Le 15 septembre 2022, la Commission européenne a proposé un nouveau projet de loi baptisé « Cyber Resilience Act » ayant comme objectif d’établir les règles de la cybersécurité pour garantir la sécurité des produits comportant des éléments numériques (du matériel aux logiciels).
Il s’agit de la première législation en matière de cybersécurité à l’échelle européenne. Ces réglementations, à destination des fabricants et des développeurs, garantiront que les produits numériques vendus sont sûrs et encourageront la transparence sur les normes de cybersécurité.
Selon Thierry Breton, commissaire européen chargé du marché intérieur, « Il est important, lorsque vous achetez un produit, que celui-ci ne présente pas de vulnérabilités connues. Ce n’est pas le cas aujourd’hui ».
Les autres mesures proposées par les textes définiront également :
→ des exigences essentielles relatives à la conception, au développement et à la production des produits comportant des éléments numériques,
→ des exigences dans les processus de gestion de la vulnérabilité et le signalement des vulnérabilités activement exploitées et des incidents,
→ des règles relatives à la surveillance du marché et au contrôle de l’application des règles.
Les textes obligent les fabricants à livrer des correctifs et mises à jour de sécurité pour toute la durée de vie ou pour 5 ans après la mise sur le marché de leurs produits. Les sanctions appliquées aux entreprises qui ne respectent pas les normes peuvent aller jusqu’à 15 millions d’euros, ou 2,5% du chiffre d’affaires mondial.
Ces règles profiteront alors aux consommateurs qui se verront plus protégés, et aux entreprises qui amélioreront leur image et renforceront la confiance de leurs clients. Le département de la cybersécurité au sein des entreprises prendra une place importante et de nouveaux postes seront créés.
