La proposition de règlement européen sur la cyber-résilience (également appelé « Cyber Resilience Act »), initialement présentée par la Commission européenne le 15 septembre 2022, a récemment fait l’objet d’une modification dans le cadre du texte de compromis. Nos avocats en droit de la cybersécurité vous offrent leur expertise.
Le Cyber Resilience Act, texte visant à renforcer la cybersécurité en instaurant un cadre réglementaire commun aux « produits comportant des éléments numériques », comportait comme mesure phase la distinction entre différents types de produits :
- Les produits comportant des éléments numériques ;
- Les produits critiques et hautement critiques comportant des éléments numériques.
Le texte prévoit que les fabricants de tous ces produits procèdent à une « évaluation de la conformité » préalable afin de vérifier que le produit respecte la réglementation.
Cependant, tandis que les fabricants peuvent utiliser une simple « procédure de contrôle interne » pour (auto)évaluer la conformité des produits « classiques », les produits critiques et hautement critiques doivent nécessairement être évalués par des tiers selon une procédure plus contraignante.
Récemment, le texte de compromis est venu affiner les qualifications. En l’état actuel des discussions les produits :
– Critiques sont ceux qui :
- remplissent une fonction de sécurité essentielle (authentification, prévention des intrusions, protection des réseaux …),
- jouent un rôle central dans la gestion d’un système plus large (gestion du réseau, contrôle de la configuration…), ou ;
- ont le potentiel de nuire à d’autres produits ;
– Hautement critiques sont ceux qui :
- remplissent une fonction de sécurité essentielle et occupent un rôle central (systèmes de gestion des identités, outils d’identification, VPN, hyperviseurs, certains microprocesseurs ou lecteurs de carte à puce…) ou,
- sont employés dans un environnement sensible et jouent un rôle central dans la gestion du système (circuits intégrés spécifiques à une application, réseaux de portes programmables, compteurs connectés…)
Ces critères, basés sur la finalité du produit, permettraient, dans un second temps, d’annexer une liste des produits critiques et hautement critiques.
Affaire à suivre …
