Customize this title in frenchLe Conseil de l’UE réfléchit à une plateforme paneuropéenne pour gérer les cyber-vulnérabilités

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLa gestion des cyber-vulnérabilités exploitées par les pirates reste le point sensible d’une nouvelle loi sur la cybersécurité, avec l’idée d’une plateforme de signalement paneuropéenne entrant en scène. Le Cyber ​​Resilience Act est une proposition législative introduisant des exigences de sécurité que les fabricants doivent respecter avant de lancer des appareils connectés sur le marché de l’UE. Le point de discorde critique reste les obligations de déclaration sur la vulnérabilité activement exploitée, avec des changements importants en cours de discussion, comme indiqué dans un texte mis à jour du Conseil daté du 15 juin et vu par EURACTIV. Le document a été au centre des discussions lors d’une réunion du groupe de travail Cyber, un organe technique du Conseil des ministres de l’UE, mercredi 21 juin, lorsqu’il est devenu clair qu’aucune position commune ne pourrait être atteinte sur le dossier avant la fin de la présidence suédoise. Ainsi, le relais devrait être passé à l’Espagne le mois prochain, avec une date provisoire pour une approbation au niveau des ambassadeurs fixée au 17 juillet. Gestion des vulnérabilités Pour la première fois, le projet de loi de l’UE obligerait les fabricants à signaler non seulement les incidents de cybersécurité, mais également les vulnérabilités activement exploitées, c’est-à-dire les failles de sécurité qui n’ont pas encore été corrigées. Le concept de vulnérabilités activement exploitées a été aligné sur la définition de la directive révisée sur la sécurité des réseaux et de l’information (NIS2) et élargi pour couvrir à la fois les tentatives et les réussites d’atteintes à la sécurité. De plus, le compromis note que les obligations de gestion des vulnérabilités « s’appliquent aux produits comportant des éléments numériques dans leur intégralité, y compris tous les composants intégrés ». Les fabricants doivent indiquer quand ils fourniront la gestion des vulnérabilités, par exemple, dans l’emballage du produit. Les fabricants devraient divulguer publiquement les informations sur les vulnérabilités corrigées à moins que les risques de sécurité ne l’emportent sur les avantages, notamment pour permettre aux utilisateurs d’appliquer le correctif approprié. Les institutions de l’UE et les États membres en concurrence pour le cyber-renseignement La Commission européenne et le service diplomatique de l’UE mettent en place deux initiatives concurrentes pour collaborer avec des entreprises privées sur les menaces de cybersécurité. Pendant ce temps, les gouvernements de l’UE semblent désireux de garder pour eux des renseignements sensibles. Ces derniers mois, les services européens pour l’action extérieure… Obligation de déclaration Les obligations de déclaration des fabricants sont la véritable pomme de discorde au sein du Conseil, car les pays de l’UE ont transféré le traitement de ces renseignements sensibles des mains de l’ENISA, l’agence de cybersécurité de l’UE, à celles de l’équipe nationale de réponse aux incidents de sécurité informatique (CSIRT). Les fabricants devraient envoyer une alerte précoce dans les 24 heures dès qu’ils ont connaissance d’une vulnérabilité activement exploitée et une mise à jour dans les trois jours avec des informations plus détaillées, l’état de la remédiation et toute mesure corrective ou d’atténuation. Toutes les notifications doivent être soumises via le point de terminaison de notification électronique du pays de l’UE où ils ont leur établissement principal, défini comme « où les décisions liées à la cybersécurité de ses produits avec des éléments numériques sont principalement prises ». Tous les points finaux nationaux devraient alimenter une plate-forme de notification unique établie et gérée par l’ENISA, les CSIRT étant impliqués dans la mise en place des dispositions de sécurité et opérationnelles de la plate-forme. Le premier CSIRT qui reçoit la notification devra informer tous les pairs concernés, mais dans des circonstances exceptionnelles, cela pourrait être retardé comme strictement nécessaire pour des raisons de cybersécurité justifiées. Une disposition stipulant que les obligations du règlement ne doivent pas entraîner la divulgation d’informations contraires aux intérêts essentiels de la sécurité des pays de l’UE a été supprimée. Catégories de produits spéciaux Comme indiqué précédemment par EURACTIV, le Conseil de l’UE a introduit une nouvelle annexe répertoriant les produits hautement critiques, réduisant le pouvoir discrétionnaire de la Commission européenne, qui pourra toujours ajouter ou supprimer des catégories de produits. L’idée est que l’exécutif européen pourrait obliger, via des actes délégués, ces catégories de produits à se qualifier avec une certification européenne de cybersécurité pour démontrer la conformité avec les règles de l’UE. Les États membres ont inclus les conditions selon lesquelles, pour que le certificat devienne obligatoire, il doit déjà être en place, et la Commission doit réaliser une analyse d’impact pour analyser son effet en termes de disponibilité des produits sur le marché intérieur. « L’évaluation de l’impact potentiel sur le marché de la certification obligatoire envisagée devrait tenir compte à la fois de l’offre et de la demande, y compris s’il existe une demande suffisante », indique le texte. Des catégories de produits spéciaux sont également répertoriées dans les classes I et II, qui, avec les produits hautement critiques, la Commission est chargée de spécifier des spécifications communes et des procédures d’évaluation de la conformité. Les circuits intégrés spécifiques à l’application et les réseaux de portes programmables sur le terrain ont été déplacés de la classe II à la classe I. Les logiciels d’authentification tels que les gestionnaires de mots de passe ont été ajoutés à la classe II. Le nécessaire requis Le Cyber ​​Resilience Act vise à introduire des exigences essentielles pour tous les produits connectés. Le nouveau texte précise que ces exigences essentielles, y compris la gestion des vulnérabilités, s’appliquent à chaque produit mis sur le marché, qu’il fasse ou non partie d’une série. La responsabilité de se conformer à ces exigences essentielles incombe à tout opérateur économique qui introduit des modifications substantielles au produit, qui peuvent également résulter de mises à jour logicielles, qu’elles soient séparées ou en combinaison avec une mise à jour de sécurité. Avant de mettre un produit sur le marché, les fabricants doivent effectuer une évaluation d’impact pour déterminer si une vulnérabilité peut avoir un impact systémique sur les consommateurs et les organisations. Pouvoirs délégués Le pouvoir de la Commission d’adopter des actes délégués expirera cinq ans après l’entrée en vigueur du règlement. Néanmoins, il sera automatiquement prolongé à moins que le Conseil ou le Parlement de l’UE ne s’y oppose. L’exécutif européen doit également fournir un rapport neuf mois avant la fin de la période de cinq ans. Calendrier L’entrée en application du règlement a été repoussée de deux à trois ans depuis son entrée en vigueur. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57