Cyberrésilience : De nouvelles règles européennes pour des produits matériels et logiciels plus sécurisés

La présidente Ursula von der Leyen  a soumis une proposition de nouvel acte législatif sur la cyber-résilience lors de son discours sur l'état de l'Union européenne de septembre 2021. Fondé sur la stratégie de cybersécurité de l'UE de 2020 et la stratégie de l'UE pour l'union de la sécurité de la même année, cet acte législatif garantira que les produits numériques, tels que les produits et logiciels sans fil et filaires, sont plus sécurisés pour les consommateurs dans l'ensemble de l'UE.

La cybersécurité est l'une des grandes priorités de la Commission et une pierre angulaire de l'Europe numérique et connectée.  Alors que les produits intelligents et connectés se multiplient, un incident de cybersécurité touchant un produit peut avoir des répercussions sur l'ensemble de la chaîne d'approvisionnement, ce qui peut entraîner de graves perturbations des activités économiques et sociales dans le marché intérieur, compromettre la sécurité, ou même représenter un danger de mort. Le coût annuel des violations de données est estimé à au moins 10 milliards d'euros et celui des tentatives malveillantes visant à perturber le trafic sur l'internet à au moins 65 milliards d'euros (voir source de ces données dans l'analyse d'impact).

Une action résolue dans ce domaine est nécessaire pour faire en sorte que l'économie et la société de l'UE soient en mesure de faire face aux défis futurs. Les mesures proposées sont fondées sur le nouveau cadre législatif applicable à la législation sur les produits dans l'UE et définiront:

1. des règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur conformité aux exigences de cybersécurité;
2. des exigences essentielles relatives à la conception, au développement et à la production des produits comportant des éléments numériques, et des obligations incombant aux opérateurs économiques en ce qui concerne ces produits;
3. des exigences essentielles relatives aux processus de gestion de la vulnérabilité mis en place par les fabricants pour garantir que les produits comportant des éléments numériques sont conformes aux exigences de cybersécurité tout au long de leur cycle de vie, et des obligations incombant aux opérateurs économiques en ce qui concerne ces processus. Les fabricants devront aussi signaler les vulnérabilités activement exploitées et les incidents;
4. des règles relatives à la surveillance du marché et au contrôle de l'application des règles.

Les nouvelles règles permettront un rééquilibrage en faisant assumer leur responsabilité aux fabricants, lesquels doivent garantir la conformité avec les exigences de sécurité des produits comportant des éléments numériques, qui sont mis à disposition sur le marché de l'UE. Ces règles seront donc bénéfiques pour les consommateurs et pour les citoyens, ainsi que pour les entreprises qui utilisent des produits numériques, car elles rendront les caractéristiques de sécurité plus transparentes et favoriseront la confiance dans les produits comportant des éléments numériques. Les droits fondamentaux des utilisateurs des produits, tels que la protection de la vie privée et des données, seront également mieux protégés.

Le règlement proposé s'appliquera à tous les produits qui sont connectés directement ou indirectement à un autre appareil ou réseau. Il existe certaines exceptions concernant les produits pour lesquels la législation existante de l'UE fixe déjà des exigences en matière de cybersécurité, tels que les dispositifs médicaux, l'aviation ou les voitures.

Prochaines étapes

Il appartient maintenant au Parlement européen et au Conseil d'examiner le projet d'acte législatif sur la cyber-résilience. Une fois celui-ci adopté, les opérateurs économiques et les États membres disposeront de deux ans pour s'adapter aux nouvelles exigences. L'obligation faite aux fabricants de communiquer des informations concernant les vulnérabilités activement exploitées et les incidents fait exception à cette règle, puisqu'elle s'appliquerait déjà un an après la date d'entrée en vigueur, étant donné qu'elle exige moins d'adaptations organisationnelles que les autres nouvelles obligations. La Commission procédera régulièrement au réexamen de la législation sur la cyber-résilience et rendra compte de son fonctionnement.

Contexte

La stratégie de cybersécurité présentée en décembre 2020 propose d'intégrer la cybersécurité dans chacun des maillons de la chaîne d'approvisionnement et de rassembler davantage les activités et ressources de l'UE dans les quatre communautés de cybersécurité — marché intérieur, services répressifs, diplomatie et défense. Elle s'appuie sur la stratégie de l'UE intitulée «Façonner l'avenir numérique de l'Europe» et sur la stratégie de l'UE pour l'union de la sécurité, et se fonde sur un certain nombre d'actes législatifs, de mesures et d'initiatives que l'UE a mis en œuvre pour renforcer les capacités de cybersécurité et garantir une Europe plus forte sur le plan de la cyber-résilience.

Le nouvel acte législatif sur la cyber-résilience complétera le cadre de l'UE en matière de cybersécurité: la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (directive SRI), la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (directive SRI 2), qui a récemment fait l'objet d'un accord politique entre le Parlement européen et le Conseil, et le règlement de l'UE sur la cybersécurité.

Pour en savoir plus

• Communiqué de presse
• Questions/réponses: Acte législatif sur la cyber-résilience
• Fiche d'information concernant l'acte législatif sur la cyber-résilience
• Proposition d'acte législatif sur la cyber-résilience