Cyberrésilience : position commune sur les produits numériques

Afin de veiller à ce que les produits comportant des éléments numériques, tels que les caméras domotiques, les réfrigérateurs, les téléviseurs et les jouets connectés, soient sûrs avant leur entrée sur le marché, les représentants des États membres (Coreper) sont parvenus à une position commune sur la proposition législative concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques (législation sur la cyberrésilience).

Nous nous réjouissons de l’accord trouvé aujourd’hui au sein du Conseil. Un accord qui fait progresser l’engagement de l’UE en faveur d’un marché unique numérique sûr et sécurisé. L’internet des objets et les autres objets connectés doivent respecter un niveau de cybersécurité de base lorsqu’ils sont vendus dans l’UE, afin de garantir que les entreprises et les consommateurs sont efficacement protégés contre les cybermenaces. Il s’agit d’une étape importante pour la présidence espagnole, et nous espérons faire avancer autant que possible les négociations avec le Parlement.Carme Artigas Brugal, secrétaire d’État à la numérisation et à l’intelligence artificielle

Objectifs de la proposition de cyberrésilience

Le projet de règlement introduit des exigences contraignantes en matière de cybersécurité pour la conception, le développement, la production et la mise à disposition sur le marché de produits matériels et logiciels afin d’éviter le chevauchement des exigences découlant de différents textes législatifs dans les États membres de l’UE.

Le règlement proposé s’appliquera à tous les produits qui sont directement ou indirectement connectés à un autre dispositif ou réseau. Des exceptions sont prévues concernant les produits pour lesquels des exigences en matière de cybersécurité sont déjà définies dans les règles de l’UE en vigueur, par exemple pour les dispositifs médicaux, l’aviation ou les voitures.

La proposition vise à combler les lacunes, à clarifier les liens et à rendre plus cohérente la législation existante en matière de cybersécurité, en veillant à ce que les produits comportant des éléments numériques, par exemple les produits de l’internet des objets (IDO), deviennent sûrs tout au long de la chaîne d’approvisionnement et de leur cycle de vie.

Enfin, le règlement proposé permet également aux consommateurs de tenir compte de la cybersécurité lorsqu’ils choisissent et utilisent des produits comportant des éléments numériques, car il donne aux utilisateurs la possibilité de choisir en connaissance de cause des produits matériels et logiciels dotés des caractéristiques de cybersécurité appropriées.

Principaux éléments conservés de la proposition de la Commission

La position commune du Conseil maintient les grands axes de la proposition de la Commission, notamment en ce qui concerne:

• des règles visant à rééquilibrer la responsabilité de la conformité, en la faisant davantage porter par les fabricants, lesquels doivent garantir la conformité avec les exigences de sécurité des produits comportant des éléments numériques qui sont mis à disposition sur le marché de l’UE, y compris des obligations telles que l’évaluation des risques en matière de cybersécurité, la déclaration de conformité et la coopération avec les autorités compétentes
• des exigences essentielles pour les processus de traitement des vulnérabilités mis en place par les fabricants, afin de garantir la cybersécurité des produits numériques, et les obligations des opérateurs économiques, tels que les importateurs ou les distributeurs, en ce qui concerne ces processus
• des mesures visant à améliorer la transparence en matière de sécurité des produits matériels et logiciels pour les consommateurs et les entreprises utilisatrices, ainsi qu’un cadre de surveillance du marché pour faire respecter ces règles

Modifications apportées par le Conseil

Toutefois, le texte du Conseil modifie différentes parties de la proposition de la Commission, notamment en ce qui concerne les aspects suivants:

• le champ d’application de la législation proposée, y compris en ce qui concerne les catégories spécifiques de produits qui devraient être conformes aux exigences du règlement
• les obligations en matière de communication d’informations concernant les vulnérabilités activement exploitées ou les incidents aux autorités nationales compétentes (« centres de réponse aux incidents de sécurité informatique » ou CSIRT) plutôt qu’à l’Agence de l’Union européenne pour la cybersécurité (ENISA), cette dernière établissant une plateforme unique de communication d’informations
• les éléments permettant aux fabricants de déterminer la durée de vie prévue des produits
• les mesures de soutien aux petites et microentreprises
• une déclaration de conformité simplifiée

Prochaines étapes

L’accord intervenu ce jour sur la position commune du Conseil (« mandat de négociation ») permettra à la présidence espagnole d’entamer des négociations avec le Parlement européen (« trilogues« ) sur la version finale de l’acte législatif proposé.

Contexte

Dans ses conclusions du 2 décembre 2020 sur la cybersécurité des dispositifs connectés, le Conseil a souligné qu’il importe d’évaluer la nécessité d’une législation horizontale sur le long terme pour traiter tous les aspects pertinents de la cybersécurité des dispositifs connectés, tels que la disponibilité, l’intégrité et la confidentialité, y compris en précisant les conditions nécessaires pour la mise sur le marché.

Annoncée pour la première fois par la présidente de la Commission von der Leyen dans son discours sur l’état de l’Union en septembre 2021, l’idée a été reprise dans les conclusions du Conseil du 23 mai 2022 sur la mise en place d’une posture cyber de l’Union européenne, dans lesquelles la Commission a été invitée à proposer des exigences communes en matière de cybersécurité des dispositifs connectés, d’ici à la fin de 2022.

Le 15 septembre 2022, la Commission a adopté la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020 (« législation sur la cyberrésilience »), qui viendra compléter le cadre de l’UE en matière de cybersécurité: la directive relative à la sécurité des réseaux et des systèmes d’information (directive SRI), la directive concernant des mesures destinées à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union (directive SRI 2) et le règlement de l’UE sur la cybersécurité.

• Législation sur la cyberrésilience, mandat de négociation du Conseil, 19 juillet 2023
• Règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques (« législation sur la cyberrésilience »), proposition de la Commission, 15 septembre 2022
• Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2), 27 décembre 2022
• Règlement sur la cybersécurité, 7 juin 2019
• Directive relative à la sécurité des réseaux et des systèmes d’information (directive SRI), 19 juillet 2016

Législation sur la cyberrésilience: les États membres arrêtent une position commune sur les exigences en matière de sécurité concernant les produits numériques – Consilium (europa.eu)