Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLa deuxième négociation interinstitutionnelle sur la loi sur la cyber-résilience a fixé le cadre d’un accord politique attendu plus tard ce mois-ci. Cependant, la question controversée de savoir qui doit recevoir les informations sensibles sur les vulnérabilités n’est pas encore entièrement réglée. Le Cyber Resilience Act est un projet de loi introduisant des exigences de sécurité pour les appareils connectés. Le dossier en est à la dernière étape du processus législatif, appelé trilogues entre la Commission européenne, le Parlement et le Conseil. Mercredi (8 novembre), le deuxième trilogue politique a approuvé l’aspect de la période de support pendant laquelle les correctifs de sécurité devront être garantis et a fourni quelques orientations au niveau technique pour travailler sur des compromis sur deux points de friction du projet de loi : les obligations de déclaration. et produits critiques. Obligations de déclaration Le projet de loi sur la cybersécurité oblige les fabricants à signaler les incidents de sécurité et les vulnérabilités activement exploitées. Cet aspect s’est avéré le plus controversé des négociations, car la Commission européenne et le Parlement européen ont souhaité que cette tâche soit confiée à l’ENISA, l’agence européenne de cybersécurité, tandis que les gouvernements européens souhaitent la confier à leurs équipes nationales de réponse aux incidents de sécurité informatique (CSIRT). Même si chaque colégislateur reste ferme sur sa position, une solution intermédiaire possible actuellement à l’étude consisterait à conserver le reporting auprès des CSIRT, mais en accordant un rôle plus important à l’ENISA. Même si les députés semblent ouverts à une plateforme de reporting unique, le point de friction dans les négociations reste de savoir quelle entité devrait être la première destinataire du reporting. La Commission a notamment suggéré que les rapports pourraient être adressés à la fois à l’agence européenne et au CSIRT national. Cependant, cette solution augmenterait considérablement la surface d’attaque des informations extrêmement sensibles. Dans le même temps, dans un texte de compromis diffusé juste avant le trilogue, la définition de la vulnérabilité activement exploitée a été modifiée pour couvrir uniquement les vulnérabilités qui ont été exploitées avec succès, à l’exclusion des tentatives infructueuses. De plus, le texte précise que seuls les incidents ayant un impact grave doivent être signalés. Les définitions des incidents et des quasi-accidents ont été alignées sur celles du NIS2. Les députés ont introduit l’idée selon laquelle l’ENISA devrait inclure la vulnérabilité dans la base de données européenne établie dans le cadre de NIS2 une fois qu’un correctif de sécurité sera déployé. Surtout, le texte précise désormais que cela ne concernerait que les vulnérabilités publiquement connues. Catégories critiques La loi sur la cyber-résilience prévoit que la plupart des fabricants de produits puissent auto-évaluer s’ils répondent à ses exigences de sécurité. En revanche, les catégories de produits critiques doivent être soumises à des procédures d’évaluation de la conformité avec des auditeurs certifiés. Des divergences persistent quant à savoir si le mot « critique » doit être utilisé pour ces catégories de produits. La Commission a proposé d’utiliser à la place le mot « impactant », car il apparaît également dans la loi sur l’IA, mais la discussion doit se poursuivre au niveau technique. Une question politique qui reste à résoudre est de savoir quel type de droit dérivé est nécessaire, à savoir des actes d’exécution ou des actes délégués. Un cas important concerne la capacité de la Commission à mettre à jour la liste des produits « critiques ». Dans le dernier compromis, le Conseil a introduit certains critères filtrant les produits entrant dans les catégories énumérées pour être considérés comme critiques. Lors du trilogue, les colégislateurs ont tenté d’affiner ces critères : le produit doit soit avoir une fonction critique pour la cybersécurité d’autres produits, soit comporter un risque important de perturber de nombreux autres produits ou la santé et la sécurité des personnes vulnérables. Le compromis indique également que seuls les appareils connectés dotés d’une fonctionnalité « de base » entrant dans l’une des catégories spécifiques énumérées dans l’annexe seront considérés comme un produit critique. De plus, si un produit dont une fonctionnalité de base rentre dans les catégories critiques est intégré à un autre produit, ce dernier n’est pas automatiquement considéré comme critique. La Commission est habilitée à modifier ces catégories spéciales de produits mais devrait garantir « une période de transition adéquate », notamment pour les nouvelles catégories. L’exécutif européen doit préciser ces catégories de produits dans les 16 mois suivant l’entrée en vigueur du règlement. À la suite d’une analyse d’impact, l’exécutif européen pourrait également demander que les produits hautement critiques obtiennent une certification de cybersécurité existante. La précision des députés selon laquelle cette obligation prendrait un an pour s’appliquer a été supprimée. La liste des produits critiques fait toujours l’objet de négociations, les pays de l’UE tentant de la raccourcir et le Parlement européen de l’étendre. Euractiv comprend qu’une solution intermédiaire pourrait être trouvée, mais les deux institutions n’ont pas encore révélé leurs priorités. Période d’assistance Les parlementaires ont obtenu une période de support minimale de cinq ans, pendant laquelle les fabricants devraient assurer les mises à jour de sécurité et la gestion des vulnérabilités, sauf si le produit a une durée de vie plus courte. De plus, par rapport à une version précédente du texte rapportée par Euractiv, la nouvelle version de la disposition suite aux trilogues précise que les « éléments permettant de déterminer la période de soutien seront pris en compte de manière à garantir la proportionnalité ». La Commission sera habilitée à imposer une période de soutien minimale pour certaines catégories de produits par le biais du droit dérivé lorsqu’il existe des preuves de périodes de soutien systématiquement inadéquates. Prochaines étapes Selon une source proche du dossier, après le trilogue de mercredi, il est encore plus probable qu’un accord final soit trouvé lors de la prochaine réunion politique du 30 novembre, même si d’ici là, un travail intense devrait avoir lieu au niveau technique. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);
Source link -57