La Commission européenne, qui partage le pouvoir exécutif de l’Union européenne avec les Etats membres, a dévoilé sa proposition de règlement « relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques », qualifiée depuis plusieurs mois de « loi sur la cyber-résilience », ou « Cyber Resilience Act ». Ce règlement a pour objectif de « renforcer les règles en matière de cybersécurité « afin de garantir une plus grande sécurité des produits matériels et logiciels » explique la Commission.
Celle-ci note en particulier que « les produits matériels et logiciels font de plus en plus l’objet de cyberattaques réussies, entraînant un coût annuel de la cybercriminalité estimé à 5.5 milliards d’euros d’ici à 2021 ». Elle épingle le faible niveau de sécurité des produits : vulnérabilités généralisées, incohérence et insuffisance des mises à jour de sécurité… Mais elle pointe aussi la difficulté pour les utilisateurs eux-mêmes d’accéder et de comprendre les caractéristiques de sécurité et les utilisations sûres des produits en question.
A lire aussi : Une rentrée placée sous le signe de la cybersécurité
Quatre options envisagées, la plus exigeante retenue
La proposition de règlement est sensée pallier le fait que de très nombreux produits numériques ne sont couverts par aucune législation européenne sur la partie cyber. « En particulier, le cadre juridique actuel de l’UE ne traite pas de la cybersécurité des logiciels non intégrés, même si les attaques de cybersécurité ciblent de plus en plus les vulnérabilités de ces produits, ce qui entraîne des coûts sociétaux et économiques importants. »
Ainsi, la note d’analyse d’impact fournie par la Commission estime que « l’initiative pourrait entraîner une réduction des coûts d’incidents affectant les entreprises d’environ 180 à 290 milliards d’euros par an » pour l’ensemble de l’UE.
Quatre options avaient été envisagées pour faire augmenter la cybersécurité au sein de l’Union : l’appel à des mesures volontaires par des incitations « douces » ; une intervention réglementaire « ad hoc » et spécifique à la cybersécurité de produits précis ; une approche mixte de ces deux premières options ; ou bien, finalement, une intervention réglementaire « horizontale » introduisant des exigences de cybersécurité pour une large gamme de produits incluant des éléments numériques, y compris des logiciels non embarqués. C’est cette dernière option, la plus large et, sans doute, la plus contraignante pour le marché, qui a donc été retenue et proposée.
29 milliards de coûts directs de conformité potentiels
En effet, la consultation publique menée par l’autorité européenne a montré que les associations de consommateurs, d’utilisateurs, les autorités de surveillances du marché, les organisations de certification et de conformité, accordaient à ce choix la plus haute note. Les représentants des fabricants de produits numériques étant les seuls à lui donner une note inférieur à 4/5 (3,85 en l’occurrence), sans aucun doute du fait des coûts d’adaptation qu’entrainera un tel texte réglementaire. La note d’impact estime ainsi que les coûts directs en matière de conformité, d’évaluation de conformité, d’obligations de documentation, de rapport… pourrait atteindre environ 29 milliards d’euros pour l’ensemble des acteurs… tout en soulignant que le marché concerné est estimé à 1 485 milliards d’euros de chiffre d’affaires.
La Commission européenne résume les objectifs spécifiques définis par sa proposition ainsi :
- veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques depuis la phase de conception et de développement et tout au long du cycle de vie;
- garantir un cadre cohérent en matière de cybersécurité, en facilitant le respect des règles par les producteurs de matériel et de logiciels;
- améliorer la transparence des propriétés de sécurité des produits comportant des éléments numériques, et
- permettre aux entreprises et aux consommateurs d’utiliser des produits comportant des éléments numériques en toute sécurité.
Pour les produits les plus critiques, les fabricants devront se rattacher à des normes existantes ou en faire vérifier la conformité par des organismes tiers choisis par les Etats membres. Une exigence de signalement sous 24h des vulnérabilités à l’Agence de l’Union européenne pour la cybersécurité (Enisa) serait également demandée. Le texte prévoit des amendes jusqu’à 15 millions d’euros ou d’un montant de 2,5% du chiffre d’affaires et, bien entendu, une interdiction potentielle de commercialisation.
A noter que cette proposition est la première étape d’un long chemin législatif, qui passera par le parlement européen et le Conseil de l’Union européenne, avec à la clé de nombreuses négociations sur les détails du texte. En cas de mise en œuvre, les entreprises auraient ensuite deux ans pour s’adapter.