Sous réserve de quelques modifications, le Conseil européen a approuvé la proposition législative de la Commission. La loi sur la cyber-résilience (« Cyber Resilience Act ») introduira des exigences de sécurité plus strictes pour les produits numériques.
La future loi sur la cyber-résilience a franchi une étape de plus sur le chemin de l’Union européenne. Le Conseil européen s’est rassemblé hier pour examiner la proposition législative soumise par la Commission en septembre 2022. Le Conseil a donné un avis positif à l’issue de cette session, bien qu’il ait proposé quelques révisions.
En adoptant la loi sur la cyber-résilience, l’Europe cherche à renforcer les normes de sécurité imposées aux fournisseurs de produits numériques. Outre l’intégration d’une sécurité adéquate dans les produits, les fabricants doivent aussi informer les utilisateurs sur la sécurité d’utilisation et les menaces potentielles. Les règles concernent à la fois le matériel et les logiciels.
Révisions
Le Conseil européen approuve l’idée de responsabiliser les fabricants en matière de sécurité. Toutefois, le Conseil aimerait que certains points soient modifiés. Par exemple, le débat sur la durée pendant laquelle les fabricants doivent fournir des mises à jour n’est pas clos. La Commission avait proposé un délai de cinq ans, mais le Conseil souhaite imposer un délai moins précis et suggère un soutien qui peut être « raisonnablement attendu ».
Le Conseil souhaite également que les petites entreprises bénéficient d’un meilleur soutien pour se conformer aux règles et que les vulnérabilités soient traitées par les autorités nationales chargées de la cybersécurité plutôt qu’au niveau européen.
Comment procéder
Le Conseil européen passe maintenant la parole au Parlement. Les représentants des États membres vont négocier le texte juridique final avec le Conseil. Si un accord est trouvé, la loi pourra enfin entrer en vigueur. Le calendrier n’est pas précisé, mais on estime qu’il faudra plusieurs années pour y parvenir.
Open source
La loi sur la cyber-résilience est controversée. La communauté des logiciels libres (« open source »), en particulier, exprime des réserves. Elle craint que la distinction entre ce qui est open source et ce qui est commercial ne devienne trop étroite, ce qui pourrait empêcher les développeurs de lancer des projets. Au KubeCon 2023, nous avons discuté de cette question avec le responsable de la branche européenne de la Linux Foundation.