Le Parlement européen et le Conseil de l’Union européenne viennent de conclure un accord sur Cyber Resilience Act, cette proposition législative de la Commission européenne pour renforcer la sécurité informatique des produits numériques, qu’ils soient matériels ou logiciels. Initié en septembre 2022, le texte doit être finalisé dans les semaines à venir, avant la soumission finale d’un texte aux Etats-membres.
Ce texte, qui embrasse un champ large, doit compléter la directive NIS 2 sans empiéter sur son périmètre, en s’attaquant au problème aigu de la vulnérabilité des objets connectés. Les fabricants seront ainsi incités à lancer des programmes de bug bounty. Et ils devront mettre en place des obligations de suivi de gestion des vulnérabilités, en signalant les failles et les incidents constatés.
« Etape importante »
C’est une “étape importante vers un marché unique numérique sûr et sécurisé en Europe”, a salué José Luis Escriva, le ministre espagnol de la transformation numérique, le pays assurant actuellement la présidence tournante du Conseil. Comme le précise cette institution, le compromis conserve l’essentiel de la proposition de la Commission européenne.
Toutefois, une méthodologie “plus simple pour la classification des produits numériques couverts” a été retenue. De même, la durée des obligations, cinq ans, est amendée pour les produits à la durée de vie plus courte. Les autorités nationales compétentes seront également les premières à réceptionner les signalements des vulnérabilités, tandis qu’un délai de trois ans après l’entrée en vigueur du texte est prévu, une durée qui doit permettre aux fabricants de s’adapter.
Réserves
Cette réforme européenne avait suscité des réserves venues de différents horizons. Des industriels européens de premier plan avaient alerté sur les risques logistiques pour les chaînes de production, ce qui pourrait déstabiliser le marché unique, soulignaient-ils.
Le monde de l’open source avait également fait part de ses inquiétudes, estimant ne pas être assez associé à ce travail législatif européen. Treize organisations avaient ainsi pointé le risque d’un effet dissuasif sur le développement de logiciels open source, appelant à reconnaître les caractéristiques uniques de ce secteur.