Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words Le Conseil de l’UE, représentant les 27 États membres, s’oriente vers la réduction des produits critiques et la réduction du pouvoir discrétionnaire de la Commission européenne dans la nouvelle loi sur la cybersécurité, selon un nouveau texte consulté par EURACTIV. Depuis que la présidence suédoise du Conseil des ministres de l’UE a repris le dossier en janvier, elle a présenté trois compromis partiels sur la proposition d’introduire des exigences de sécurité de base pour les produits contenant des éléments numériques. Les Suédois ont retravaillé l’intégralité du texte en utilisant les vacances de Pâques, consolidant les modifications précédentes et en introduisant de nouvelles. Le nouveau compromis, daté du 20 avril, sera discuté lors du groupe de travail horizontal sur les questions cybernétiques le 26 avril. Produits critiques Le Cyber Resilience Act introduit des obligations horizontales pour tous les appareils connectés. Cependant, alors qu’une auto-évaluation suffira pour la plupart des produits, les produits considérés comme « critiques » devront faire l’objet d’audits externes. Les produits critiques sont divisés en deux niveaux, basés sur des catégories spécifiques répertoriées dans l’annexe du règlement. Il existe deux critères pour qualifier les produits critiques. Le premier critère concerne la question de savoir si le produit possède « une fonctionnalité liée à la cybersécurité, et en particulier exécute principalement des fonctions essentielles à la sécurité, notamment la sécurisation de l’authentification et de l’accès, la prévention et la détection des intrusions, la sécurité des terminaux ou la protection du réseau ». Dans la classe I, les catégories de produits répondant à ce critère ont été modifiées pour supprimer les systèmes de surveillance du trafic réseau, tandis que les technologies portables et les produits connectés destinés à être utilisés par ou pour les enfants, comme les jouets intelligents et les babyphones, ont été ajoutés. Le deuxième critère concerne la question de savoir si le produit remplit une fonction centrale du système, telle que la gestion du réseau, le contrôle de la configuration, la virtualisation, le traitement des données personnelles ou toute fonction susceptible de perturber de nombreux appareils connectés. Les catégories de produits de la classe I sous ce deuxième critère ont été modifiées de manière encore plus significative. Les systèmes d’exploitation, les navigateurs Web, les microcontrôleurs, l’automatisation industrielle et les systèmes de contrôle ont tous été supprimés. Pour la deuxième classe et les classes supérieures, les produits suivant des catégories spécifiques doivent répondre aux deux critères pour être éligibles. Les catégories de produits de classe II ont été modifiées, supprimant les microprocesseurs, les systèmes d’automatisation industrielle et une large catégorie couvrant tout appareil connecté utilisé par des entités qualifiées d’essentielles en vertu de la directive révisée sur la sécurité des réseaux et de l’information (NIS2). Le nécessaire requis La présidence suédoise du Conseil de l’UE a ajouté deux exigences essentielles supplémentaires. Tout d’abord, chaque appareil connecté doit avoir un identifiant de produit unique pour permettre son identification. Cet identifiant doit être mentionné lors du déploiement des correctifs de sécurité afin que l’applicabilité de la mise à jour puisse être facilement déterminée. Deuxièmement, le texte oblige les fabricants à autoriser les utilisateurs à supprimer facilement et en toute sécurité toutes les données et tous les paramètres, y compris ceux permettant l’accès aux réseaux Wi-Fi, du produit pour en disposer en toute sécurité. Le texte stipule désormais que si une exigence essentielle ne s’applique pas à un produit particulier, peut-être parce qu’elle peut être incompatible avec sa nature même, le fabricant doit inclure une justification dans l’évaluation des risques de cybersécurité dans la documentation technique. Cette évaluation des risques devrait « comprendre au moins une analyse des risques de cybersécurité en fonction de la destination et de l’utilisation raisonnablement prévisible, ainsi que des conditions spécifiques d’utilisation ». Normalisation et certification Le Cyber Resilience Act prévoit de publier des normes techniques qui aident les fabricants à supposer que leur produit connecté est conforme à la réglementation. L’industrie dirige le processus de normalisation. Néanmoins, si la Commission considère que la norme résultante s’éloigne trop de l’intention du règlement ou si aucune norme n’est fournie dans le délai imparti, l’exécutif européen peut émettre des spécifications communes à la place. Mais comme les retards avec les normes européennes sont devenus de plus en plus fréquents, le Conseil a introduit une formulation mettant en garde la Commission contre la publication de spécifications communes si le retard est dû à des complexités techniques. Des exigences ont également été ajoutées pour réduire le pouvoir discrétionnaire de la Commission, notamment en obligeant l’exécutif européen à consulter les représentants nationaux, les experts et les parties prenantes concernées. Le Conseil de l’UE a également introduit la possibilité pour un État membre de contester la spéciation commune si elle ne satisfait pas entièrement aux exigences du règlement. Le pouvoir discrétionnaire de la Commission a également été restreint en ce qui concerne les systèmes de certification de cybersécurité, car le texte impose désormais des niveaux d’assurance « substantiel » ou « élevé ». Mises à jour de sécurité Dans un précédent compromis, le Conseil a introduit le principe selon lequel les paramètres par défaut des produits devraient être que les mises à jour de sécurité sont déployées automatiquement, permettant aux utilisateurs de se retirer. Le compromis précise que cette exigence ne s’applique pas aux produits principalement destinés à être intégrés dans des composants d’autres produits, ni aux appareils pour lesquels les utilisateurs ne « s’attendraient pas raisonnablement » à des mises à jour automatiques, comme un environnement industriel où la mise à jour pourrait interférer avec les opérations. Mécanisme de notification La proposition initiale obligeait les fabricants à informer l’ENISA, l’agence de cybersécurité de l’UE, des éventuels incidents ou des vulnérabilités activement exploitées. Les États membres ont transféré ce signalement à l’équipe nationale de réponse aux incidents de sécurité informatique. Cependant, le texte note que le rôle de l’ENISA doit encore faire l’objet d’une discussion approfondie, tandis que la formulation des vulnérabilités activement exploitées doit être rédigée sur la base de discussions futures ou même d’un ad hoc atelier. En cas d’incident, les fabricants devraient informer les utilisateurs des éventuelles mesures correctives dans un format lisible par machine standardisé, structuré et facilement exploitable automatiquement. Mesures nationales supplémentaires La nouvelle loi sur la cybersécurité vise à harmoniser les exigences relatives aux appareils connectés sur le marché de l’UE. Toutefois, le texte indique que les gouvernements nationaux peuvent imposer des exigences de sécurité supplémentaires pour les produits TIC utilisés par des entités qualifiées d’essentielles ou d’importantes au titre de NIS2. [Edited by Zoran Radosavljevic] Plus sur le même sujet… !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);
Source link -57