Exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques

Proposition de règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques (COM (2022) 454)

Cette proposition de règlement vise à introduire des règles communes de cybersécurité pour les produits comportant des éléments numériques et connectés. La cybercriminalité engendre en effet des coûts économiques et sociétaux importants, auxquels l'Europe est particulièrement vulnérable, du fait de la multiplication des produits et logiciels, dans un contexte de numérisation croissante.

Or, la plupart des produits matériels et logiciels ne sont actuellement pas couverts par la législation de l'Union européenne. La proposition de règlement établit donc des règles horizontales de cybersécurité pour tous les produits comportant des éléments numériques et connectés, dont l'utilisation prévue (ou raisonnablement prévisible) implique une connexion, directe ou indirecte, à un appareil ou réseaux, y compris les logiciels non-intégrés.

De tels produits et logiciels ne pourraient être mis sur le marché dans l'Union qu'à condition de satisfaire à des exigences essentielles en matière de :

- prévision des vulnérabilités (existence d'une configuration de sécurité par défaut, limitation des surfaces d'attaque, mesures visant à assurer la confidentialité et l'intégrité des données stockées, transmises ou traitées, et à minimiser le traitement des données personnelles, ...) ;

- gestion des vulnérabilités (recension et documentation des vulnérabilités, qui devraient être corrigées sans délai, notamment en fournissant des mises à jour de sécurité, tests de sécurités réguliers, tout au long du cycle de vie du produit, mise à disposition de mises à jour de sécurité pour l'ensemble des utilisateurs, divulgation rapide de toute information sur les vulnérabilités potentielles, avec des recommandations pour y remédier).

Alors que la conformité des produits à ces exigences pourrait, la plupart du temps, faire l'objet d'une auto-évaluation, de la part des fabricants, certains produits qualifiés de « critiques », au vu de leur fonctionnalité produit du point de vue de la cybersécurité, mais aussi de leur environnement d'utilisation (intelligences artificielles à haut risque, navigateurs, gestionnaires de mots de passe, systèmes d'exploitation, interfaces réseau, pare-feu, microcontrôleurs, ...), ne pourraient être déclarés conformes qu'après évaluation par un tiers, ou en cas d'utilisation de normes établies par un organisme de normalisation.

Les plus à risque, comme les systèmes d'exploitation, les microprocesseurs, les pare-feu industriels, les compteurs intelligents ou les cartes à puce, ainsi que les systèmes utilisés par des entités essentielles, au sens de la directive SRI 2, seraient obligatoirement soumis à une évaluation par un tiers.

Les fabricants seraient en outre tenus de corriger les vulnérabilités de leurs produits pendant au moins cinq ans à compter de la mise sur le marché, et de signaler toute découverte de faille de sécurité et de tout incident de sécurité à l'Agence de l'Union européenne pour la cybersécurité (ENISA).

En cas de non-conformité avec les exigences établies par le règlement, les sanctions encourues pourraient aller jusqu'à 2,5 % du chiffre d'affaires ou 15 millions d'euros.

Par nature, les matières numériques présentent une forte dimension transfrontière. En l'espèce, un nombre croissant d'incidents de cybersécurité ont des répercussions dans différents États membres de l'Union.

En outre, la fragmentation de règles nationales en matière de cybersécurité risquerait d'entraver le marché unique pour les produits comportant des éléments numériques^1(*). La Cour de justice de l'Union européenne (CJUE) a d'ailleurs reconnu que la mise en oeuvre d'exigences techniques hétérogènes pouvait constituer un motif valable pour déclencher l'utilisation de l'article 114 du Traité sur le fonctionnement de l'Union européenne (TFUE)^2(*), qui prévoit l'adoption de mesures destinées à assurer le bon fonctionnement du marché intérieur. Ce dernier constitue la base juridique de la présente proposition.

* ¹ L'Allemagne et la Finlande ont par exemple récemment pris des mesures concernant la sécurité de certains objets connectés.

* ² CJUE, arrêt du 2 mai 2006, Royaume-Uni c. Parlement européen et Conseil de l'Union européenne, affaire C-217/04.