Cet article a été mis à jour avec une référence aux modifications du compromis du Conseil liées aux vulnérabilités connues.
Les pays de l’UE envisagent d’adapter la définition du cycle de vie du produit à la spécificité du produit et de déplacer le signalement des vulnérabilités au niveau national dans un nouveau compromis sur la loi sur la cyber-résilience.
Le Cyber Resilience Act est une proposition législative de l’UE visant à introduire des exigences de base en matière de cybersécurité pour les produits de l’Internet des objets. Les discussions sur le projet de loi se sont récemment accélérées au sein du Conseil des ministres de l’UE.
La présidence suédoise a fait circuler un nouveau texte de compromis, daté du 27 janvier et vu par EURACTIV, qui sera discuté mercredi 1er février au sein du groupe de travail horizontal sur les questions cybernétiques, l’organe technique du Conseil de l’UE qui prépare les travaux préparatoires à l’approbation ministérielle. .
Lors de la même réunion, les représentants des pays de l’UE doivent également discuter de l’évaluation de la conformité et de la liste des produits critiques qui devront passer par une évaluation par une tierce partie avant d’être mis sur le marché européen. Sur ces aspects, la présidence suédoise n’a pas encore diffusé de texte.
Cycle de vie du produit
La proposition initiale de la Commission imposait aux fabricants d’assurer la sécurité de leurs produits de l’Internet des objets tout au long de leur cycle de vie ou pendant cinq ans au maximum. Le texte a été modifié pour mieux tenir compte des cycles de vie des différents produits.
« Les fabricants doivent s’assurer, lors de la mise sur le marché d’un produit contenant des éléments numériques et pendant une période après la mise sur le marché, appropriée au type de produit et à sa durée de vie prévue », indique le compromis.
En d’autres termes, l’intention semble reconnaître que chaque produit a un cycle de vie différent que le fabricant devrait auto-évaluer en fonction du « temps auquel les utilisateurs s’attendent raisonnablement à recevoir des mises à jour de sécurité compte tenu de la fonctionnalité du produit et de l’objectif visé ».
Quoi qu’il en soit, si l’appareil connecté d’un produit a plus de cinq ans, le fabricant doit fournir des correctifs de sécurité pendant au moins cinq ans. La date d’expiration du support technique de sécurité doit être indiquée sur l’emballage du produit.
Si le fabricant identifie un problème de sécurité, il a l’obligation de diligence raisonnable de déployer des mises à jour de sécurité pendant au moins 10 ans. Le même délai s’applique si le fabricant apprend ou a des raisons de croire que son produit n’est plus conforme aux exigences de sécurité du règlement.
Rapports
La proposition initiale obligeait les fabricants à signaler toute vulnérabilité de produit activement exploitée à l’ENISA, l’agence de cybersécurité de l’UE.
Cette approche a soulevé des inquiétudes quant à la capacité de l’ENISA à gérer des centaines de milliers de ces notifications et à créer un potentiel « point de défaillance unique » d’informations sensibles qui attirent les pirates.
Par conséquent, le Conseil de l’UE semble s’écarter de cette approche et aligner l’obligation de notification sur celles de la directive sur les réseaux et les systèmes d’information (NIS2) récemment révisée, transférant le signalement à l’équipe nationale de réponse aux incidents de sécurité informatique (CSIRT).
Les CSIRT transmettraient alors la notification à l’ENISA et aux autorités de surveillance du marché de tous les États membres concernés, à moins qu’ils n’y voient des risques potentiels pour la cybersécurité.
La proposition va maintenant être discutée au niveau technique jusqu’à ce qu’une position commune soit trouvée parmi les États membres.
Vulnérabilités connues
Le texte initial imposait aux fabricants de ne lancer aucun produit présentant des vulnérabilités exploitables connues sur le marché unique de l’UE. L’approche a été modifiée, subordonnant cette obligation à l’évaluation des risques cybersécurité par les constructeurs.
En d’autres termes, les produits pourraient encore être vendus si les fabricants considèrent que le risque est très faible. L’idée est de réduire la bureaucratie et de mieux prendre en compte les cas où une vulnérabilité pourrait être corrigée ultérieurement avec une mise à jour de sécurité.
[Edited by Alice Taylor]