Cyberrésilience : les compromis (provisoires) du trilogue européen

Les négociateurs de l’UE sont parvenus à un « accord politique provisoire » au sujet du règlement sur la cyberrésilience (Cyber Resilience Act), « aplanissant leurs divergences sur les dernières questions en suspens […] après d’intenses débats ».

« Le Parlement a protégé les chaînes d’approvisionnement, en s’assurant que les produits clés tels que les routeurs et les antivirus soient identifiés comme une priorité pour la cybersécurité », a expliqué à Euractiv l’eurodéputé Nicola Danti, Vice-Président du groupe Renew Europe (qui comprend, en France, les partis Renaissance, Mouvement démocrate, le Parti radical et Horizons, NDLR).

Les dispositions finales du texte ont en effet été convenues lors d’une réunion interinstitutionnelle (« trilogue ») entre la Commission européenne, le Parlement et le Conseil.

Les fabricants d’appareils connectés « ne pourront plus lancer de produits sur le marché s’ils ont connaissance de failles de sécurité importantes » susceptibles d'être exploitées par des pirates.

Ils devront a contrario « gérer ces points d’entrée potentiels dès qu’ils en auront connaissance » et ce, « tout au long de la période de maintien en conditions opérationnelles », précise Euractiv.

De plus, lorsque les fabricants auront connaissance d’un incident ou d’une faille de sécurité « activement exploitée », ils devront la signaler et informer les autorités compétentes des « mesures prises pour l’atténuer ».

• Le Conseil de l’UE arrête sa position sur la proposition de directive NIS 2
• Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord
• Cyber-résilience : une lettre ouverte s'inquiète de l'obligation de divulgation des vulnérabilités
• Cyber Resilience Act : une commission du Parlement européen exempte les logiciels libres non commerciaux

Une plateforme de notification unique

Le Conseil des ministres de l’UE a transféré cette tâche, « point d’achoppement au cours des négociations », de l’Agence européenne pour la cybersécurité (ENISA) aux centres nationaux de réponses aux incidents de sécurité informatique (CSIRT), « qui ont une tâche similaire en vertu de la directive révisée sur les réseaux et les systèmes d’information » (Networks and Information Systems Directive, NIS2).

Le Parlement européen a de son côté insisté pour que l’ENISA « soit tenue au courant » afin, souligne Euractiv, d’éviter de laisser aux autorités nationales « une trop grande marge de manœuvre et de conserver pour elles-mêmes ces informations hautement sensibles ».

Un compromis a été trouvé : la notification d’une faille de sécurité devra être simultanément envoyée par les fabricants « au CSIRT compétent et à l’ENISA via une plateforme de notification unique ». Les États membres ont cela dit défendu l’idée qu’ils devraient pouvoir « restreindre les informations envoyées à l’ENISA pour des raisons de cybersécurité ».

D'intenses discussions ont abouti à un compromis

Les conditions de ces restrictions, qui « ont fait l’objet d’intenses discussions », ont abouti à un compromis, relève Euractiv. Les CSIRT pourraient ainsi « limiter la notification lorsque le produit concerné est essentiellement présent sur son marché national et ne présente pas de risque pour les autres États membres de l’UE ».

En outre, les autorités nationales « ne seront pas tenues » de divulguer les informations qu’elles « jugent nécessaires à la protection des intérêts essentiels de sécurité ». Une « troisième condition s’applique si le fabricant lui-même décèle un risque imminent en cas de diffusion ultérieure et l’indique dans son signalement », relève Euractiv, sans plus de précisions.

Les eurodéputés ont en outre « obtenu que l’ENISA reçoive toujours certaines informations pour surveiller tout risque systémique sur le marché unique ». L’agence européenne sera en effet « informée du nom du fabricant et du produit concerné, ainsi que de quelques informations générales portant sur son utilisation ».

Le réinvestissement des sanctions n'a pas été tranché

Comme l'avait déjà relevé Euractiv, les organisations à but non lucratif qui commercialisent des logiciels libres sur le marché mais qui « réinvestissent tous les revenus dans des activités à but non lucratif » ont également été exclues du champ d’application du règlement.

Les États membres ont de leur côté obtenu l’exclusion du champ d’application du règlement « tout produit développé ou modifié exclusivement à des fins de sécurité nationale ou de défense ».

La demande du Parlement européen exigeant que les sanctions soient « réinvesties dans des activités de renforcement des capacités en matière de cybersécurité » n’a « pas été incluse dans le corps du texte de loi », conclut Euractiv, « mais une référence dans le chapeau du règlement a été insérée ».