Customize this title in frenchLes législateurs européens lancent les négociations sur la législation sur la cybersécurité pour les appareils connectés

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLes obligations des fabricants, les rapports, la conformité et l’application sont les principaux domaines du premier compromis sur la nouvelle loi sur la cybersécurité dont les législateurs européens discuteront la semaine prochaine. Le Cyber ​​Resilience Act est une proposition législative introduisant des exigences de base en matière de cybersécurité pour les produits connectés. Le rapporteur du Parlement européen, Nicola Danti, a fait circuler le premier amendement de compromis la semaine dernière. Les autres groupes politiques ont jusqu’à lundi (22 mai) pour soumettre leurs commentaires écrits avant la première réunion technique de mercredi prochain. Le texte, vu par EURACTIV, s’appuie sur le projet de rapport de Danti introduisant des amendements à des parties cruciales du dossier. Portée Le champ d’application du règlement a été élargi pour couvrir tout produit comportant des éléments numériques pouvant avoir une connexion de données directe ou indirecte à un appareil ou à un réseau. Dans le même temps, les objets connectés développés exclusivement pour le secteur de la défense ont été exclus au même titre que ceux à vocation sécuritaire nationale et militaire. Le texte du préambule, qui couvre des aspects essentiels de la proposition, tels que la manière de traiter les logiciels ouverts, n’a pas été inclus dans le premier lot de compromis car EURACTIV comprend que le rapporteur n’a toujours pas tranché sur la question. Obligations pour les fabricants Lorsqu’un fabricant met un produit sur le marché de l’UE, il doit déterminer, sur la base d’une évaluation des risques, quelles exigences essentielles il considère pertinentes pour ses produits, en justifiant son choix dans le document technique. Les producteurs de produits devraient fournir les mises à jour de sécurité et de fonctionnalités nécessaires qui devraient être déployées automatiquement par défaut, à moins que les utilisateurs ne se désengagent, au moins pendant toute la durée de vie du produit. La définition de modification substantielle a été modifiée pour exclure les mises à jour de sécurité destinées à atténuer les vulnérabilités. Les fabricants doivent conserver la documentation technique attestant de la conformité à la loi sur la cybersécurité pendant la durée de vie prévue du produit ou pendant dix ans, selon la période la plus longue. Obligation de déclaration Le projet de loi oblige les fabricants à informer l’ENISA, l’agence de cybersécurité de l’UE, des incidents de cybersécurité et des vulnérabilités activement exploitées. Ces dernières sont des informations plus sensibles, de sorte que le traitement a été limité à une base de besoin de savoir. Un amendement de Bart Groothuis, rapporteur de la directive révisée sur les réseaux et l’information (NIS2), a aligné les exigences de déclaration entre les deux législations et garanti qu’« une entité ne peut être condamnée qu’une seule fois à une amende pour non-respect d’exigences qui se chevauchent ». En outre, un paragraphe qui donnerait à l’ENISA ou aux équipes nationales d’intervention en cas d’urgence informatique (CSIRT) la capacité de divulguer un incident significatif dans l’intérêt public a été ajouté. Pour les incidents significatifs, les fabricants devraient informer les utilisateurs impactés, et uniquement le cas échéant tous les utilisateurs, et les informer des mesures d’atténuation des risques et des mesures correctives qu’ils peuvent mettre en œuvre. De plus, les fabricants devraient établir un point de contact unique pour permettre aux utilisateurs de communiquer rapidement et directement avec eux. Obligations supplémentaires Une nouvelle obligation a été introduite pour les importateurs et distributeurs de produits critiques destinés aux entités jugées essentielles au fonctionnement de la société sous NIS2 de prendre également en compte les facteurs de risque non techniques. Il s’agit ici de vendeurs à haut risque, une catégorie utilisée pour restreindre l’utilisation d’un fournisseur considéré comme sous l’emprise de puissances hostiles, comme c’était le cas pour le géant chinois des télécoms Huawei. Démontrer la conformité L’obtention d’une certification européenne de cybersécurité s’est ajoutée à la manière dont les fabricants pourront démontrer leur conformité à la réglementation. La conformité sera présumée lorsque les fabricants suivront des normes techniques harmonisées. Le compromis stipule que les normes harmonisées, les spécifications communes et les systèmes de certification de cybersécurité doivent être en place pendant six mois avant que la procédure d’évaluation de la conformité ne commence à s’appliquer. La Commission européenne pourra émettre des spécifications communes obligatoires lorsqu’une demande de normalisation n’a pas été acceptée et qu’aucune norme harmonisée ne devrait être en place dans un délai raisonnable. Les fabricants de produits critiques doivent faire l’objet d’un contrôle externe par des auditeurs agréés, les organismes notifiés. La Commission doit veiller à ce qu’un nombre suffisant d’organismes notifiés soit disponible dans l’UE dans un délai de deux ans à compter de l’entrée en vigueur du règlement afin d’éviter les goulots d’étranglement. Mise en vigueur Les autorités de surveillance du marché pourraient demander à l’ENISA des conseils techniques sur l’application du règlement. En particulier, l’ENISA pourrait être invitée à fournir une évaluation non contraignante pour les produits présentant un risque significatif en matière de cybersécurité. Les autorités de surveillance du marché sont également invitées à fournir des données granulaires sur les catégories de produits connectés. La Commission doit analyser les données pour identifier les catégories spécifiques de produits où la non-conformité est exceptionnellement élevée. La prise en compte des facteurs de risque non techniques a également été introduite pour les autorités nationales, et une référence à l’identification des portes dérobées potentielles intégrées ou d’autres vulnérabilités exploitées a été ajoutée concernant les actions de contrôle coordonnées, appelées balayages. Durée de vie du produit L’un des principaux changements introduits par Danti était de laisser les fabricants se faire concurrence pour définir la durée de vie prévue du produit tant qu’elle était conforme aux attentes raisonnables des consommateurs. Bien que cette mesure ait été maintenue, le compromis oblige les fabricants à tenir compte de la destination du produit et des aspects de durabilité. Produits critiques Le compromis précise que « l’intégration d’un composant de classe de criticité supérieure ne modifie pas le niveau de criticité du produit dans lequel le composant est intégré ». La liste des produits critiques a été modifiée pour inclure les plates-formes utilisées pour l’authentification, l’autorisation et la comptabilité dans la première classe de produits critiques et les lecteurs biométriques dans la seconde. Bacs à sable Un nouvel article rend obligatoire la mise en place de bacs à sable réglementaires afin de fournir un environnement contrôlé aux fabricants qui souhaitent tester leurs produits. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57