+41 41 521 80 00 | info@lexcellence.swiss

Open jobs!

La Commission européenne présente la proposition de loi sur la cyber-résilience de l'UE : Comprendre la loi et ses effets potentiels sur la chaîne d'approvisionnement

La Commission européenne présente la proposition de loi sur la cyber-résilience de l'UE : Comprendre la loi et ses effets potentiels sur la chaîne d'approvisionnement

Mercredi, 7 décembre, 2022

Dans le but d'établir des règles de cybersécurité uniformes pour les appareils et services connectés, la Commission européenne a publié la loi sur la cyber-résilience (CRA) le 15 septembre 2022. L'Union européenne lutte contre la cybercriminalité déjà depuis un certain temps. Cette législation vise à protéger les consommateurs et le marché des cyber-événements dans le cadre du voyage de l'UE vers la décennie numérique et à achever la transformation numérique de l'UE d'ici 2030.

La CRA établit des directives standard en matière de cybersécurité pour les producteurs, les créateurs et les distributeurs de biens ayant des composants numériques, englobant à la fois le matériel et les logiciels. Ces exigences couvrent la capacité de mise à niveau, le respect de procédures méticuleuses de développement de logiciels et l'évaluation des problèmes de cybersécurité. Tout fabricant qui adhère aux meilleures pratiques du secteur en matière de cybersécurité et de développement du cycle de vie des logiciels et du matériel doit répondre à ces exigences. Le degré de conformité à ces normes varie en fonction du type de produit. Cependant, il peut être soit auto-évalué, soit certifié par une tierce partie, soit impliqué en utilisant les normes de l'UE.

 

Détails des objectifs de la loi sur la cyber-résilience

La Commission identifie quatre objectifs distincts pour la loi sur la cyber-résilience afin d'atténuer les vulnérabilités et de contrer la hausse des coûts de la cybersécurité :

  • Veiller à ce que les producteurs renforcent la sécurité des articles couverts pendant tout leur cycle de vie.
  • Fournir un cadre unifié et complet pour la conformité de la protection des données EU
  • Rendre les procédures de cybersécurité, les caractéristiques des produits et les informations du fabricant plus transparentes.
  • Fournir des produits sûrs et prêts à l'emploi aux clients et aux entreprises.

Selon la Commission, les fabricants doivent effectuer des tests de routine pour trouver les faiblesses de leurs produits afin d'éviter de lourdes sanctions. De plus, à moins que le logiciel-service ne soit un composant de solutions d'analyse de données à distance vitales pour un produit doté de fonctionnalités numériques, la loi sur la cyber-résilience ne s'applique pas. Seuls les logiciels gratuits et open-source créés ou fournis dans le cadre d'une activité commerciale devraient être soumis à la Loi sur la cyber-résilience.

Dans les considérants de la loi, l'activité commerciale est définie comme le fait de faire payer un bien ou un service d'assistance à la clientèle, d'offrir une plateforme logicielle où le créateur fait payer des services supplémentaires, ou d'exploiter les informations personnelles d'une personne à des fins qui n'augmentent pas la sécurité, l'interopérabilité ou la compatibilité.

 

Application de la loi et sanctions en cas de non-conformité

La CRA sera sous le contrôle général de l'Agence de l'Union européenne pour la cybersécurité (ENISA). Elle recueillera auprès des fabricants des informations sur les vulnérabilités activement exploitées et préparera tous les deux ans des rapports techniques sur les nouvelles évolutions des menaces liées à la cybersécurité des produits.

 

La CRA sera mise en œuvre dans tout le pays par des "autorités de surveillance du marché". Ces organisations, qui peuvent être nouvellement créées ou préexistantes comme les autorités de protection des données, seront choisies par les gouvernements nationaux. Les autorités chargées de la surveillance du marché auront le pouvoir d'ordonner le retrait ou le rappel d'un produit du marché et d'infliger des amendes allant jusqu'à 14,8 millions de francs suisses ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Les États membres peuvent adopter des sanctions supplémentaires, à condition qu'elles soient efficaces, raisonnables et dissuasives.

 

 

Source :

https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

 
1
2
3
4
1
2
3
4