VII. ARTICLE 32 - DISPOSITIONS SPÉCIFIQUES D'ADAPTATION AU RÈGLEMENT (UE) 2024/2847 RELATIF À LA CYBER-RÉSILIENCE
L'article 32 confie à l'Agence nationale des fréquences (ANFR) le rôle d'autorité de surveillance de marché et intègre à la loi française les dispositions relatives aux mesures et sanctions prévues par le règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience) à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique.
Ainsi, il abroge l'article L. 2321-4-1 du code de la défense, à compter du 11 septembre 2026, dans la mesure où le règlement 2024/2847 précité contient des dispositions analogues et s'appliquera pleinement en droit français à cette date.
Il modifie également l'article L. 43 du CPCE sur l'agence nationale des fréquences pour, d'une part, y insérer une nouvelle fonction, selon laquelle elle assure le contrôle du respect des dispositions du règlement (UE) 2024/2847 précité et que, à ce titre, elle peut échanger, pour l'accomplissement de sa mission, avec les services étatiques compétents, tout document ou toute information et, d'autre part, prévoir une procédure de mise en demeure et de sanctions dans les cas où l'agence nationale des fréquences constaterait un manquement aux exigences prévues par le règlement 2024/2847.
En outre, l'article 32 rend applicable le règlement à la Polynésie française, aux îles Wallis-et-Futuna, aux Terres australes et antarctiques françaises et à la Nouvelle-Calédonie.
Enfin, cet article corrige plusieurs renvois et références.
A. CADRAGE GÉNÉRAL
1. Historique des négociations
Le règlement sur la cyberrésilience (CRA) a pour objectif de protéger les consommateurs en augmentant la cybersécurité des produits, à savoir des produits logiciels ou matériels comportant des éléments numériques. Pour mettre en oeuvre un niveau adéquat de cybersécurité dans les produits et veiller aux mises à jour de sécurité en temps opportun, le CRA introduit des exigences obligatoires en matière de cybersécurité pour les fabricants, qui couvrent la planification, la conception, le développement et la maintenance de ces produits, devant être respectées à chaque étape de la chaîne de valeur. En outre, le règlement fait peser sur les fabricants la gestion des vulnérabilités des produits tout au long de leur cycle de vie.
Publié le 15 septembre 2022 par la Commission européenne, le projet de règlement s'appuyait sur le constat que les produits matériels et logiciels font de plus en plus l'objet de cyberattaques réussies. La Commission européenne soulignait, d'une part, le faible niveau de cybersécurité, reflété par des vulnérabilités généralisées et la fourniture insuffisante et incohérente de mises à jour de sécurité pour y remédier, et, d'autre part, une compréhension et un accès insuffisants aux informations par les utilisateurs, ce qui les empêche de choisir des produits présentant des propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.
Pour y remédier, la proposition de règlement (i) établit des règles relatives à la mise sur le marché de produits comportant des éléments numériques pour garantir la cybersécurité de ces produits, (ii) pose des exigences pour la conception, le développement et la production de produits comportant des éléments numériques, ainsi que des obligations en matière de cybersécurité, (iii) crée des exigences sur le processus de gestion des vulnérabilités mis en place par les fabricants pour garantir que les produits comportant des éléments numériques sont conformes aux exigences de cybersécurité tout au long de leur cycle de vie, et (iv) impose des règles relatives à la surveillance du marché et au contrôle de l'application des règles.
Étudiée en commission de l'industrie, de la recherche et de l'énergie (ITRE) du Parlement européen, cette dernière a recommandé que la position du Parlement européen modifie la proposition pour :
· indiquer que les fabricants doivent veiller à ce que les produits comportant des éléments numériques fassent la distinction entre les mises à jour de sécurité et les mises à jour de fonctionnalité. Les mises à jour de sécurité, destinées à réduire le niveau de risque ou à remédier à des vulnérabilités potentielles, devraient être installées automatiquement ;
· renforcer les compétences professionnelles et la formation dans le domaine de la cybersécurité ;
· demander aux fabricants de désigner un point de contact unique pour la sécurité des produits, permettant un contact direct et rapide avec les utilisateurs ;
· prévoir des procédures d'évaluation de la conformité des produits comportant des éléments numériques harmonisées ;
· conclure des accords de reconnaissance mutuelle avec des pays tiers qui se trouvent à un niveau comparable de développement technique et qui ont une approche compatible en matière d'évaluation de la conformité, ces accords devant garantir le même niveau de protection que celui prévu par le présent règlement ;
· prévoir que la Commission, lorsqu'elle a des raisons suffisantes de considérer qu'un produit comportant des éléments numériques présente un risque significatif pour la cybersécurité, doit en informer les autorités de surveillance du marché concernées et adresser des recommandations ciblées aux opérateurs économiques afin de garantir la mise en place de mesures correctives ;
· prévoir que les recettes générées par le paiement des sanctions soient utilisées pour renforcer le niveau de cybersécurité dans l'Union ;
· soumettre annuellement une évaluation de l'ENISA.
Le Parlement européen a largement soutenu (517 voix pour, 12 contre et 78 abstentions) l'adoption du règlement afin de renforcer le niveau de cybersécurité des produits numériques présents sur le marché unique, de renforcer la compétitivité des entreprises européennes et la confiance des consommateurs dans leurs produits numériques du quotidien.
Globalement, la position du Parlement européen modifie la proposition en prévoyant :
· que les produits de consommation classés comme des produits importants comportant des éléments numériques devront faire l'objet d'une procédure plus stricte d'évaluation de la conformité par un organisme notifié. Sont concernés les produits domestiques intelligents comportant des fonctionnalités de sécurité, tels que i) les systèmes de gestion des identités et logiciels et dispositifs de gestion des accès privilégiés, dont lecteurs d'authentification et de contrôle d'accès et lecteurs biométriques; ii) les assistants virtuels polyvalents pour maison intelligente; iii) les produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment serrures, caméras de sécurité, systèmes de surveillance pour bébé et systèmes d'alarme, iv) les jouets connectés ou v) les dispositifs portables personnels de santé ;
· que la Commission pourra adopter des actes délégués afin de déterminer quels produits comportant des éléments numériques doivent obtenir un certificat de cybersécurité européen atteignant le niveau « substantiel » dans le cadre d'un schéma européen de certification de cybersécurité, afin de démontrer leur conformité aux exigences essentielles prévues par le règlement ;
· que les parties intéressées devront être consultées par la Commission à l'occasion de l'élaboration des mesures de mise en oeuvre du règlement. En outre, les États membres devront mettre en place des mesures et des stratégies visant à développer des compétences en matière de cybersécurité ;
· que les fabricants devront procéder à une évaluation, documentée et actualisée, des risques de cybersécurité associés à un produit comportant des éléments numériques. Si une vulnérabilité est identifiée, le fabricant devra la signaler et y remédier. En outre, il devra désigner un point de contact unique pour permettre aux utilisateurs de communiquer directement et rapidement, notamment pour faciliter le signalement des vulnérabilités du produit ;
· que les fabricants sont obligés de notifier toute vulnérabilité contenue dans le produit au centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur national, d'une part, et à l'ENISA, d'autre part.
Spécifiquement, concernant les dispositions couvertes par l'article 32, la position du Parlement européen (i) implique l'ENISA lorsque des vulnérabilités et incidents sont découverts, afin de constituer une plateforme de données des vulnérabilités, (ii) précise la liste des produits et leur catégorisation et veille à ce que des produits tels que les logiciels de gestion d'identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées soient couverts par le règlement et (iii) impose une durée minimale de support et de mises à jour de sécurité des produits numériques pour les fabricants.
Le 30 novembre 2023, un trilogue conclusif a permis un positionnement sur les derniers points ouverts sur (i) la notification des vulnérabilités, (ii) l'utilisation des recettes des sanctions, (iii) le recours à des logiciels ouverts, (iv) l'exclusion des produits modifiés pour la sécurité nationale et la défense.
Ainsi, le texte définitif :
· s'applique à tous les produits qui sont directement ou indirectement connectés à un autre dispositif ou à un réseau, parmi lesquels les systèmes de gestion des identités et logiciels et dispositifs de gestion des accès privilégiés, les gestionnaires de mots de passe, les logiciels de lutte contre les logiciels malveillants, les routeurs ou modems destinés à la connexion à l'internet, les produits domestiques intelligents tels que les caméras de sécurité ou systèmes d'alarme, les jouets connectés ou les dispositifs portables personnels de santé ;
· prévoit la consultation des parties intéressées, telles que les autorités des États membres concernées, les entreprises du secteur privé, les associations de consommateurs ou les organismes et organes compétents de l'Union ;
· pose des exigences pour les fabricants pour ce qui concerne la conception et le développement de ces produits, lesquels devront être conformes à ce qui est prévu par le règlement. En particulier, les fabricants devront procéder à une évaluation des risques de cybersécurité associés à un produit et tenir compte de cette évaluation lors des différentes phases de construction du produit, afin de réduire au minimum les risques de cybersécurité ;
· pose les obligations incombant aux fabricants pour ce qui concerne les vulnérabilités identifiées. Ils sont tenus de les documenter, de veiller à ce que chaque mise à jour de sécurité mise à la disposition des utilisateurs au cours de la période d'assistance, reste disponible pendant au moins 10 ans après la mise sur le marché du produit, de désigner un point de contact unique pour permettre aux utilisateurs de signaler facilement des vulnérabilités du produit et enfin de veiller à ce que les produits soient accompagnés des informations et des instructions destinées à l'utilisateur ;
· définit les obligations incombant aux fabricants s'agissant de la notification des vulnérabilités exploitées contenues. Le signalement devra être effectué simultanément au centre de réponse aux incidents de sécurité informatique (CSIRT) désigné comme coordinateur national et à l'ENISA ;
· introduit un marquage « CE » pour les produits ou logiciels satisfaisant aux exigences énoncées dans le règlement, qui devra être apposé de manière visible, lisible et indélébile sur le produit.
2. Position défendue par la France
Dès le début, la position française a été favorable au texte, puisque l'Agence nationale de la sécurité des systèmes d'information (ANSSI) alertait déjà sur le risque d'exploitation des vulnérabilités présentes dans un certain nombre de produits numériques. Elle a soutenu autant l'initiative que l'ambition du texte.
Tout au long des négociations, la France a soutenu le renforcement de la cybersécurité des produits, en conformité avec des recommandations de l'Organisation de Coopération et de Développement Économiques (OCDE) sur la sécurité numérique des produits.
Les autorités françaises ont en particulier veillé :
· au périmètre d'application du règlement ainsi qu'à la préservation des capacités des États membres à imposer des exigences supplémentaires au niveau national, telle que la certification, à certains produits sensibles ;
· à l'exigence de prise en compte systématique de la cybersécurité dès la conception des produits (« security by design »), ainsi que la mise en vente sur le marché européen de produits sécurisés par défaut, sans action nécessaire de leur utilisateur (« security by default ») ;
· à l'articulation du CRA avec le cadre européen de certification de cybersécurité, défini dans le Règlement (UE) 2019/881 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications (règlement sur la cybersécurité), et qui vise à harmoniser à l'échelle européenne les méthodes d'évaluation et les différents niveaux d'assurance de la certification ;
· à la procédure de notification des vulnérabilités et incidents par les fabricants, afin de conserver une cohérence avec les dispositions du droit français, en son article L. 2321-4-1 du code de la défense ;
· aux modalités de désignation de l'autorité de surveillance du marché des produits comportant des éléments numériques.
À l'issue des discussions, les autorités françaises se sont montrées satisfaites du texte adopté, d'autant plus que la position de la France a été suivie sur plusieurs points. Figurent dans le texte définitif les positions suivantes, portées par la France :
· la capacité des États membres à imposer leurs propres exigences et procédures d'évaluation de conformité ;
· la possibilité d'imposer un recours obligatoire à la certification au titre du Cybersecurity Act (ou CSA) pour certains produits considérés comme critiques par nature, cette certification demeurant facultative et volontaire pour les autres produits ;
· à défaut d'un alignement complet des dispositions du règlement avec celles du code de la défense concernant le périmètre des vulnérabilités et les enjeux d'injonction de publication, le texte européen impose, d'une part, la notification des vulnérabilités exploitées et incidents graves pour l'ensemble des produits visés et, d'autre part, des exigences avancées en matière de gestion des autres vulnérabilités par les fabricants sous le contrôle de l'autorité de surveillance de marché. Notons que la France souhaitait élargir le périmètre des vulnérabilités couvertes, pour intégrer les vulnérabilités significatives, exploitées ou non, mais que sa proposition s'est heurtée à l'opposition des autres États membres ;
· le maintien du rôle des CSIRT nationaux en tant que coordinateurs des notifications de vulnérabilités. Néanmoins, une notification simultanée est envoyée à l'ENISA à titre informatif.