Customize this title in frenchLe Conseil de l’UE réduit les catégories de produits spéciaux dans la législation sur la cybersécurité

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLa présidence espagnole du Conseil de l’UE a fait circuler une version semi-finale du projet de loi sur la cybersécurité avec de lourdes réductions dans la liste des catégories de produits qui doivent se conformer à un régime particulier. Le Cyber ​​Resilience Act est une proposition législative introduisant des exigences de sécurité pour les appareils connectés. La présidence espagnole du Conseil des ministres de l’UE a fait circuler une version semi-finale du texte, qui devrait être adoptée au niveau des ambassadeurs le 19 juillet. Le texte, vu par EURACTIV, doit être discuté lors du groupe de travail horizontal sur les questions cybernétiques, un organe technique du Conseil, lundi 10 juillet. Les représentants nationaux avaient jusqu’à vendredi pour soumettre des commentaires écrits avant la mise au point finale. Catégories de produits spéciaux La législation sur la cybersécurité prévoit que les fabricants de produits devraient auto-évaluer s’ils respectent les exigences du règlement, à l’exception de catégories spécifiques de produits qui doivent faire l’objet d’un contrôle externe par des auditeurs agréés, appelés organismes notifiés. Les catégories spéciales sont les produits des classes I et II. Les critères de sélection de ces catégories de produits ont été considérablement modifiés pour couvrir les catégories de produits qui remplissent principalement des fonctions essentielles à la cybersécurité d’autres produits ou qui présentent un risque important d’effets néfastes pour de nombreux autres produits en cas de manipulation. Les produits de la classe I ne devraient remplir qu’un seul des critères, tandis que les produits de la classe II devraient répondre aux deux. La liste des produits de la classe I a été considérablement raccourcie pour inclure uniquement les logiciels antivirus, les gestionnaires de démarrage à usage général, les logiciels d’émission de certificats numériques, les systèmes d’exploitation, les interfaces réseau, les routeurs Internet, les microprocesseurs et les microcontrôleurs. De même, la classe II ne comprend désormais que les réseaux privés virtuels (VPN), les systèmes d’exécution qui prennent en charge l’exécution virtualisée des systèmes d’exploitation et les pare-feu. Une catégorie particulière supplémentaire concerne les produits hautement critiques, pour lesquels la Commission sera habilitée à exiger une certification de cybersécurité obligatoire de l’UE. Cependant, le texte du Conseil a considérablement limité son pouvoir discrétionnaire à cet égard. En particulier, la Commission devra d’abord mener une analyse d’impact sur l’impact de la certification obligatoire sur le marché intérieur, ainsi que sur les capacités de mise en œuvre des États membres. En outre, la Commission devra préciser le niveau d’assurance requis, soit « substantiel » soit « élevé », qui devra être proportionné au niveau de risque du produit. La liste des produits hautement critiques contient désormais des dispositifs matériels avec des boîtiers de sécurité, des systèmes de compteurs intelligents à des fins de sécurité avancées, y compris le crypto-traitement sécurisé et les cartes à puce. Obligation de déclaration Le projet de loi oblige les fabricants de produits à signaler les incidents de cybersécurité et les vulnérabilités activement exploitées, ce qui signifie des points d’entrée pour les pirates qui n’ont pas encore été corrigés. Les pays de l’UE ont transféré ces informations sensibles des mains de l’ENISA, l’agence de cybersécurité de l’UE, à celles de l’équipe nationale de réponse aux incidents de sécurité informatique (CSIRT). Dans une version précédente du texte, les fabricants rendraient compte au CSIRT du pays où il prend principalement ses décisions en matière de cybersécurité, et le CSIRT soumettrait ensuite la notification via une plateforme paneuropéenne gérée par l’ENISA. Le Conseil a supprimé l’accès des autorités de surveillance du marché directement à la plateforme, comme les CSIRT les informeraient. Les CSIRT devront guider l’organisation de la sécurité de la plate-forme, notamment en ce qui concerne les terminaux de notification, les modalités de sécurité, le type d’informations à partager et les aspects de stockage des données. Dans le même temps, le CSIRT disposera d’une certaine latitude pour retarder la diffusion de la notification « lorsque cela peut être justifié par des raisons liées à la cybersécurité et pour une durée strictement nécessaire, en particulier lorsque les fabricants démontrent qu’un tel retard est justifié .” L’une des raisons du retard pourrait être de suivre une procédure coordonnée de divulgation des vulnérabilités dans le cadre de la directive NIS2. Le réseau des CSIRT doit élaborer des lignes directrices sur les motifs de cybersécurité qui justifieraient de tels retards, par exemple, si le fabricant est sur le point de déployer prochainement une mesure d’atténuation ou si la diffusion immédiate l’emporte sur les avantages. Durée de vie du produit Le texte du Conseil exige des fabricants qu’ils déterminent la durée de vie attendue du produit sur la base d’un ensemble d’éléments tels que la législation européenne pertinente, la nature du produit, y compris les conditions de licence, la disponibilité attendue de l’environnement d’exploitation, la durée de vie des produits dotés de fonctionnalités similaires, les lignes directrices des autorités et la durée de vie des composants intégrés. Les autorités de surveillance du marché sont habilitées à demander aux fabricants de justifier le calcul de la durée de vie prévue du produit. Fardeau administratif Le texte du Conseil charge la Commission d’établir un formulaire de document technique simplifié pour les petites et micro-entreprises. Les mesures nationales de soutien à ces entreprises ont été rendues volontaires plutôt qu’obligatoires. Dans le même temps, la formulation obligeant les organismes notifiés à tenir compte des intérêts spécifiques des PME lors de la fixation des redevances d’évaluation de la conformité a été supprimée au profit d’une mention du financement de l’UE pour alléger les coûts de mise en conformité pour les micro et petites entreprises. Portée Un amendement a précisé que le règlement « ne s’applique pas aux composants qui sont exclusivement fabriqués en tant que pièces de rechange pour remplacer des composants identiques et qui sont fournis par le fabricant du produit d’origine avec des éléments numériques ». [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57