La présidence suédoise du Conseil des ministres de l’UE a partagé un nouveau texte de compromis avec des changements importants sur la catégorisation des produits critiques et très critiques dans le cadre de la loi sur la cyber-résilience.
Le projet de loi est conçu pour établir des exigences de base en matière de cybersécurité pour les appareils connectés, telles que le fait que les produits de l’Internet des objets (IoT) qui se connectent et échangent des données avec d’autres appareils ne peuvent être lancés sur le marché avec aucune vulnérabilité exploitable connue.
Alors que pour la plupart des appareils connectés, les fabricants pourront auto-évaluer la conformité à ces exigences, pour certains produits spécifiques jugés « critiques » ou « très critiques », un audit externe sera nécessaire. La manière et les produits qui seraient éligibles pour ces deux catégories cruciales étaient au centre du dernier texte de compromis, vu par EURACTIV.
Le compromis a été partagé vendredi 10 février et sera discuté mercredi au sein du groupe de travail sur la cybersécurité, un organe technique qui établit les travaux préparatoires pour approbation au niveau ministériel.
Produits critiques
Selon le texte de compromis, certains produits seront considérés comme « critiques » s’ils remplissent une fonction de sécurité clé, par exemple l’authentification, la prévention des intrusions ou la protection du réseau.
C’est le cas des logiciels de détection de logiciels malveillants, des systèmes de surveillance du trafic réseau pour le contrôle du débit et des flux, des systèmes de gestion des informations et des événements de sécurité, des systèmes déployant des mises à jour et des correctifs de sécurité, des pare-feu, des certificats numériques et des appareils domestiques intelligents dotés de fonctionnalités de sécurité comme les systèmes d’alarme.
Un autre sous-groupe de produits de l’Internet des objets est considéré comme « critique » s’ils jouent un rôle central dans la gestion d’un système plus large ou s’ils ont le potentiel d’endommager plusieurs autres produits, tels que la gestion du réseau et le contrôle de la configuration.
Ce deuxième critère concerne les navigateurs autonomes et intégrés, la gestion des ressources réseau, y compris la technologie de mise en réseau conçue par logiciel, les systèmes de gestion de la configuration des applications pour la configuration centralisée des systèmes, les logiciels d’accès à distance, les interfaces réseau physiques et virtuelles, les routeurs, les microprocesseurs, les microcontrôleurs, les systèmes d’exploitation et les produits industriels. et les systèmes de contrôle non couverts dans la catégorie « hautement critique ».
Produits hautement critiques
Un autre groupe de produits serait considéré comme « très critique » s’ils répondent aux deux critères susmentionnés, à savoir qu’ils ont une fonction de sécurité importante et qu’ils sont essentiels dans un environnement IoT plus large.
Cette classe de produits comprend les systèmes de gestion d’identité, les outils d’authentification, les réseaux privés virtuels (VPN), les systèmes de gestion de réseau pour la configuration, la surveillance et la mise à jour des dispositifs réseau, les hyperviseurs, les microprocesseurs pour les éléments sécurisés, les dispositifs basés sur des puces inviolables, la sécurité matérielle modèles, crypto-processeurs sécurisés et lecteurs de cartes à puce.
Les pare-feu à usage industriel seront classés « très critiques » s’ils ont à la fois une fonction liée à la cybersécurité et sont utilisés dans des environnements sensibles, y compris le cadre de contrôle industriel pour les entités désignées comme « essentielles » en vertu de la directive sur les réseaux et l’information (NIS2) récemment révisée.
Un dernier groupe de produits serait classé comme « très critique » s’il répond à la double condition d’être utilisé dans un environnement sensible et central pour la gestion d’un système plus large. Les circuits intégrés spécifiques aux applications, les matrices de portes programmables sur le terrain, les systèmes d’automatisation et de contrôle industriels, les dispositifs IoT industriels et les compteurs intelligents font partie de ce groupe de produits.
La liste des produits critiques et très critiques a été incluse dans l’annexe du projet de loi, les annexes pouvant être mises à jour plus facilement que le corps du texte. La Commission européenne devrait tenir compte de ces critères lors de la modification des produits énumérés dans l’annexe.
Système de certification
Pour démontrer la conformité avec certaines des exigences essentielles du règlement, la Commission pourrait exiger que des catégories spécifiques de produits hautement critiques obtiennent un certificat de cybersécurité de l’UE avec un niveau « substantiel » ou « élevé » tel que défini dans la loi sur la cybersécurité.
Pour déterminer quelles catégories de produits hautement critiques doivent être demandées pour ces certificats, l’exécutif européen devra examiner les critères susmentionnés et déterminer si le produit pourrait perturber les entités essentielles identifiées dans le cadre du NIS2 ou les chaînes d’approvisionnement critiques pour le marché de l’UE.
Déclaration simplifiée
La présidence suédoise a inclus un modèle de déclaration de conformité UE simplifiée, affichant l’URL où la déclaration complète sera accessible en ligne.
[Edited by Nathalie Weatherald]