Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLes colégislateurs de l’UE devraient parvenir à un accord politique sur la loi sur la cyber-résilience, le principal obstacle restant à résoudre étant le pouvoir des autorités nationales de restreindre l’accès aux vulnérabilités signalées. Le Cyber Resilience Act est une proposition législative visant à introduire des exigences de sécurité pour les fabricants d’appareils connectés. Le dossier en est à la dernière étape du processus législatif, la Commission européenne, le Parlement et le Conseil discutant des dispositions finales dans le cadre de ce que l’on appelle des trilogues. Les principales institutions européennes devraient formaliser un accord lors d’un trilogue politique jeudi (30 novembre), mais la plupart des aspects du dossier ont déjà été réglés au niveau technique, selon un document interne daté du 24 novembre et consulté par Euractiv. Dans le même temps, l’aspect épineux de la vulnérabilité et du signalement des incidents reste la principale question politique ouverte. Rapports de vulnérabilité La nouvelle loi sur la cybersécurité introduit pour la première fois l’obligation de signaler non seulement les incidents graves, mais également les vulnérabilités activement exploitées, points d’entrée actuellement utilisés par des acteurs malveillants qui n’ont pas encore été corrigés. Bien que les délais de déclaration aient été alignés sur ceux de la directive révisée sur les réseaux et les systèmes d’information (NIS2), pour les vulnérabilités activement exploitées, la fourniture du rapport final était prévue à 14 jours. La proposition initiale, soutenue par le Parlement, prévoyait que ces vulnérabilités soient notifiées à l’ENISA, l’agence européenne de cybersécurité. Les États membres souhaitent confier cette tâche à leurs équipes nationales de réponse aux incidents de sécurité informatique (CSIRT). Le CSIRT de référence est considéré comme celui du pays où le constructeur a son principal établissement, c’est-à-dire là où il prend les décisions en matière de cybersécurité ou compte le plus de salariés. Les entreprises n’ayant pas de bureau dans l’UE devront se référer au pays où elles ont le plus d’utilisateurs. À la mi-novembre, Euractiv a rapporté que la Commission avait proposé, comme compromis, que les fabricants déposent la notification via une plateforme de déclaration unique pour alerter simultanément le CSIRT national concerné et l’ENISA. Alors qu’un consensus se développe sur cette approche, le Conseil insiste sur la possibilité pour les CSIRT de restreindre temporairement l’accès de l’ENISA aux notifications pour des raisons de cybersécurité. Les députés étant fermement opposés à cette mesure, ce sera le point de discorde du prochain trilogue. Dans le même temps, Euractiv comprend que les États membres ne sont pas entièrement satisfaits du compromis de la présidence, estimant qu’il allait au-delà de son mandat. Une controverse supplémentaire pourrait naître du fait que le Parlement européen souhaite inclure une formulation appelant à une augmentation des ressources de l’ENISA. Catégories de produits spéciaux En vertu de la loi sur la cybersécurité, les fabricants pourraient auto-évaluer leur conformité aux exigences de sécurité. Toutefois, pour certaines catégories de produits « importantes », les produits devraient être contrôlés par des organismes d’évaluation de la conformité certifiés. Les produits importants sont répertoriés dans l’annexe du règlement. Cependant, le Conseil a réussi à introduire une méthodologie pour classer les produits dans ces catégories spéciales et un certain filtrage, à savoir que le produit doit avoir une fonction critique pour la cybersécurité d’autres produits ou présenter une fonction qui comporte un risque important d’avoir un impact négatif sur un grand nombre de produits ou utilisateurs. La liste des produits importants, autre point de friction des négociations, est désormais consolidée. La première classe de produits importants comprend des systèmes de gestion d’identité, des navigateurs, des gestionnaires de mots de passe, des logiciels de détection de logiciels malveillants, des réseaux privés virtuels (VPN), des systèmes de gestion de réseau, des systèmes de gestion d’informations et d’événements de sécurité, des gestionnaires de démarrage, des logiciels d’émission de certificats numériques, des interfaces réseau, des systèmes d’exploitation. systèmes, routeurs, microprocesseurs, microcontrôleurs dotés de fonctionnalités liées à la sécurité et circuits spécifiques à des applications. Sur l’insistance des députés européens, les produits de consommation tels que les maisons intelligentes, les jouets connectés à Internet et les appareils portables personnels ont également été inclus dans la classe I. Dans la classe II, la liste finale comprend les hyperviseurs et les systèmes d’exécution de conteneurs, les pare-feu, les microprocesseurs et les contrôleurs inviolables. Enfin, le Conseil a également introduit une liste supplémentaire de produits critiques pour lesquels un certificat de cybersécurité pourrait être demandé, notamment les appareils matériels, les compteurs intelligents et les cartes à puce. Obligations pour les fabricants Les fabricants devront procéder à une évaluation des risques qui déterminera les exigences de sécurité applicables à leur produit. L’évaluation des risques doit être mise à jour le cas échéant pendant la période de support du produit. La période de support est le délai pendant lequel les fabricants doivent assurer la gestion des vulnérabilités des produits et doit être d’au moins cinq ans pour le produit, car sa durée de vie attendue est plus courte. En outre, le texte convenu exige que toute mise à jour de sécurité fournie pendant la période de support reste disponible au moins 10 ans après sa publication ou pendant le reste de la période de support, selon la période la plus longue. Le texte précise désormais que les fabricants doivent fournir à leurs produits « une configuration sécurisée par défaut et fournir gratuitement des mises à jour de sécurité aux utilisateurs ». Exemption relative à la sécurité nationale Reste à confirmer le libellé de l’exemption relative à la sécurité nationale demandée par le Conseil. Ici, la question est de savoir si seuls doivent être exclus les produits développés exclusivement à des fins de sécurité ou de défense nationales, ou également ceux qui ont été modifiés à ces fins. Logiciels open source La manière d’inclure les logiciels open source a été largement convenue au niveau technique. Comme Euractiv l’avait précédemment rapporté, les décideurs politiques de l’UE ont introduit la figure des gestionnaires de logiciels open source soumis à la documentation et à la gestion des vulnérabilités. Affectation des recettes des pénalités Un point mineur qui doit être réglé lors du trilogue est la proposition des députés visant à obliger les pays de l’UE à réinvestir les revenus issus des sanctions prévues par ce règlement dans des activités de renforcement des capacités en matière de cybersécurité. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV L’Allemagne s’associe aux États baltes pour promouvoir la réforme numérique de l’UEL’Allemagne, l’Estonie, la Lettonie et la Lituanie s’adressent à la Commission européenne avec une proposition visant à réformer la politique numérique de l’UE, l’Allemagne se tournant vers les États baltes pour obtenir leur expertise et les autres espérant capitaliser sur l’influence de l’Allemagne au sein de l’UE. !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);
Source link -57