Customize this title in frenchLoi sur la cyber-résilience : le principal député européen propose une durée de vie flexible et des rapports plus étroits

Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words Le législateur européen à l’origine de la loi sur la cyber-résilience a produit un projet de rapport proposant la suppression des obligations temporelles pour la durée de vie des produits et limitant la portée du signalement aux incidents significatifs, entre autres changements importants. Le Cyber ​​Resilience Act est un projet de loi introduisant des exigences de cybersécurité pour les produits de l’Internet des objets (IoT), des appareils connectés qui peuvent échanger des données. Vendredi 31 mars, le rapporteur du Parlement européen, Nicola Danti, a fait circuler son projet de rapport, vu par EURACTIV, auprès des autres groupes politiques. Alors que Danti a maintenu la portée globale du règlement, il a simplifié le langage, déclarant que les exigences s’appliquent à tous les appareils connectés « qui peuvent avoir une connexion de données directe ou indirecte à un appareil ou à un réseau ». Portée Pour maintenir la dynamique d’innovation des logiciels ouverts, les développeurs ne sont pas liés par la réglementation s’ils ne reçoivent aucun retour financier pour leurs projets. En revanche, les logiciels open source fournis dans le cadre d’une activité commerciale sont couverts. Les pièces de rechange conçues uniquement pour le processus de réparation sur le marché avant l’entrée en vigueur du règlement ont été exclues. Les appareils connectés développés exclusivement à des fins militaires ou pour traiter des informations classifiées ont été exemptés, mais les États membres devraient assurer le même niveau de protection ou un niveau supérieur. Durée de vie du produit Pour Danti, avoir une date fixe pour la durée de vie prévue du produit est inapproprié pour une législation horizontale affectant divers secteurs, des smartphones aux machines industrielles. Par conséquent, il propose de laisser les fabricants déterminer la durée de vie de leurs produits respectifs tant que cela correspond aux attentes des consommateurs. L’idée est que les fabricants d’IoT pourraient également rivaliser sur la durée de vie de leurs produits, qui devrait être clairement affichée dans l’emballage ou dans les accords contractuels. En outre, le rapporteur souhaite inclure l’obligation pour les fabricants d’informer les consommateurs lorsque la durée de vie de leur produit est sur le point de se terminer. Obligation de déclaration Les délais des obligations de déclaration pour les fabricants qui ont connaissance d’une vulnérabilité et d’un incident de sécurité activement exploités dans l’un de leurs produits ont été alignés sur ceux de la directive sur la sécurité des réseaux et de l’information (NIS2) récemment révisée. Le projet de rapport propose de limiter le champ d’application de cette obligation de déclaration uniquement aux vulnérabilités activement exploitées et aux incidents significatifs au lieu de tous les incidents. En outre, le rapporteur souhaite mettre en place des protocoles clairs pour le traitement de ces notifications, car les informations sur les vulnérabilités non corrigées pourraient causer des dommages importants si elles tombaient entre les mains d’acteurs malveillants. Par conséquent, une question délicate à laquelle il faut répondre est de savoir qui doit gérer ces informations sensibles. Alors que les pays de l’UE ont transféré la collecte des vulnérabilités entre les mains des équipes nationales de réponse aux incidents de cybersécurité (CSIRT), Danti souhaite maintenir le rôle centralisateur de l’ENISA. Pour faire face à cette tâche, le législateur italien souhaite augmenter les ressources humaines et financières de l’agence européenne de cybersécurité. Une autre idée proposée consiste à établir un mécanisme de signalement volontaire pour les incidents tels que les quasi-accidents et les cybermenaces. Produits critiques Pour garantir la clarté juridique et la prévisibilité, la Commission ne peut modifier la liste des produits critiques de l’annexe III qu’une fois tous les deux ans. Le délai accordé à l’exécutif européen pour adopter un acte délégué précisant les catégories de produits relevant des classes I et II a été raccourci de 12 à 6 mois à compter de l’entrée en vigueur du règlement afin de donner aux fabricants de produits plus de temps pour s’adapter. Des dispositifs de sécurité grand public tels que des systèmes domotiques, des caméras et des serrures intelligentes ont été ajoutés aux produits critiques de la classe I. Les routeurs et les modems ont été déplacés vers la classe de sécurité supérieure. Calendrier et mise en œuvre Danti considère que le respect des exigences du Cyber ​​Resilience Act sera particulièrement difficile pour les PME. Ainsi, il propose de prolonger l’entrée en application de deux ans à 40 mois depuis son entrée en vigueur. L’idée est que pendant cette période de transition, les fabricants pourraient déjà commencer à se conformer volontairement à la nouvelle loi sur la cybersécurité, en obtenant une présomption de conformité avec la directive existante sur les équipements radio. Le rapporteur souhaite également que la Commission fournisse des lignes directrices pour guider les parties prenantes dans la phase de mise en œuvre. Sécurité Une autre modification importante de la proposition originale est que le projet de rapport veut obliger les fabricants à déployer des mises à jour automatiques pour les caractéristiques de sécurité de leur produit chaque fois que possible tout au long de la durée de vie du produit. Si un fabricant a défini la durée de vie de son produit comme étant inférieure à cinq ans, il devrait autoriser d’autres sociétés à fournir des correctifs de sécurité prolongeant cette durée de vie. Dans ces cas, les fabricants seraient obligés de divulguer le code source du produit. Échange international Le projet de rapport exhorte l’exécutif européen à envisager des accords de reconnaissance mutuelle avec des pays tiers partageant les mêmes idées et offrant des niveaux de protection comparables. Dans le même temps, l’ENISA serait chargée de coordonner les contrôles avec les autorités de surveillance du marché sur les fournisseurs à haut risque qui pourraient, par exemple, inclure des portes dérobées dans leurs produits. Implication des parties prenantes Le rapporteur propose de créer le groupe d’experts sur la cyber-résilience, un organe rassemblant des parties prenantes issues d’institutions publiques, d’entreprises, de la société civile, d’universités et d’experts pour conseiller la Commission sur la préparation d’actes délégués dans le cadre de la nouvelle loi sur la cybersécurité. Amendes Danti suggère que les sanctions prononcées en vertu de la loi sur la cyber-résilience soient réservées aux projets de cybersécurité dans le cadre du programme Europe numérique. [Edited by Zoran Radosavljevic] !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);

Source link -57