La Commission a présenté aujourd'hui une proposition de nouvel acte législatif sur la cyber-résilience visant à protéger les consommateurs et les entreprises contre les produits dont les caractéristiques de sécurité ne sont pas suffisantes. Cet acte, le premier de ce type dans la législation de l'UE, introduit des exigences obligatoires en matière de cybersécurité applicables aux produits comportant des éléments numériques, sur l'ensemble de leur cycle de vie.
Annoncé par la présidente Ursula von der Leyen en septembre 2021 lors de son discours sur l'état de l'Union européenne, et fondé sur la stratégie de cybersécurité de l'UE de 2020 et la stratégie de l'UE pour l'union de la sécurité de 2020, cet acte législatif garantira que les produits numériques, tels que les produits et logiciels sans fil et filaires, sont plus sécurisés pour les consommateurs dans l'ensemble de l'UE. La responsabilité des fabricants et des vendeurs sera accrue car ils seront obligés de fournir une assistance en matière de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités recensées, et les consommateurs pourront disposer d'informations suffisantes sur la cybersécurité des produits qu'ils achètent et utilisent.
Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l'ère du numérique; a déclaré : «Nous sommes en droit d'attendre que les produits que nous achetons sur le marché unique soient sûrs. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur muni d'un marquage CE, nous pourrons, grâce à l'acte législatif sur la cyber-résilience, avoir l'assurance que les objets et les logiciels connectés que nous achetons offrent des garanties solides en matière de cybersécurité. Cet acte fera peser la responsabilité sur ceux qui doivent l'assumer, c'est-à-dire ceux qui mettent les produits sur le marché.»
Margaritis Schinas, vice-président chargé de la promotion de notre mode de vie européen, a ajouté : «L'acte législatif sur la cyber-résilience est notre réponse aux menaces modernes pour la sécurité qui sont aujourd'hui omniprésentes dans notre société numérique. L'UE a fait œuvre de précurseur dans la création d'un écosystème de cybersécurité en adoptant des règles relatives aux infrastructures critiques, à la préparation et à la réaction en matière de cybersécurité, ainsi qu'à la certification des produits de cybersécurité. Aujourd'hui, nous parachevons cet écosystème au moyen d'un acte législatif qui garantit la sécurité partout, dans nos foyers, dans nos entreprises et dans tous les produits interconnectés. La cybersécurité est une question qui concerne la société tout entière, et plus seulement l'activité économique.»
Thierry Breton, commissaire au marché intérieur, a déclaré pour sa part : «En matière de sécurité, la résistance de l'Europe est déterminée par celle de son maillon le plus faible: il peut s'agir d'un État membre vulnérable ou d'un produit non sécurisé dans la chaîne d'approvisionnement. Les ordinateurs, les téléphones, les appareils ménagers, les dispositifs d'assistance virtuels, les voitures, les jouets... chacun de ces centaines de millions de produits connectés peut servir de porte d'entrée à une cyberattaque. Pourtant, aujourd'hui, la plupart des produits matériels et logiciels ne sont soumis à aucune obligation en matière de cybersécurité. En introduisant la cybersécurité dès la conception, l'acte législatif sur la cyber-résilience contribuera à protéger l'économie européenne et la sécurité de tous.»
Toutes les 11 secondes dans le monde, une organisation est victime d'une attaque par rançongiciel et on estimait, en 2021, que le coût annuel de la cybercriminalité représentait 5 500 milliards d'euros à l'échelle de la planète (Rapport du Centre commun de recherche de 2020 intitulé «Cybersecurity – Our Digital Anchor, a European perspective»). Il est donc plus important que jamais d'assurer un niveau élevé de cybersécurité et de réduire les vulnérabilités des produits numériques — qui constituent l'un des principaux vecteurs des attaques. Alors que les produits intelligents et connectés se multiplient, un incident de cybersécurité touchant un produit peut avoir des répercussions sur l'ensemble de la chaîne d'approvisionnement, ce qui peut entraîner de graves perturbations des activités économiques et sociales dans le marché intérieur, compromettre la sécurité, ou même représenter un danger de mort.
Les mesures proposées aujourd'hui sont fondées sur le nouveau cadre législatif applicable à la législation sur les produits dans l'UE et définiront:
a) des règles relatives à la mise sur le marché de produits comportant des éléments numériques afin de garantir leur conformité aux exigences de cybersécurité;
b) des exigences essentielles relatives à la conception, au développement et à la production des produits comportant des éléments numériques, et des obligations incombant aux opérateurs économiques en ce qui concerne ces produits;
c) des exigences essentielles relatives aux processus de gestion de la vulnérabilité mis en place par les fabricants pour garantir que les produits comportant des éléments numériques sont conformes aux exigences de cybersécurité tout au long de leur cycle de vie, et des obligations incombant aux opérateurs économiques en ce qui concerne ces processus. Les fabricants devront aussi signaler les vulnérabilités activement exploitées et les incidents;
d) des règles relatives à la surveillance du marché et au contrôle de l'application des règles.
Les nouvelles règles permettront un rééquilibrage en faisant assumer leur responsabilité aux fabricants, lesquels doivent garantir la conformité avec les exigences de sécurité des produits comportant des éléments numériques, qui sont mis à disposition sur le marché de l'UE. Ces règles seront donc bénéfiques pour les consommateurs et pour les citoyens, ainsi que pour les entreprises qui utilisent des produits numériques, car elles rendront les caractéristiques de sécurité plus transparentes et favoriseront la confiance dans les produits comportant des éléments numériques. Les droits fondamentaux des utilisateurs des produits, tels que la protection de la vie privée et des données, seront également mieux protégés.
Alors que ces sujets suscitent l'intérêt des législateurs dans le monde entier, l'acte législatif sur la cyber-résilience pourrait devenir un texte de référence international, au-delà du marché intérieur de l'UE. Les normes de l'UE fondées sur l'acte législatif sur la cyber-résilience faciliteront sa mise en œuvre et constitueront un atout pour le secteur européen de la cybersécurité sur les marchés mondiaux.
Le règlement proposé s'appliquera à tous les produits qui sont connectés directement ou indirectement à un autre appareil ou réseau. Il existe certaines exceptions concernant les produits pour lesquels la législation existante de l'UE fixe déjà des exigences en matière de cybersécurité, tels que les dispositifs médicaux, l'aviation ou les voitures.
Prochaines étapes
Il appartient maintenant au Parlement européen et au Conseil d'examiner le projet d'acte législatif sur la cyber-résilience. Une fois celui-ci adopté, les opérateurs économiques et les États membres disposeront de deux ans pour s'adapter aux nouvelles exigences. L'obligation faite aux fabricants de communiquer des informations concernant les vulnérabilités activement exploitées et les incidents fait exception à cette règle, puisqu'elle s'appliquerait déjà un an après la date d'entrée en vigueur, étant donné qu'elle exige moins d'adaptations organisationnelles que les autres nouvelles obligations. La Commission procédera régulièrement au réexamen de la législation sur la cyber-résilience et rendra compte de son fonctionnement.
Contexte
La cybersécurité est l'une des grandes priorités de la Commission et une pierre angulaire de l'Europe numérique et connectée. L'augmentation du nombre de cyberattaques pendant la crise du coronavirus a montré à quel point il est important de protéger les hôpitaux, les centres de recherche et d'autres infrastructures. Une action résolue dans ce domaine est nécessaire pour faire en sorte que l'économie et la société de l'UE soient en mesure de faire face aux défis futurs. Le coût annuel des violations de données est estimé à au moins 10 milliards d'euros et celui des tentatives malveillantes visant à perturber le trafic sur l'internet à au moins 65 milliards d'euros (Analyse d'impact des services de la Commission accompagnant le règlement délégué de la Commission complétant la directive sur les équipements radioélectriques).
La stratégie de cybersécurité présentée en décembre 2020 propose d'intégrer la cybersécurité dans chacun des maillons de la chaîne d'approvisionnement et de rassembler davantage les activités et ressources de l'UE dans les quatre communautés de cybersécurité — marché intérieur, services répressifs, diplomatie et défense. Elle s'appuie sur la stratégie de l'UE intitulée «Façonner l'avenir numérique de l'Europe» et sur la stratégie de l'UE pour l'union de la sécurité, et se fonde sur un certain nombre d'actes législatifs, de mesures et d'initiatives que l'UE a mis en œuvre pour renforcer les capacités de cybersécurité et garantir une Europe plus forte sur le plan de la cyber-résilience.
Le nouvel acte législatif sur la cyber-résilience complétera le cadre de l'UE en matière de cybersécurité: la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (directive SRI), la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (directive SRI 2), qui a récemment fait l'objet d'un accord politique entre le Parlement européen et le Conseil, et le règlement de l'UE sur la cybersécurité.
Pour plus d’informations
Questions/réponses: Acte législatif sur la cyber-résilience
Fiche d'information concernant l'acte législatif sur la cyber-résilience
Proposition d'acte législatif sur la cyber-résilience
Fiche d'information concernant la nouvelle stratégie de cybersécurité de l'UE
Fiche d'information sur la proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union (directive SRI 2)
Fiche d'information sur la cybersécurité: Action extérieure de l'UE
Questions/réponses: nouvelle stratégie de cybersécurité de l'UE et nouvelles règles visant à accroître la résilience des entités critiques physiques et numériques
Proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union («directive SRI 2»)
Proposition de directive relative à la résilience des entités critiques
Détails
- Date de publication
- 15 septembre 2022
- Auteur
- Représentation en France