Par Haas Avocats
La Commission européenne vient de saluer la conclusion d'un accord politique entre le Parlement européen et le Conseil sur le très attendu Cyber Resilience Act (CRA).
Le CRA une proposition de règlement visant à renforcer la sécurité des matériels et des logiciels commercialisés au sein de l'Union européenne. Annoncée en septembre 2022, cette initiative répond à la croissance des cybermenaces et à la nécessité de garantir la sécurité "by design" des produits numériques tout au long de leur cycle de vie.
L’ensemble des fabricants, importateurs et distributeurs de produits numériques sur le marché de l’Union Européenne doivent d’ores et déjà anticiper cette future règlementation qui vient compléter les dispositions de l’IA Act destiné à encadrer les dispositifs d’intelligence artificielle. Sécurité, transparence sont une nouvelle fois au cœur d’un dispositif majeur visant l’ensemble des produits numériques.
Accord politique crucial entre le Parlement européen et le Conseil
En ce début décembre, un accord politique majeur a été conclu entre le Parlement européen et le Conseil sur le projet de loi relatif à la cyber résilience. L'exécutif bruxellois a accueilli cette nouvelle avec enthousiasme, soulignant que cet accord marque une avancée significative pour renforcer la sécurité des produits numériques au sein du marché unique européen.
Une réponse aux cybermenaces croissantes
Le Cyber Resilience Act vise à faire face aux cybermenaces de plus en plus préoccupantes qui pèsent sur les fournisseurs de matériels et de logiciels. Contrairement à la directive NIS2, ce règlement se concentre spécifiquement sur les produits numériques vendus sur le marché européen, imposant des exigences strictes tout au long de leur cycle de vie.
Marquage CE et obligations pour les fabricants
Le cadre réglementaire propose l'introduction d'un marquage CE sur les logiciels et le matériel IT, indiquant ainsi leur conformité aux exigences du règlement et leur admissibilité à la vente en Europe. De plus, les fabricants seront légalement tenus de fournir des mises à jour de sécurité en temps utile aux consommateurs pendant plusieurs années après l'achat, alignant cette période sur la durée d'utilisation prévue des produits.
Transparence et responsabilité renforcées
La Commission européenne souligne que le Cyber Resilience Act incitera les fabricants à être plus transparents et responsables en ce qui concerne la sécurité de leurs produits. Cela permettra aux utilisateurs de prendre des décisions mieux informées et plus sûres.
Calendrier de mise en œuvre
Bien que l'accord doive encore recevoir l'approbation formelle du Parlement européen et du Conseil, cette étape est attendue en 2024. Une fois adopté, le règlement entrera en vigueur le 20e jour suivant sa publication au Journal officiel. Les fabricants, importateurs et distributeurs auront ensuite trois ans pour se conformer aux exigences du Cyber Resilience Act. La date limite pour signaler des incidents et des vulnérabilités surviendra dans les 21 mois suivant l'adoption de la loi.
Le Cyber Resilience Act représente une avancée cruciale pour renforcer la sécurité des produits numériques en Europe, en réponse aux défis croissants posés par les cybermenaces. La transparence accrue et les obligations renforcées en matière de sécurité promettent d'améliorer la confiance des consommateurs dans les produits numériques commercialisés dans l'Union européenne.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans la mise en conformité de leurs produits et services en France et à l’international. Pour nous contacter, cliquez ici.