Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLes membres du Parlement européen (MPE) peaufinent les obligations qu’une nouvelle législation sur la cybersécurité imposera aux fabricants de produits et la manière dont elle s’appliquera aux logiciels open source. Le Cyber Resilience Act est une proposition législative introduisant des obligations de sécurité pour les objets connectés. Le bureau du rapporteur du Parlement européen, l’eurodéputé centriste Nicola Danti, a fait circuler une troisième révision complète du texte jeudi 22 juin, vue par EURACTIV. Les législateurs européens se rapprochent du dossier, avec deux réunions techniques prévues mardi et vendredi cette semaine. Un accord politique final devrait être conclu entre les principaux groupes politiques de la maison mercredi prochain (5 juillet). Portée En ce qui concerne le champ d’application du règlement, un sujet de discussion très débattu a été de savoir dans quelle mesure les logiciels open source devraient être couverts, le texte clarifiant que cela ne se produirait que dans des cas spécifiques. En particulier, seuls les logiciels libres mis à disposition sur le marché dans le cadre d’une activité commerciale sont visés, à apprécier produit par produit en tenant compte à la fois du modèle de développement du produit libre et de sa phase d’approvisionnement. L’exemple donné pour un cadre non commercial est celui d’un modèle entièrement décentralisé où aucune entité commerciale unique n’exerce de contrôle sur ce qui est accepté dans la base de code du projet. Obligation de déclaration La loi sur la cyber-résilience oblige les fabricants à informer l’ENISA, l’agence de cybersécurité de l’UE, s’ils ont connaissance d’une vulnérabilité activement exploitée. La nouvelle formulation indique que cette obligation de signalement ne s’applique que si un acteur illégal ou malveillant procède au piratage. En d’autres termes, si le piratage provient d’une autorité publique telle qu’un organisme chargé de l’application de la loi, il n’y aurait aucune obligation de le signaler. Le processus de notification comporterait plusieurs étapes, allant d’une alerte précoce dans la journée suivant l’événement à une notification de vulnérabilité plus détaillée trois jours après. Cependant, les PME ont été exemptées de l’alerte précoce si elles ne disposent pas de capacités suffisantes. Période d’assistance Les députés s’éloignent du concept de « durée de vie attendue du produit » au profit d’une « période de support plus étroite » pendant laquelle les fabricants devraient assurer le traitement des vulnérabilités. « Le fabricant doit s’assurer que la période de support est proportionnée à la durée de vie prévue du produit et qu’il tient dûment compte de la nature du produit, des attentes des utilisateurs, de la disponibilité de l’environnement d’exploitation et, le cas échéant, de la période de support du principal composants intégrés au produit avec des éléments numériques », lit-on dans le texte. Les autorités de surveillance du marché sont chargées de s’assurer que les fabricants appliquent correctement ces critères lors de la détermination de la période de soutien. Pour les périodes de support inférieures à cinq ans, les fabricants peuvent fournir un accès au code source aux entreprises susceptibles de fournir un service de gestion des vulnérabilités. Cependant, l’exigence selon laquelle cet accès doit être donné gratuitement a été supprimée. Fournisseurs à haut risque Les versions précédentes du texte ont introduit le concept de fournisseurs à haut risque, des entreprises qui ne sont pas considérées comme fiables en raison de facteurs non techniques, comme c’est le cas pour les fournisseurs chinois comme Huawei et ZTE. Les obligations des importateurs d’appareils connectés ont été modifiées pour indiquer que, s’ils ont des raisons de croire qu’un produit pourrait présenter un tel risque non technique, ils envisageront de le retirer et devront en informer les autorités nationales et la Commission. Une obligation similaire pour les distributeurs a été supprimée « en tenant compte de la réunion des rapporteurs fictifs », indique une note en marge du texte. Une référence selon laquelle les actions de contrôle coordonnées devraient donner la priorité aux fournisseurs à haut risque a également été rayée. En outre, si les autorités nationales ou la Commission ont des raisons suffisantes de penser qu’un produit présente une menace significative pour la cybersécurité ou une menace pour la sécurité nationale pour des raisons non techniques, elle devrait émettre des recommandations ciblées aux opérateurs économiques sur les mesures correctives à mettre en place. Évaluation de la conformité Les fabricants devront prouver qu’ils respectent les exigences en matière de cybersécurité en appliquant des normes techniques reconnues par le droit de l’UE, des spécifications communes émises par la Commission ou des systèmes de certification de cybersécurité en place depuis une période minimale. Alternativement, les fabricants exigeraient une évaluation par une tierce partie via des auditeurs certifiés, les organismes notifiés. Les pays de l’UE ont jusqu’à un an après l’entrée en application du règlement pour s’assurer qu’il existe un nombre suffisant d’organismes notifiés pour éviter les goulots d’étranglement. Conseils Étant donné que le règlement touche à divers domaines, la Commission a été chargée de fournir des lignes directrices sur des questions telles que le champ d’application, en particulier en ce qui concerne le traitement des données à distance, la classification des produits critiques et l’interaction avec d’autres législations de l’UE. Des conseils sont également dus sur la manière d’effectuer l’évaluation des risques, de déterminer la période de soutien de manière appropriée et pour les États membres sur la non-poursuite des chercheurs en sécurité de l’information, connus sous le nom de pirates éthiques. Cependant, cette dernière partie est marquée comme « à compléter ». Produit très critique Pour les catégories de produits jugés « hautement critiques », la Commission sera habilitée à exiger, par voie d’actes délégués, l’obtention d’un certificat de cybersécurité délivré en vertu de la loi sur la cybersécurité avec le niveau d’assurance « élevé ». L’obligation d’obtenir le certificat s’appliquerait dans un délai d’un an à compter de l’adoption du droit dérivé. Groupe d’experts Le rapporteur a présenté l’idée de créer un groupe d’experts sur la cyber-résilience pour conseiller la mise en œuvre de la législation sur la cybersécurité. La composition du groupe a encore été retravaillée pour inclure le Centre européen de compétences en cybersécurité. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);
Source link -57
Customize this title in frenchLes députés discutent du champ d’application et des obligations des fabricants dans la législation sur la cybersécurité
