La proposition de règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, connue sous le nom de « Règlement sur la cyber-résilience » (Cyber Resilience Act) a été publiée le 15 septembre 2022. Ce texte est l’un des piliers majeurs de la stratégie de l’Union européenne en matière de cybersécurité.
Le 30 novembre 2023, le Parlement européen et le Conseil sont parvenus à un accord politique sur le Règlement sur la cyber-résilience.
À la suite de cet accord, le texte a été voté par le Parlement le 12 mars 2024 et par le Conseil le 10 octobre 2024.
Que prévoit ce texte ? Quelles innovations apporte-t-il et quel sera son calendrier d’application ?
Pourquoi un Règlement sur la cyber résilience ?
Lors de son discours sur l’état de l’Union de septembre 2021, la présidente de la Commission européenne avait souligné la nécessité de mettre en œuvre la stratégie de cybersécurité de l’UE :
« Si tout est connecté, tout peut être piraté. Les ressources étant rares, nous devons unir nos forces. Et nous ne devrions pas nous contenter de faire face aux cybermenaces, nous devons avoir l’ambition d’être à la pointe de la cybersécurité. C’est ici en Europe que les outils de cyberdéfense devraient être développés. C’est pourquoi nous avons besoin d’une politique de cyberdéfense européenne, notamment d’une législation établissant des normes communes dans le cadre d’une nouvelle loi européenne relative à la cyber-résilience. »
Ursula von der Leyen, Présidente de la Commission européenne, Septembre 2021
L’analyse d’impact publiée avec la proposition de règlement avait permis à la Commission européenne de dresser les constats suivants :
- Le niveau de sécurité des produits actuels (qu’il s’agisse de software ou hardware) paraissaient insuffisant, en particulier pour résister à des cyberattaques devenues omniprésentes et dévastatrices. Le coût total estimé du cybercrime atteignait en 2021 plus de 5 mille milliards d’euros; et avec l’estimation d’une cyberattaque ayant lieu toutes les 11 secondes dans le monde.
- Les utilisateurs de produits numériques n’ont pas accès à suffisamment d’informations concernant le niveau de sécurité de ces derniers ; et ne sont pas nécessairement en mesure de comprendre ces informations. Il en résulte une incapacité pour les utilisateurs de faire un choix réellement éclairé sur les produits qu’ils comptent utiliser.
Enfin, l’analyse d’impact insistait sur le caractère transnational de la cybersécurité. Le commissaire au marché intérieur Thierry Breton résumait l’interdépendance existant entre les États sur cette question de la manière suivante :
» En matière de sécurité, la résistance de l’Europe est déterminée par celle de son maillon le plus faible : il peut s’agir d’un État membre vulnérable ou d’un produit non sécurisé dans la chaîne d’approvisionnement. […] Pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. »
Thierry Breton, commissaire au marché intérieur, État de l’Union 2022
Un standard de sécurité uniforme à l’échelle européenne apparaissait dès lors nécessaire pour l’ensemble des produits comportant des éléments numériques.
Quelle innovation ? Quels objectifs ?
Le règlement vise à mettre en place le cadre nécessaire au développement de produits sécurisés, en s’assurant qu’ils sont mis sur le marché avec moins de vulnérabilités, et que leurs fabricants assurent leur sécurité durant leur cycle de vie.
Pour ce faire, le Cyber Resilience Act introduit des exigences en matière de cybersécurité pour les produits (matériels et logiciels) tout au long de leur cycle de vie. En effet, ce texte établit une liste de critères spécifiques auxquels les produits comportant des éléments numériques fabriqué ou distribué au sein du marché intérieur devront répondre. L’ensemble de la chaîne des acteurs économiques est concerné par le respect de ces exigences, à savoir le fabricant, le distributeur et l’importateur des produits. Cette approche globale du texte est une innovation.
Les dispositions de ce texte s’articulent avec d’autres réglementations européennes, en particulier la Directive dite « NIS 2 » (pour Network and Information Security), qui vise à renforcer le niveau de sécurité au sein des États membres. Cette Directive, qui entrera en application le 17 octobre 2024, est en cours de transposition dans les États membres. Les définitions des notions clés telles que « vulnérabilité » et « incident » sont donc issues de cette directive NIS 2 et servent de référence pour la définition des critères de sécurité des produits.
La Directive NIS 2 met en place des exigences en matière de cybersécurité, y compris des mesures de sécurité de la chaîne d’approvisionnement et des obligations de notification des incidents pour les entités essentielles et importantes, en vue d’accroître la résilience des services qu’elles fournissent. Par conséquent, l’amélioration du niveau de cybersécurité des produits contenant des éléments numériques faciliterait la mise en conformité des entités relevant du champ d’application de la Directive NIS 2 et renforcerait la sécurité de l’ensemble de la chaîne d’approvisionnement.
Enfin, le Cyber Resilience Act ambitionne de créer les conditions qui permettront aux utilisateurs de faire de la cybersécurité un véritable facteur dans le choix et l’usage d’un produit comportant un élément numérique.
Quels sont les produits concernés par la cyber-résilience ?
Le règlement cyber-résilience vise l’ensemble des « produits comportant des éléments numériques », dans tous les secteurs.
Et définit ces produits dans les termes suivants :
« produit comportant des éléments numériques » : un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément. (Article 3, Définitions)
Il est à noter que les logiciels libres et ouverts (Free and open-source software) ont été intégrés au champ d’application du Cyber Resilience Act (Chapitre II, Obligations des opérateurs économiques et dispositions relatives aux logiciels libres et ouverts, texte adopté le 12 mars 2024)
Par ailleurs, des services ou secteurs sont explicitement exclus du périmètre du futur règlement, à savoir :
- les logiciels fournis uniquement en tant que service (SaaS). Néanmoins, ces logiciels fournis en tant que services sont encadrés par la directive NIS 2 ainsi que par d’autres législations sectorielles dont les exigences techniques et le niveau de protection sont équivalents en matière de cybersécurité.
- certains domaines disposant déjà d’une législation spécifique : le règlement ne devrait donc pas s’appliquer aux dispositifs médicaux ou aux véhicules terrestres et aériens.
- les produits relevant du pouvoir régalien des États membres (militaire, sécurité nationale, renseignement…). Il s’agit de préserver la souveraineté et l’indépendance des États membres.
Quels sont les acteurs concernés ?
Le règlement impose des obligations spécifiques à tous les opérateurs économiques impliqués dans la mise sur le marché et le cycle de vie des produits comportant des éléments numériques.
Ces obligations concernent trois acteurs économiques distincts :
- Le fabricant du produit en son nom ou sous sa marque, que le produit soit mis sur le marché gratuitement ou contre paiement ;
- L’importateur sur le marché de l’Union du produit d’un fabricant établi hors de l’Union ;
- Le distributeur qui, à tout point de la chaîne d’approvisionnement, rend disponible sur le marché de l’Union un produit sans en affecter les propriétés.
Quelles sont les sanctions prévues en cas de non-conformité aux exigences de cyber-résilience ?
En cas de non-conformité, les acteurs précités s’exposeront à des sanctions pouvant atteindre jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires total sur l’exercice annuel précédent, le montant le plus élevé étant choisi. En outre, un produit jugé non conforme ou présentant un risque pourra faire l’objet de restrictions allant jusqu’au retrait du marché, imposées par les autorités de contrôle des marchés désignées par les États membres.
Mathias Avocats, 2024
Quel est le calendrier d’application du texte ?
Le texte prévoit que les nouvelles règles s’appliqueront trois ans après l’entrée en vigueur du règlement.
A l’exception des Obligations en matière de communication d’informations incombant aux fabricants (article 14) qui seront applicables 21 mois après son entrée en vigueur ; et des dispositions relatives à la notification des organismes d’évaluation de la conformité (Chapitre IV, article 34 à 51) qui s’appliqueront 18 mois après son entrée en vigueur.
La Commission fournira au Parlement un rapport d’audit concernant la bonne mise en œuvre et application du Règlement 72 mois après son entrée en vigueur, puis tous les 4 ans.
Des mesures de soutien supplémentaires aux petites entreprises et microentreprises ont été prévues, y compris des activités spécifiques de sensibilisation et de formation, ainsi qu’un soutien pour les procédures d’essai et d’évaluation de la conformité.
Des questions sur vos produits et services ? Quels process mettre en place ? Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !