Accueil L’UE adopte le Cyber Résilience Act pour sécuriser les objets…

L’UE adopte le Cyber Résilience Act pour sécuriser les objets connectés

19 décembre 2023 - 12:53

Le Parlement européen et le Conseil européen ont finalisé le 30 novembre 2023 un accord politique sur le Cyber Résilience Act, visant à renforcer la sécurité des objets connectés. Ce texte couvre un champ très large qui va des produits grand public aux objets de la smart city comme les compteurs intelligents, les hyperviseurs et caméras connectées. Il concerne aussi beaucoup d’éléments clés des systèmes d’information comme les antivirus, les pare-feux, les routeurs ou les gestionnaires de mots de passe. Les produits concernés seront cependant associés à différents niveaux de risque d’exigence. Les fabricants respectant les normes européennes pourront apposer le marquage CE et moins de 10% des produits « hautement critiques » seront soumis à des évaluations par des tiers. Le Cyber Résilience Act va imposer aux fabricants d’objets connectés de veiller à la sécurité de leurs produits et de fournir si nécessaire des mises à jour de sécurité et exige qu’ils traitent les failles de sécurité importantes tout au long du cycle de vie du produit et qu’ils signalent toute faille activement exploitée aux autorités compétentes. Si un fabricant d’objet connecté ne se conforme pas aux exigences européennes, les autorités nationales pourront interdire le produit et lui infliger une amende administrative. L’accord conclu est désormais soumis à l’approbation formelle du Parlement et du Conseil européen. Une fois adopté, le Cyber Résilience Act entrera en vigueur le 20e jour suivant sa publication au Journal officiel. Dès lors, les fabricants, importateurs et distributeurs de produits matériels et logiciels disposeront de 36 mois pour s’adapter aux nouvelles exigences. Ce texte s’inscrit dans la stratégie de l’Union européenne de cybersécurité de 2020 et complète la directive NIS 2. Cette dernière, en attente de transposition en droit français, porte sur les obligations cyber des entités essentielles et importantes. Son périmètre d’application aux collectivités n’est cependant toujours pas connu.

Source : Banque des Territoires