La présidence suédoise du Conseil de l’UE a fait circuler un nouveau texte de compromis, obtenu par EURACTIV, abordant la relation avec d’autres lois de l’UE, les autorités de notification, l’application et les sanctions.
Le Cyber Resilience Act est une proposition législative visant à introduire des exigences de base en matière de cybersécurité pour les appareils connectés passant par le processus législatif ordinaire.
Le compromis partiel résulte de la discussion qui s’est tenue le 15 février lors d’une réunion du groupe de travail horizontal sur les questions cybernétiques, un organe technique du Conseil des ministres de l’UE. Le nouveau document sera discuté lors d’une réunion technique mercredi 1er mars.
Les changements apportés au texte ne sont pas particulièrement significatifs, signalant que les discussions au sein du Conseil pourraient ne pas être suffisamment mûres pour aborder des questions plus sensibles telles que les pouvoirs délégués de la Commission européenne et le calendrier d’entrée en vigueur du règlement.
Interaction avec d’autres législations
Les systèmes d’IA considérés à haut risque de causer des dommages se conformeront aux exigences de cybersécurité de la loi sur l’IA s’ils respectent les exigences essentielles énumérées dans la loi sur la cyber-résilience et le démontrent avec une déclaration de conformité UE.
En ce qui concerne le règlement général sur la sécurité des produits, le texte précise que ses obligations pour les opérateurs économiques, les dispositions de surveillance du marché, l’application et la coopération internationale s’appliquent aux appareils connectés non couverts par la nouvelle loi sur la cybersécurité ou une autre législation d’harmonisation de l’UE.
De même, le respect des obligations en matière de cybersécurité en vertu du règlement de l’UE sur les machines pourrait être démontré par la déclaration de conformité délivrée en vertu du projet de loi sur la cybersécurité.
Autorités notifiantes
Suite au nouveau cadre législatif, l’ARC a exigé que certains produits critiques prouvent leur conformité aux exigences de cybersécurité via des audits externes. Cela signifierait que les gouvernements nationaux devraient désigner une autorité notifiante pour sélectionner les auditeurs agréés, les organismes notifiés.
L’autorité notifiante pourrait déléguer son rôle à une entreprise privée mais resterait responsable du respect du règlement par le contractant.
Un nouvel article a été ajouté obligeant les pays de l’UE à mettre en place une procédure d’appel que les fabricants de produits pourraient utiliser pour contester la décision des auditeurs accrédités.
Mise en vigueur
Une autorité de surveillance du marché peut prendre des mesures appropriées si elle procède à une évaluation et constate qu’un produit de l’Internet des objets et le processus interne du fabricant sont conformes au règlement mais présentent toujours des risques de sécurité importants.
Dans les cas les plus extrêmes, l’autorité peut ordonner le retrait du produit du marché ou son rappel, à condition que la mesure soit proportionnée au risque pour la sécurité des personnes, les droits fondamentaux, l’intégrité des entités critiques identifiées dans le cadre de la version révisée des réseaux et de l’information directive sur la sécurité (NIS2) et l’intérêt public plus largement.
Pénalités
Le régime de sanctions de l’ARC différencie la gravité des infractions. Le non-respect des exigences essentielles et des obligations de déclaration liées à une vulnérabilité activement exploitée peut conduire le fabricant à se voir infliger une amende pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel.
Les infractions les moins graves pourraient entraîner des amendes administratives pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.
Le nouveau texte limite cette catégorie aux manquements à toutes les autres obligations des opérateurs économiques, à la déclaration de conformité, à certaines dispositions relatives au marquage CE de conformité de l’UE, aux procédures d’évaluation de la conformité, à la documentation technique et à l’accès aux données.
Les organismes notifiés peuvent également encourir cette catégorie de sanctions s’ils violent leurs exigences, leurs règles de sous-traitance et leurs obligations opérationnelles et d’information.
[Edited by Zoran Radosavljevic]