La publication, le 15 septembre dernier, de la proposition de règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, connue sous le nom de « Règlement sur la cyber-résilience » est un des piliers majeurs de la stratégie de l’Union européenne en matière de cybersécurité.
Rappelons que lors de son discours sur l’état de l’Union de septembre 2021, la présidente de la Commission européenne Ursula von der Leyen a souligné la nécessité de mettre en œuvre la stratégie de cybersécurité de l’UE :
« Si tout est connecté, tout peut être piraté. Les ressources étant rares, nous devons unir nos forces. Et nous ne devrions pas nous contenter de faire face aux cybermenaces, nous devons avoir l’ambition d’être à la pointe de la cybersécurité. C’est ici en Europe que les outils de cyberdéfense devraient être développés. C’est pourquoi nous avons besoin d’une politique de cyberdéfense européenne, notamment d’une législation établissant des normes communes dans le cadre d’une nouvelle loi européenne relative à la cyber-résilience. »
Ursula von der Leyen, Présidente de la Commission européenne, Septembre 2021
L’analyse d’impact publiée avec la proposition de règlement permet à la Commission européenne de dresser les constats suivants :
- la vulnérabilité des produits actuels (qu’il s’agisse de software ou hardware). Elle juge insuffisant le niveau de sécurité qu’ils proposent, et déplore que ces derniers ne permettent pas de résister à des cyberattaques devenues omniprésentes et dévastatrices; le coût total estimé du cybercrime atteignant en 2021 plus de 5 mille milliards d’euros. Etant précisé qu’une cyberattaque a lieu toutes les 11 secondes dans le monde.
- les utilisateurs de produits numériques n’ont pas accès à suffisamment d’informations concernant le niveau de sécurité de ces derniers, et ne sont pas nécessairement en mesure de comprendre ces informations. Il en résulte une incapacité pour les utilisateurs de faire un choix réellement informé sur les produits qu’ils comptent utiliser.
Enfin, l’analyse d’impact insiste sur le caractère transnational de la cybersécurité. Le commissaire au marché intérieur Thierry Breton résume l’interdépendance existant entre les Etats sur cette question de la manière suivante :
» En matière de sécurité, la résistance de l’Europe est déterminée par celle de son maillon le plus faible : il peut s’agir d’un État membre vulnérable ou d’un produit non sécurisé dans la chaîne d’approvisionnement. […] Pourtant, aujourd’hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. »
Thierry Breton, commissaire au marché intérieur, Etat de l’Union 2022
Un standard de sécurité uniforme à l’échelle européenne apparaît dès lors nécessaire pour l’ensemble des produits numériques.
Quelle innovation ? Quels objectifs ?
La proposition de règlement vise à mettre en place le cadre nécessaire au développement de produits sécurisés, en s’assurant qu’ils sont mis sur le marché avec moins de vulnérabilités, et que leurs fabricants assurent leur sécurité durant leur cycle de vie.
Pour ce faire, cette proposition de règlement introduit des exigences en matière de cybersécurité pour les produits (matériels et logiciels) tout au long de leur cycle de vie. En effet, ce texte établit une liste de critères spécifiques auxquels les produits comportant des éléments numériques fabriqué ou distribué au sein d’un marché intérieur devront répondre. L’ensemble de la chaîne des acteurs économiques est concerné par le respect de ces exigences, à savoir le fabricant, le distributeur et l’importateur des produits. Cette approche globale du texte est une innovation.
Il convient également de noter que cette proposition de règlement s’articule avec d’autres législations actuellement en discussion, dont la révision de la directive Sécurité des Réseaux et de l’Information (SRI ou NIS pour Network and Information Security). Cette nouvelle directive dite « NIS 2 » visera à renforcer le niveau de sécurité au sein des Etats membres. Les définitions des notions clés telles que « vulnérabilité » et « incident » sont donc issues de cette future directive NIS 2 et servent de référence pour la définition des critères de sécurité des produits.
Enfin, la proposition de règlement ambitionne de créer les conditions qui permettront aux utilisateurs de faire de la cybersécurité un véritable facteur dans le choix et l’usage d’un produit comportant un élément numérique.
Quels sont les produits concernés par la cyber-résilience ?
La proposition de règlement cyber-résilience vise l’ensemble des « produits comportant des éléments numériques », dans tous les secteurs.
Elle définit ces produits dans les termes suivants :
« any software or hardware product and its remote data processing solutions, including software or hardware components to be placed on the market separately ».
Il ressort de cette définition que des produits tant matériels que logiciels entreront dans le champ du règlement.
En revanche, la notion d’éléments numériques n’est pas définie, seul est précisé que « This Regulation applies to products with digital elements whose intended or reasonably foreseeable use includes a direct or indirect logical or physical data connection to a device or network ». Un critère fondé sur la connectivité, avec ou sans connexion au réseau, des produits semble donc être imposé.
Par ailleurs, des services ou secteurs sont explicitement exclus du périmètre du futur règlement, à savoir :
- les logiciels fournis uniquement en tant que service (SaaS). Il convient toutefois de rappeler qu’aucun SaaS ne saurait être mis en place sans l’usage d’outils numériques matériels et logiciels (serveurs du prestataire, ordinateur et navigateur internet permettant au client d’accéder au service…) qui seront eux bien soumis à ce nouveau texte.
- certains domaines disposant déjà d’une législation spécifique sont exclus par le texte de son périmètre. Le projet de règlement ne s’appliquera ainsi pas aux dispositifs médicaux ou aux véhicules terrestres et aériens.
- les produits relevant du pouvoir régalien des Etats membres (militaire, sécurité nationale, renseignement…). Il s’agit de préserver la souveraineté et l’indépendance des Etats membres.
Qui sont les acteurs concernés ?
Le projet de règlement impose des obligations spécifiques à tous les opérateurs économiques impliqués dans la mise sur le marché et le cycle de vie des produits comportant des éléments numériques.
Ces obligations concernent trois acteurs économiques distincts :
- Le fabricant du produit en son nom ou sous sa marque, que le produit soit mis sur le marché gratuitement ou contre paiement ;
- L’importateur sur le marché de l’Union du produit d’un fabricant établi hors de l’Union ;
- Le distributeur qui, à tout point de la chaîne d’approvisionnement, rend disponible sur le marché de l’Union un produit sans en affecter les propriétés.
Quelles sont les sanctions prévues en cas de non-conformité aux exigences de cyber-résilience ?
En cas de non-conformité, les acteurs précités s’exposeront à des sanctions pouvant atteindre jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires total sur l’exercice annuel précédent, le montant le plus élevé étant choisi. En outre, un produit jugé non conforme ou présentant un risque pourra faire l’objet de restrictions allant jusqu’au retrait du marché, imposées par les autorités de contrôle des marchés désignées par les Etats membres.
Quel est le délai avant l’entrée en application du texte ?
La proposition de règlement ne se trouve pas encore dans sa version définitive. Elle doit prochainement, dans le cadre de la procédure législative ordinaire de l’Union, être examinée par le Conseil et le Parlement européen, qui pourront y faire des modifications avant de s’accorder sur un texte définitif.
Une fois le règlement adopté, son entrée en application, se fera au terme d’un délai, a priori, de deux ans, comme cela avait été le cas pour le RGPD. Ce délai permettra aux opérateurs économiques d’anticiper et de mettre en œuvre les chantiers organisationnels afin de se conformer aux nouvelles exigences.
Mathias Avocats vous tiendra informé des prochaines évolutions.