Le Conseil de l’UE envisage de larges exceptions de sécurité nationale dans la législation sur la cybersécurité de l’IdO

[ad_1]

La présidence tchèque du Conseil de l’UE a diffusé le premier compromis sur la loi sur la cyber-résilience, daté du 18 novembre et obtenu par EURACTIV, apportant de lourdes modifications au champ d’application de la proposition et à la clause de libre circulation.

Le Cyber ​​Resilience Act est une législation horizontale visant à introduire des exigences essentielles en matière de cybersécurité pour les appareils connectés et leurs services associés. Depuis la publication de la proposition en septembre, les représentants nationaux au Conseil de l’UE ont engagé des discussions préliminaires.

Le nouveau texte sera discuté lors du groupe de travail horizontal sur les questions cybernétiques, un organe préparatoire du Conseil de l’UE, mercredi 23 novembre. Suite à cette discussion préliminaire, les États membres seront invités à fournir des commentaires écrits.

la sécurité nationale

La présidence a ajouté un libellé indiquant que le règlement ne devrait pas empêcher les États membres d’imposer des restrictions nationales sur les produits contenant des éléments numériques pour des raisons de sécurité nationale, notamment en les interdisant de leurs marchés.

« Ce règlement est sans préjudice des responsabilités des États membres en matière de sauvegarde de la sécurité nationale ou de leur pouvoir de sauvegarder d’autres fonctions essentielles de l’État, notamment la garantie de l’intégrité territoriale de l’État et le maintien de l’ordre public », poursuit le document.

De plus, les produits connectés développés exclusivement à des fins de défense ont également été exclus du champ d’application du règlement. Cette exclusion pourrait entraîner une certaine incertitude concernant les technologies à double usage, qui peuvent être utilisées à la fois dans les sphères militaires et civiles.

Le compromis limite également les obligations de déclaration des informations dont la divulgation pourrait aller à l’encontre de la sécurité nationale, de la sécurité publique ou de l’intérêt de la défense d’un pays de l’UE.

De même, le compromis précise que le Cyber ​​Resilience Act ne doit pas empêcher les États membres d’évaluer la conformité des produits utilisés dans le domaine militaire ou de la défense, à des fins de sécurité nationale ou de traitement d’informations classifiées.

Logiciel

Selon une version préliminaire du rapport d’étape, datée du 18 novembre et également consultée par EURACTIV, une partie essentielle des discussions au sein du Conseil s’est concentrée sur la mesure dans laquelle le logiciel en tant que service est couvert par le règlement.

Ce sujet devait être sensible dès le départ. Avant même la publication du projet, le Danemark, l’Allemagne et les Pays-Bas ont publié un non-document appelant à étendre le champ d’application au logiciel en tant que service.

À cet égard, les Tchèques ont proposé d’inclure le paragraphe suivant pour définir le logiciel : « le code informatique comprend une séquence ou un ensemble d’instructions décrites dans un langage de programmation, y compris un code machine ou binaire, à exécuter par un autre logiciel ou par du matériel, pour traiter , stocker ou transmettre des données numériques ».

Législation sectorielle

Les produits couverts par la directive européenne harmonisant les systèmes d’information fluviale sur les voies navigables ont été exclus du champ d’application. Plus généralement, les produits couverts par une législation sectorielle imposant un niveau de protection identique ou supérieur pourraient être exclus des exigences du règlement.

Le texte original autorisait la circulation de logiciels inachevés et non conformes à condition qu’ils ne soient mis à disposition qu’à des fins de test. Cependant, les États membres souhaitent préciser que cela ne s’applique pas aux composants de sécurité couverts par la législation harmonisée de l’UE.

Autres points de discussion

« Les États membres ont indiqué que la portée des produits critiques mériterait une discussion approfondie. Les États membres ont également souligné la nécessité de clarifier l’interaction avec d’autres législations pertinentes, telles que la directive NIS 2 ou la loi sur la cybersécurité », indique le rapport d’avancement.

Les pays de l’UE ont également appelé à clarifier certains des termes utilisés dans la proposition et à une évaluation précise de la charge que le règlement imposerait aux PME et aux start-up qui développent et fabriquent ces produits.

Certains gouvernements européens souhaitent également examiner de près la limitation proposée pour la conformité aux exigences du règlement à la durée de vie prévue du produit ou à cinq ans depuis la mise sur le marché de l’UE, selon la période la plus courte.

Le rôle et les tâches envisagés pour l’ENISA, l’agence de cybersécurité de l’UE, sont également mentionnés comme nécessitant des discussions plus approfondies.

[Edited by Zoran Radosavljevic]



[ad_2]

Source link -42