Le CESE a adopté un avis sur le règlement relatif aux exigences horizontales en matière de cybersécurité
19 déc. 2022
Le CESE a adopté un avis sur la proposition de règlement relatives aux exigences horizontales en matière de cybersécurité
Le Conseil économique et social a adopté un avis le 16 décembre 2022, sur la proposition de règlement relatif aux exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques.
Un cadre pour les infrastructures numériques
Ce projet de règlement vient compléter notamment la loi française liée au Cyberscore par exemple ou la loi européenne sur la cybersécurité de 2019 qui est entrée en vigueur visant le renforcement de la sécurité des produits TIC, des services TIC et des processus TIC en introduisant un cadre européen volontaire de certification de la cybersécurité.
Le futur règlement complète plusieurs textes législatifs horizontaux concernant différents aspects de la cybersécurité : produits, services, gestion de crise et infractions.
Il s'articule avec la directive NIS2 concernant les opérateurs d'importance essentielle, qui relève le niveau en matière de cybersécurité des services TIC.
Il s'ajoute également à la proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle.
Tous les opérateurs d'éléments numériques sont concernés
Ce texte couvre tous les produits comportant des éléments numériques : «tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels devant être mis sur le marché séparément» ... «dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte de données logiques ou physiques à un dispositif ou à un réseau».
Ainsi, toutes les entreprises fournissant des produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés, par exemple via des prises de réseau, des tuyaux, des fichiers, des interfaces de programmation d’applications et tout autre type d’interface logicielle sont concernés.
Ne sont pas concernés, les logiciels en tant que service, des dispositifs médicaux, des dispositifs médicaux de diagnostic in vitro, des véhicules à moteur, des produits utilisés exclusivement à des fins de sécurité nationale ou militaires ou conçus spécifiquement pour traiter des informations classifiées qui sont régis par d'autres textes.
Une responsabilité de maintien face aux cyberattaques
Le futur règlement prévoit l’obligation d’«établir, mettre en œuvre, documenter et maintenir un système de gestion des risques».
Le texte concerne tous les éléments numérique et prévoit :
- des règles pour la mise sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits ;
- des exigences essentielles pour la conception, le développement et la production de produits comportant des éléments numériques, et des obligations pour les opérateurs économiques en ce qui concerne la cybersécurité de ces produits ;
- des exigences essentielles pour les processus de traitement des vulnérabilités mis en place par les fabricants afin de garantir la cybersécurité des produits comportant des éléments numériques tout au long de leur cycle de vie, et des obligations pour les opérateurs économiques en ce qui concerne ces processus ;
- des règles relatives à la surveillance du marché et à l’application des règles complémentaires de renforcement de la résilience.
Ainsi, toutes structures liées à la cybersécurité et fabricants devront ainsi tenir compte de la cybersécurité dans la conception et le développement des produits comportant des éléments numériques.
La proposition met en place des règles communes de cybersécurité pour les fabricants et les développeurs de produits, couvrant à la fois le matériel et les logiciels.
Les sanctions pour les opérateurs pourraient aller jusqu’à 15 millions d’euros ou jusqu’à 2,5 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Le non-respect des autres obligations prévues pourrait aller jusqu’à 10 millions d’euros ou jusqu’à 2 % des recettes mondiales, le montant le plus élevé étant retenu.
La fourniture d'informations incorrectes, incomplètes ou trompeuses pourrait atteindre 5 millions d’euros ou 1 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu.
Les produits numériques, logiciels ou matériels mal sécurisés engendrent un coût annuel mondial de la cybercriminalité estimé à 5 500 milliards d’EUR.
Le texte vise ainsi à assurer une sécurité tout au long de la vie de l'utilisation des produits mais aussi à informer les utilisateurs avec des informations claires et compréhensibles.
Patrice Remeur pour Prorisk cyber