Customize this title in frenchLes institutions européennes finalisent un accord sur la loi sur la cybersécurité pour les produits connectés

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsLes décideurs politiques de l’Union européenne sont parvenus jeudi soir (30 novembre) à un accord politique sur la loi sur la cyber-résilience, aplanissant ainsi leurs divergences sur les dernières questions en suspens. La Cyber ​​Resilience Act est une proposition législative visant à introduire des exigences de sécurité pour les appareils connectés, des jouets intelligents aux machines industrielles. La Commission européenne, le Parlement et le Conseil ont arrêté la décision finale sur la loi lors d’une réunion dite de « trilogue ». Comme Euractiv l’avait prévu, l’accord était en grande partie pré-élaboré au niveau technique, de nombreux aspects de la proposition ayant été approuvés lors de la réunion politique. Cependant, les négociateurs de l’UE ont surmonté les derniers obstacles politiques après d’intenses discussions. « La loi sur la cyber-résilience renforcera la cybersécurité des produits connectés, en s’attaquant aux vulnérabilités du matériel et des logiciels, faisant ainsi de l’UE un continent plus sûr et plus résilient. Le Parlement a protégé les chaînes d’approvisionnement, en veillant à ce que les produits clés tels que les routeurs et les antivirus soient identifiés comme une priorité en matière de cybersécurité », a déclaré à Euractiv l’eurodéputé Nicola Danti. Gestion des vulnérabilités Les fabricants d’objets connectés ne pourront plus lancer de produits sur le marché s’ils connaissent des vulnérabilités importantes pouvant être piratées. Au lieu de cela, ils devront gérer ces points d’entrée potentiels dès qu’ils en prendront connaissance pendant une période de support prédéterminée. Chaque fois que les fabricants ont connaissance d’un incident de sécurité ou d’une vulnérabilité activement exploitée, ils doivent le signaler et informer les autorités compétentes de leurs actions pour atténuer le risque de sécurité. Les vulnérabilités activement exploitées constituent un type extrêmement sensible de renseignement sur les cybermenaces, car le point d’entrée des pirates informatiques n’a pas encore été corrigé. Par conséquent, la question de savoir qui devait gérer ces informations sensibles était un point de friction dans les négociations. Le Conseil des ministres de l’UE a transféré cette tâche de l’ENISA, l’agence européenne de cybersécurité, aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT), qui ont une tâche similaire en vertu de la directive révisée sur les réseaux et les systèmes d’information (NIS2). Dans le même temps, le Parlement européen a insisté pour que l’ENISA soit tenue au courant et pour éviter de donner trop de latitude aux autorités nationales dans la conservation de ces informations hautement sensibles pour elles-mêmes. La compromission a été trouvée dans la notification envoyée simultanément par les fabricants au CSIRT compétent et à l’ENISA via une plateforme de reporting unique. Cependant, les pays de l’UE ont avancé l’idée qu’ils devraient pouvoir restreindre les informations envoyées à l’ENISA pour des raisons de cybersécurité. Les conditions de ces restrictions ont fait l’objet de discussions intenses, qui ont abouti à des conditions plutôt restrictives. Le CSIRT pourra notamment limiter la notification lorsque le produit concerné est présent majoritairement sur son marché intérieur et ne comporte pas de risque pour les autres pays de l’UE. En outre, les autorités nationales ne seront pas tenues de divulguer les informations qu’elles jugent nécessaires pour protéger les intérêts essentiels de sécurité. Cette mise en garde est conforme aux traités de l’UE. La troisième condition s’applique si le fabricant lui-même perçoit un risque imminent en cas de diffusion ultérieure et l’indique dans la notification. À leur tour, les députés ont obtenu que l’ENISA continue de recevoir certaines informations pour surveiller tout risque systémique pour le marché unique. L’agence européenne sera informée du fabricant et du produit concerné, ainsi que de quelques informations générales sur l’exploit. Un autre point sur lequel les parlementaires ont insisté est la formulation selon laquelle l’ENISA devrait disposer de ressources suffisantes pour faire face aux nouvelles tâches. Même si cela n’a pas été inscrit dans la loi, cela fera partie d’une déclaration commune des principales institutions de l’UE. Logiciels open source Un autre point de négociation concerne les logiciels open source intégrés aux produits commerciaux. Ici, un accord a été conclu au niveau technique et approuvé au niveau politique. Comme Euractiv l’avait précédemment signalé, l’idée était de couvrir uniquement les logiciels développés dans le cadre d’activités commerciales et d’avoir des règles plus limitées pour les gestionnaires de logiciels open source en matière de documentation et de gestion des vulnérabilités. Dans la dernière version du texte, consultée par Euractiv, les organisations à but non lucratif qui vendent des logiciels open source sur le marché mais réinvestissent tous leurs revenus dans des activités à but non lucratif ont également été exclues du champ d’application. Exemption relative à la sécurité nationale Les États membres ont obtenu l’exclusion du champ d’application du règlement tout produit développé ou modifié exclusivement à des fins de sécurité nationale ou de défense. Droit dérivé Un débat récurrent dans l’élaboration du droit européen concerne le type de droit dérivé utilisé, dans la mesure où les actes délégués prévoient l’implication du Parlement, ce qui n’est pas le cas pour les actes d’exécution. La définition de la période de soutien sera détaillée dans le cadre d’un acte délégué, tandis que celle pour les catégories spéciales de produits sera effectuée dans le cadre d’un acte d’exécution. Affectation des revenus des pénalités Le Parlement européen a poussé à introduire une formulation exigeant que les sanctions prévues par cette législation soient réinvesties dans des activités de renforcement des capacités en matière de cybersécurité. Ce point n’a pas été inscrit dans le texte juridique, mais il y aura une référence dans le chapeau de la loi. [Edited by Alice Taylor] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57