Avis du Comité économique et social européen sur la proposition de règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020

[COM(2022) 454 final — 2022/0272 (COD)]

(2023/C 100/15)

Rapporteur:	Maurizio MENSI
Corapporteur:	Marinel Dănuț MUREȘAN

Consultation	Parlement européen, 9.11.2022 Conseil de l’Union européenne, 28.10.2022
Base juridique	Article 114 du traité sur le fonctionnement de l’Union européenne
Compétence	Marché unique, production et consommation
Adoption en section	10.11.2022
Adoption en session plénière	14.12.2022
Session plénière no	574
Résultat du vote (pour/contre/abstentions)	177/0/0

1.   Conclusions et recommandations

1.1.

Le Comité économique et social européen (CESE) se félicite de la proposition de la Commission relative à une législation sur la cyberrésilience (Cyber Resilience Act — CRA), visant à établir des normes de cybersécurité plus élevées afin de créer un système fiable pour les opérateurs économiques et de garantir aux citoyens de l’Union européenne une utilisation sûre des produits sur le marché. Il s’agit en effet d’une initiative qui, faisant partie de la stratégie européenne pour les données, accroît la sécurité des données, y compris des données à caractère personnel, et les droits fondamentaux, soit autant d’exigences essentielles pour notre société numérique.

1.2.

Le CESE estime qu’il est essentiel de renforcer la réponse collective aux cyberattaques et de consolider le processus d’harmonisation en matière de cybersécurité au niveau national en ce qui concerne les règles et les outils opérationnels, afin d’éviter que des approches nationales différenciées ne créent des incertitudes et des obstacles juridiques.

1.3.

Le CESE accueille favorablement l’initiative de la Commission, qui non seulement contribuera à réduire les coûts considérables que les cyberattaques font peser sur les entreprises, mais permettra aux citoyens et consommateurs de bénéficier d’une meilleure protection de leurs droits fondamentaux tels que la vie privée. En particulier, la Commission montre qu’elle tient compte des besoins spécifiques des PME s’agissant des prestations fournies par les autorités de certification; le CESE relève toutefois qu’il y a lieu d’éclaircir les critères d’application.

1.4.

Le CESE juge important de souligner que, s’il est appréciable que la législation sur la cyberrésilience couvre pratiquement tous les produits numériques, sa mise en œuvre concrète pourrait soulever des problèmes, compte tenu de l’importante et complexe activité de vérification et de contrôle qu’elle suppose. Un renforcement des outils de suivi et de vérification est par conséquent nécessaire.

1.5.

Le CESE souligne la nécessité de clarifier avec précision le champ d’application matériel de la législation envisagée, notamment en ce qui concerne les produits comportant des éléments numériques et les logiciels.

1.6.

Le CESE note que les producteurs seront tenus de signaler, d’une part, les vulnérabilités des produits et, d’autre part, les éventuels incidents de sécurité, en informant l’Agence de l’Union européenne pour la cybersécurité (ENISA). En conséquence, il importe que cette agence soit dotée des ressources nécessaires pour accomplir promptement et efficacement les tâches importantes et délicates qui lui seront confiées.

1.7.

Le CESE suggère à la Commission, pour éviter toute incertitude d’interprétation, d’élaborer des lignes directrices spécifiques qui orientent les producteurs et les consommateurs quant aux règles et procédures concrètement applicables, étant donné qu’il apparaît que plusieurs produits relevant du champ d’application de la proposition sont également soumis à d’autres dispositions réglementaires en matière de cybersécurité. À cet égard, il importerait également que les PME et les MPME, en particulier, aient accès à un soutien spécialisé qualifié, capable de fournir des services professionnels spécifiques.

1.8.

Le CESE relève que l’on ne voit pas avec toute la clarté voulue quelle sera la relation entre les autorités de certification au sens de la législation sur la cyberrésilience et d’autres organismes habilités à certifier la cybersécurité en vertu d’autres dispositions normatives. Un problème identique de coordination opérationnelle risque de se poser entre les autorités de surveillance prévues dans la proposition à l’examen et celles déjà actives en vertu d’autres réglementations applicables aux mêmes produits.

1.9.

Le CESE relève que la proposition prévoit un volume considérable d’activités et de responsabilités à la charge des autorités de certification, lesquelles doivent avoir la garantie de pouvoir fonctionner correctement, afin d’éviter notamment que la législation sur la cyberrésilience ne se traduise par une augmentation de la charge bureaucratique, pénalisant ainsi les producteurs qui devront être soumis à un certain nombre d’obligations de certification supplémentaires pour pouvoir continuer à opérer sur le marché.

2.   Analyse de la proposition

2.1.

Par sa proposition de législation sur la cyberrésilience, la Commission entend rationaliser et redéfinir de manière globale et horizontale la législation actuelle en matière de cybersécurité tout en veillant à ce qu’elle soit mise à jour à la lumière de l’innovation technologique.

2.2.

Cet instrument législatif poursuit essentiellement quatre objectifs: veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques, et ce au cours de la phase de conception et de développement et tout au long de leur cycle de vie, garantir un cadre cohérent de règles en matière de cybersécurité, en facilitant le respect des règles par les fabricants de matériels et de logiciels, améliorer la transparence des dispositifs de sécurité des produits comportant des éléments numériques et, enfin, permettre aux entreprises et aux consommateurs d’utiliser ces produits en toute sécurité. En substance, la proposition introduit un marquage CE en matière de cybersécurité, en prescrivant qu’il soit apposé sur tous les produits couverts par la législation.

2.3.

Il s’agit d’une intervention horizontale, par laquelle la Commission entend réglementer de manière organique l’ensemble du domaine, étant donné qu’elle concerne pratiquement tous les produits comportant des composants numériques. Ne sont exclus de son champ d’application que ceux qui sont de nature médicale ou concernent l’aviation civile, les véhicules et les produits conçus à des fins militaires. La proposition ne couvre pas non plus les services de logiciels à la demande (informatique en nuage), sauf s’ils servent à la fabrication de produits comportant des éléments numériques.

2.4.

La définition des «produits comportant des éléments numériques» est très large et couvre tout produit logiciel ou matériel, ainsi que tout logiciel ou matériel non incorporé dans un produit mais commercialisé séparément.

2.5.

La législation introduit des exigences obligatoires en matière de cybersécurité tout au long du cycle de vie des produits comportant des éléments numériques, mais elle ne remplace pas celles qui existent déjà. Au contraire, les certificats des produits qui ont déjà été certifiés conformes à des normes de l’Union préexistantes resteront valides au sens du nouveau règlement.

2.6.

Le principe général de base qui préside à la législation est que seuls peuvent être commercialisés en Europe des produits «sûrs», à savoir ceux dont le producteur se comporte de telle sorte qu’ils le restent tout au long de leur cycle de vie.

2.7.

Un produit est considéré comme «sûr» si, entre autres, il est conçu et réalisé de manière à offrir un niveau de sécurité adapté aux cyberrisques liés à son utilisation, ne comporte pas de vulnérabilités connues au moment où il est vendu, présente une configuration sécurisée par défaut, est protégé contre les connexions illicites, assure la protection des données qu’il recueille et ne collecte que celles qui servent à son fonctionnement.

2.8.

Un fabricant est considéré comme apte à commercialiser ses produits s’il fait connaître la liste de leurs différents composants logiciels, fournit rapidement des solutions gratuites en cas de nouvelles vulnérabilités, rend publiques et explique en détail celles qu’il a détectées et résolues, et vérifie régulièrement la «solidité» des produits qu’il commercialise. Ces activités, ainsi que les autres qui sont imposées par la législation sur la cyberrésilience, doivent être menées à bien tout au long de la vie d’un produit, ou au moins pendant cinq ans après sa mise sur le marché. Le fabricant est tenu d’éliminer les vulnérabilités au moyen de mises à jour logicielles régulières.

2.9.

Selon un principe général appliqué dans différents secteurs, ces obligations incombent également aux importateurs et aux distributeurs.

2.10.

La législation sur la cyberrésilience prévoit une macro-catégorie de produits et logiciels dits «normaux» pour lesquels il est possible de s’appuyer sur une auto-évaluation du fabricant, comme il en va déjà pour d’autres types de certification portant le marquage CE. Selon la Commission, 90 % des produits sur le marché relèvent de cette catégorie.

2.11.

Les produits concernés peuvent être mis sur le marché après auto-évaluation de leur cybersécurité par le fabricant, lequel fournit une documentation appropriée telle qu’établie par les lignes directrices de la réglementation. Le même fabricant est tenu de répéter l’évaluation en cas de modification du produit.

2.12.

Les produits qui font partie des 10 % restants sont répartis en deux autres catégories, la classe I pour les produits les moins dangereux et la classe II pour les plus dangereux, dont la mise sur le marché nécessite une attention accrue. Il s’agit de «produits critiques comportant des éléments numériques», dont la défaillance peut provoquer d’autres atteintes dangereuses et plus étendues en matière de sécurité.

2.13.

Pour les produits relevant de ces deux classes, les autocertifications de base ne sont admissibles que si le fabricant démontre qu’il a respecté des normes de marché spécifiques et des spécifications de sécurité ou des certifications de cybersécurité déjà prévues par l’Union européenne. Dans le cas contraire, il peut obtenir la certification du produit par un organisme de certification accrédité dont l’attestation est obligatoire pour les produits de classe II.

2.14.

Le système de classification des produits en catégories de risque figure également dans la proposition de règlement sur l’intelligence artificielle (IA). Afin d’éviter tout doute quant aux dispositions applicables, la législation sur la cyberrésilience prend en considération les produits comportant des éléments numériques qui sont simultanément classés comme des «systèmes d’IA à haut risque» au sens de la proposition relative à l’intelligence artificielle. Ces produits devront généralement respecter la procédure d’évaluation de la conformité établie par le règlement sur l’intelligence artificielle, à l’exception des «produits numériques critiques», pour lesquels les règles d’évaluation de la conformité avec la législation sur la cyberrésilience s’appliqueront en sus des exigences essentielles que ladite législation impose.

2.15.

Afin de garantir le respect de la législation sur la cyberrésilience, il est prévu une activité de surveillance, que chaque État membre devra confier à une autorité nationale. Conformément à la législation relative à la sécurité d’autres produits, si une autorité nationale constate que les caractéristiques de cybersécurité d’un produit font défaut, sa commercialisation peut être suspendue dans l’État concerné. L’ENISA est compétente pour évaluer en détail un produit signalé, et les évaluations auxquelles elle procède en cas d’insécurité constatée d’un produit peuvent conduire à la suspension de sa commercialisation dans l’Union européenne.

2.16.

Le régime sanctionnatoire de la législation sur la cyberrésilience s’appuie sur une série de sanctions, qui sont liées à la gravité de l’infraction et, en cas de violation des exigences essentielles en matière de cybersécurité des produits, peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires de l’exercice précédent.

3.   Observations

3.1.

Le CESE se félicite de l’initiative de la Commission, qui vise à inclure une pièce maîtresse dans le cadre normatif plus large en matière de cybersécurité, en articulation avec la directive sur la sécurité des réseaux (SRI) (1) et d’une manière qui la complète, en sus de la législation sur la cybersécurité (2). En effet, des normes élevées en matière de cybersécurité jouent un rôle essentiel pour mettre en place un système solide de cybersécurité de l’Union européenne pour tous les opérateurs économiques, qui serve à garantir à ses citoyens de pouvoir utiliser en toute sécurité chaque produit mis sur le marché et à renforcer leur confiance dans le monde numérique.

3.2.

Le règlement aborde donc deux questions, à savoir que de nombreux produits présentent un faible niveau de sécurité informatique et, surtout, que nombre de producteurs ne fournissent pas de mises à jour pour remédier aux vulnérabilités de leur production. Alors que les fabricants de produits comportant des éléments numériques subissent parfois des atteintes à leur réputation lorsque leur sécurité est défaillante, le coût des vulnérabilités est principalement supporté par les utilisateurs professionnels et les consommateurs. De ce fait, ils ne sont guère incités à investir dans la conception et le développement de produits sûrs et à fournir des mises à jour de sécurité. Bien souvent, qui plus est, les entreprises et les consommateurs ne disposent pas d’informations suffisantes et précises lorsqu’il s’agit de choisir des produits sûrs et ne savent pas comment s’assurer que ceux qu’ils achètent sont configurés de manière sûre. Les nouvelles règles traitent de ces deux aspects en abordant la question des mises à jour et de la fourniture d’informations actualisées aux clients. Le CESE estime qu’à cet égard, le règlement proposé, à condition d’être correctement appliqué, est susceptible de devenir à l’échelle internationale une référence et un modèle en matière de cybersécurité.

3.3.

Le CESE accueille favorablement la proposition visant à introduire des exigences en matière de cybersécurité pour les produits comportant des éléments numériques. Il importera toutefois d’éviter tout chevauchement avec d’autres dispositions législatives en vigueur, telles que la nouvelle directive sur la sécurité des réseaux (SRI 2) (3) et le règlement sur l’intelligence artificielle.

3.4.

Le CESE juge important de souligner que, s’il est appréciable que la législation sur la cyberrésilience couvre pratiquement tous les produits numériques, sa mise en œuvre concrète pourrait soulever des problèmes, compte tenu de l’importante activité de vérification et de contrôle qu’elle suppose.

3.5.

Le champ d’application matériel de la législation sur la cyberrésilience est large et couvre tous les produits comportant des éléments numériques. Selon la définition proposée, sont ainsi concernés tous les produits logiciels et matériels ainsi que les opérations de traitement de données connexes. Le CESE suggère à la Commission de préciser si tous les logiciels relèvent du champ d’application de la proposition de règlement.

3.6.

Les producteurs seront tenus de signaler, d’une part, les vulnérabilités activement exploitées et, d’autre part, les incidents de sécurité. Ils auront à informer l’ENISA de toute vulnérabilité activement exploitée qui est contenue dans le produit et, de manière distincte, de tout incident ayant un impact sur sa sécurité, en tout état de cause dans un délai de 24 heures après en avoir eu connaissance. À cet égard, le CESE relève que l’ENISA doit être dotée des ressources numéraires adéquates et de la préparation professionnelle qui la mettront en mesure d’accomplir efficacement les tâches importantes et sensibles qui lui seront confiées en vertu du règlement.

3.7.

Qu’un certain nombre de produits entrant dans le champ d’application de la proposition soient également soumis à d’autres dispositions législatives en matière de cybersécurité pourrait créer des incertitudes quant à la législation applicable. Bien que la législation sur la cyberrésilience prévoie une cohérence avec le cadre réglementaire actuel de l’Union européenne relatif aux produits et avec d’autres propositions en cours dans le cadre de sa stratégie numérique, des chevauchements existent entre les règles, par exemple entre celles prévues pour les produits d’intelligence artificielle à haut risque, d’une part, et le règlement sur le traitement des données à caractère personnel, d’autre part. À cet égard, le CESE suggère à la Commission d’élaborer des lignes directrices spécifiques afin de guider les producteurs et les consommateurs quant à son application correcte.

3.8.

Le CESE relève que l’on ne voit pas avec toute la clarté voulue quelle sera la relation entre les autorités de certification au sens de la législation sur la cyberrésilience et d’éventuels autres organismes habilités à certifier la cybersécurité en vertu d’autres réglementations également applicables.

3.9.

En matière d’activités et de responsabilités, une lourde charge pèse sur les autorités de certification, dont il y a lieu de garantir le bon fonctionnement, afin d’éviter que la législation sur la cyberrésilience n’accroisse le poids des formalités administratives dont doivent déjà s’acquitter les producteurs pour pouvoir opérer sur le marché. À cet égard, il importerait également que les PME et les MPME, en particulier, aient accès à un soutien spécialisé qualifié, capable de fournir des services professionnels spécifiques.

3.10.

La législation sur la cyberrésilience prévoit que les autorités de certification, dans le cadre des prestations qu’elles fournissent, tiennent compte des besoins spécifiques des PME; le CESE estime toutefois qu’il y a lieu d’éclaircir les critères d’application.

3.11.

Un problème de coordination risque en outre de se poser entre les autorités de surveillance prévues par le règlement à l’examen et celles déjà actives en vertu d’une autre réglementation applicable aux mêmes produits. Le CESE suggère dès lors à la Commission d’inviter les États membres à être vigilants et, le cas échéant, à prendre des mesures pour remédier à une telle éventualité.

---

(1)  Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(2)  Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

(3)  Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80).