objectif de sécuriser les entreprises et les consommateurs lors de l'achat de produits numériques. A l'avenir, les fabricants devront également satisfaire à des exigences de cybersécurité explicitement mentionnées et procéder à une appréciation des risques cyber.
Ce bref aperçu explique les motivations de la Commission ainsi que certains aspects de fond de ce projet d'acte législatif.
Toutes les 11 secondes, une attaque de pirates informatiques a lieu. Il en résulte des coûts de plus de 5 billions d'euros. C'est ce qu'écrit la Commission européenne dans sa stratégie de cybersécurité, soulignant ainsi la nécessité de garantir un niveau de cybersécurité plus élevé à l'avenir. L'objectif est que les exigences définies soient intégrées en permanence dans l'ensemble de la chaîne d'approvisionnement.
La proposition publiée de "Cyber Resilience Act" vise à garantir que les produits numériques deviennent plus sûrs pour les particuliers et les entreprises. Les fabricants de ces produits, qu'il s'agisse de matériel ou de logiciels, seront tenus de corriger les vulnérabilités par le biais de mises à jour logicielles et d'informer les utilisateurs finaux de leurs produits des risques potentiels en matière de cybersécurité. En outre, le projet de règlement définit des exigences pour le développement de logiciels et souligne ainsi également la "sécurité dès la conception" exigée par la loi sur la cybersécurité déjà en vigueur.
La législation sur la cybersécurité présentée par la Commission européenne a pour objectif général de mettre sur le marché intérieur des produits matériels et logiciels plus sûrs. La Commission concrétise les objectifs de l'acte législatif sous la forme de 4 mesures :
La proposition de loi permet de constater que ce domaine est très large :
"Le présent règlement s'applique aux produits comportant des éléments numériques dont l'utilisation prévue ou raisonnablement prévisible implique une connexion de données logique ou physique directe ou indirecte à un appareil ou à un réseau".
De par sa définition lâche des "éléments numériques", le Règlement couvre donc aussi bien les matériels tels que les machines et les appareils IoT que les produits purement logiciels.
Le champ d'application mentionne également des exceptions, par exemple les dispositifs médicaux visés par le Règlement (UE) 2017/745 n'entrent pas dans le champ d'application de l'acte législatif envisagé.
L'acte juridique règle également la future interaction avec le règlement délégué 2022/30, qui exige déjà des exigences de sécurité pour les installations connectées à Internet au sens de la directive sur les équipements hertziens 2014/53/UE (nous en avons parlé). Bruxelles a ainsi annoncé que, pour éviter les chevauchements, le Règlement 2022/30 serait soit abrogé, soit simplement complété.
A l'instar des textes législatifs européens précédents (p. ex. la directive sur les machines ou la directive sur la basse tension), le Cyber Resiliance Act prévoit également une procédure d'évaluation de la conformité.
L'Appréciation du risque cybernétique constitue le cœur de la procédure. Ainsi, le projet prévoit à l'article 10, paragraphe 2 :
"Les fabricants doivent procéder à une évaluation des risques de cybersécurité liés à un produit comportant des éléments numériques et prendre en compte le résultat de cette évaluation lors des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents de sécurité et de minimiser les conséquences de ces incidents, y compris en ce qui concerne la santé et la sécurité des utilisateurs."
Selon la criticité des produits, la procédure d'évaluation de la conformité distingue entre une auto-certification et deux procédures nécessitant l'intervention d'organismes notifiés. Pour plus de détails, voir Factsheet sur la loi sur la cyber-résilience.
Les dispositions de l'annexe V, paragraphe 2, du projet de règlement sont à notre avis particulièrement remarquables pour les fabricants. Le projet mentionne ici différents aspects (conception, développement, production, analyse de la vulnérabilité) comme contenus de la documentation technique. Cela signifie que dans le processus de développement logiciel, les décisions d'architecture logicielle ainsi que les décisions relatives au processus de développement et de construction devront être documentées à l'avenir - si l'on en croit la Commission européenne. Cela signifie bien entendu un effort de documentation accru pour les entreprises. En particulier, l'évolution technologique rapide des outils de développement de logiciels (par exemple pour les processus de construction) placera certainement les entreprises devant des défis organisationnels gérables, mais qui ne doivent pas être sous-estimés.
La proposition en bref:
"CONTENUS DE LA DOCUMENTATION TECHNIQUE
(...)
a description de la conception, du développement et de la production du produit et des processus de gestion de la vulnérabilité, y compris :
(a) des informations complètes sur la conception et le développement du produit avec des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l'architecture du système expliquant comment les composants logiciels se construisent ou s'alimentent mutuellement et s'intègrent dans le traitement global ;
(b) les informations complètes et les spécifications des processus de gestion des vulnérabilités mis en place par le fabricant, y compris la liste des matériels logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la mise à disposition d'une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour ;
(c) les informations complètes et les spécifications des processus de production et de surveillance du produit avec des éléments numériques et la validation de ces processus"
En raison de la situation actuelle en matière de sécurité, et notamment de la guerre en Ukraine, on pouvait s'attendre à ce que l'augmentation de la résilience aux cyber-attaques en Europe soit une priorité politique et fasse l'objet d'une attention particulière.
Le 1er décembre 2023, le Parlement européen et le Conseil sont parvenus à un accord sur la loi sur la cyber-résilience proposée par la Commission en septembre 2022. Celle-ci conserve les grandes lignes de la proposition précédente de la Commission, mais les colégislateurs proposent des adaptations dans certains domaines. Ceux-ci comprennent par exemple le souhait d'une méthodologie plus simple pour la classification des produits numériques couverts par le Règlement, une définition de la durée de vie des produits par les fabricants ou une obligation de notification des vulnérabilités et des incidents activement exploités.
Le 12 mars 2024, le Parlement européen a adopté le texte de compromis. Après une approbation par le Conseil, la publication au Journal officiel de l'UE pourra avoir lieu, puis la loi sur la cyber-résilience entrera en vigueur le 20e jour suivant sa publication au Journal officiel.
Après l'entrée en vigueur du Règlement IA, les fabricants, importateurs et distributeurs de produits matériels et logiciels auront 36 mois pour se conformer aux nouvelles exigences, sauf (21 mois) en ce qui concerne l'obligation des fabricants de signaler les incidents et les vulnérabilités.
Les lecteurs intéressés peuvent consulter le texte de compromis actuel pour un règlement sur les pages de la Commission européenne .
Rédigé le : 13.03.2024 (Dernière mise à jour)
Johannes Windeler-Frick, MSc ETH Membre de la direction d'IBF. Spécialiste du marquage CE et de Safexpert. Conférences, podcasts et publications sur différents thèmes CE, notamment l'organisation CE et la gestion CE efficace. Direction du développement du système logiciel Safexpert. Études d'électrotechnique à l'EPF de Zurich (MSc) avec spécialisation en technique énergétique et approfondissement dans le domaine des machines-outils.
E-Mail : johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc Chef de produit chez IBF pour les produits supplémentaires ainsi que gestionnaire de données pour l'actualisation des données normatives sur le Safexpert Live Server. Études d'économie à Passau (BSc) et à Stuttgart (MSc), spécialisation en commerce international et en économie.
E-Mail : daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Vous n'êtes pas encore inscrit à l'InfoService CE gratuit ? Inscrivez-vous dès maintenant et recevez les informations par e-mail lorsque de nouveaux articles spécialisés, d'importantes publications de normes ou d'autres actualités dans le domaine de la sécurité des machines et des appareils électriques ou de la conformité des produits sont disponibles. (Le CE-InfoService n'est actuellement disponible qu'en allemand et en anglais.)
S'inscrire