Customize this title in frenchLes ambassadeurs de l’UE s’apprêtent à approuver une nouvelle loi sur la cybersécurité pour les appareils connectés

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsUne version affinée du Cyber ​​Resilience Act, vue par EURACTIV, a peaufiné les parties sur les obligations de déclaration, les produits hautement critiques et la durée de vie du produit avant l’approbation au niveau des ambassadeurs. Plus tôt ce mois-ci, la présidence espagnole du Conseil des ministres de l’UE a partagé lundi dernier un compromis révisé discuté lors du groupe de travail horizontal sur les questions cybernétiques, un organe technique du Conseil, pour signaler toute question en suspens à traiter. Cette discussion a éclairé la mise au point finale reflétée dans un nouveau texte que la présidence espagnole a fait circuler jeudi 13 juillet avant la réunion du Comité des représentants permanents qui doit adopter la position du Conseil de l’UE mercredi. Le même jour, la commission de l’industrie du Parlement européen, chef de file du dossier, devrait également adopter sa version du texte, sans vote en plénière prévu. Les négociations entre les colégislateurs de l’UE doivent débuter en septembre. Obligation de déclaration Le règlement sur la cybersécurité introduit l’obligation pour les fabricants qui ont connaissance d’un incident de cybersécurité ou d’une vulnérabilité activement exploitée d’en informer l’autorité compétente. Le Conseil a transféré cette tâche sensible des mains de l’ENISA, l’agence de cybersécurité de l’UE, à celles des équipes nationales de réaction aux incidents de sécurité informatique (CSIRT). Le nouveau texte encourage les États membres à mettre en place un point d’entrée national unique pour les exigences de déclaration. Le CSIRT qui reçoit le signalement devra le partager avec ses pairs via une plateforme de signalement unique sauf si des motifs justifiés liés à la cybersécurité au regard de la sensibilité des informations notifiées justifient de retarder la transmission. Collectivement, les CSIRT élaboreront des spécifications sur l’application de ces circonstances exceptionnelles et sur l’organisation, la sécurité et le type d’informations à partager via la plateforme de déclaration. L’ENISA établira la plate-forme paneuropéenne selon les spécifications des CSIRT, en analysant les complémentarités potentielles avec la base de données européenne sur les vulnérabilités établie dans le cadre de la directive révisée sur la sécurité des réseaux et de l’information (NIS2). L’ENISA notifiera tout incident de cybersécurité lié à la plateforme dans les meilleurs délais. Les références à la fourniture aux autorités de surveillance du marché d’un accès à la plateforme ont été supprimées. Un libellé précédemment ajouté qui aurait donné aux fabricants une certaine flexibilité quant aux délais de déclaration, par exemple s’ils élaborent une mesure d’atténuation, a été supprimé. Le fabricant doit également informer l’utilisateur de tout incident ou vulnérabilité active. S’il ne le fait pas en temps opportun, le CSIRT notifié peut intervenir. Produits hautement critiques La loi sur la cyber-résilience introduit le concept de produits hautement critiques pour lesquels la Commission européenne pourrait imposer des systèmes de certification de cybersécurité de l’UE. Cependant, la dernière version a supprimé toute référence explicite aux «produits hautement critiques». Les pays de l’UE ont réduit le pouvoir discrétionnaire de l’exécutif européen sur cette tâche, notamment en introduisant une première liste de catégories de produits hautement critiques que la Commission pourrait modifier ultérieurement. Le texte du Conseil exige également qu’avant de demander une certification obligatoire, l’exécutif de l’UE procède à une analyse d’impact pour évaluer l’offre et la demande du marché intérieur ainsi que la capacité et l’état de préparation des États membres pour la mise en œuvre des programmes. Les itérations précédentes du texte indiquaient qu’il fallait demander aux produits hautement critiques de se conformer au niveau d’assurance « substantiel » ou « élevé » en vertu de la loi sur la cybersécurité. Cette référence à des niveaux d’assurance spécifiques a été supprimée du texte. De plus, la Commission devra réaliser une analyse d’impact avant de demander un certificat de cybersécurité, mais le délai pour la réaliser a été supprimé. L’exécutif européen devra consulter les parties prenantes concernées, y compris le groupe européen de certification de cybersécurité. Durée de vie du produit Les fabricants doivent indiquer la durée de vie prévue du produit pendant laquelle les utilisateurs peuvent s’attendre à des mises à jour de sécurité. Les éléments à prendre en compte dans ce calcul ont été déplacés des parties contraignantes du règlement vers le préambule, à savoir la disponibilité attendue de l’environnement d’exploitation, la durée de vie des produits aux fonctionnalités similaires et les orientations des autorités de surveillance du marché. D’autres points précédemment répertoriés comme pertinents pour déterminer la durée de vie prévue du produit ont été supprimés, à savoir la référence à la législation européenne pertinente et la nature du produit, y compris les conditions de licence. Les autorités de surveillance du marché ne sont plus autorisées à demander aux fabricants une justification de la manière dont la durée de vie du produit a été calculée. Attribution de responsabilité La responsabilité de se conformer à la loi sur la cybersécurité incombe à l’opérateur économique qui modifie substantiellement un appareil connecté. Cependant, cette responsabilité est exclue pour les correctifs de sécurité qui ne modifient pas la destination d’un produit. Une nouvelle formulation a été ajoutée pour préciser que ces mises à jour de sécurité exclues incluent celles « modifiant les fonctions ou les performances d’un produit avec des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité ». Les produits contenant des éléments numériques développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ont également été exclus. Mise en vigueur Les autorités de surveillance du marché de l’UE réunies au sein du groupe de coopération administrative publieront des documents d’orientation pour rationaliser l’application du règlement au niveau national, notamment sous la forme de bonnes pratiques et d’indicateurs pour vérifier efficacement la conformité. Des pièces de rechange Les composants des appareils connectés fabriqués exclusivement en tant que pièces de rechange pour remplacer des composants identiques ont été exclus du champ d’application du règlement. La nouvelle version précise que ces pièces détachées doivent suivre « les mêmes processus de développement et de production que le produit d’origine ». [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57