Bientôt un marquage CE Cyber sur les produits numériques ?

"Les règles régissant l’apposition du marquage CE sur les produits comportant des éléments numériques devraient être définies par le présent règlement. Le marquage CE devrait être le seul marquage garantissant la conformité d’un produit comportant des éléments numériques aux exigences du présent règlement" propose le Règlement relatif aux exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et modifiant le règlement (UE) 2019/1020.

Afin d'abaisser les menaces et les coûts liés aux cyberattaques estimés à 5 500 milliards d'euros par an à l'échelle mondiale, la Commission européenne a proposé un Règlement pour augmenter la cybersécurité des produits, matériels et logiciels.

Ce texte concerne toutes entreprises créant un produit logiciel ou matériel et réalisant des solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément.
Par exemple, outre des éditeurs de logiciels, un fabricant de jouets connectés, de moniteurs pour bébés ou d'assistants domestiques ou encore de solutions de traitement de données à distance relatives à un produit comportant des éléments numériques sont dans le champs d'application.

Tous logiciels facturés ou services d'assistance par une plateforme logicielle monétisable ou en échange d’utilisation de données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel seraient soumis au Réglement. Le gratuit et l'open source sont donc a priori hors champs.

Les règles horizontales envisagées ne prévoiraient une évaluation par un tiers que pour les produits critiques.

Le règlement proposé ne s’appliquera pas aux produits comportant des éléments numériques relevant du champ d’application du règlement (UE) 2017/745 [dispositifs médicaux à usage humain et accessoires pour ces dispositifs] et du règlement (UE) 2017/746 [dispositifs médicaux de diagnostic in vitro à usage humain et accessoires pour ces dispositifs] du fait que deux règlements contiennent des exigences concernant les dispositifs, y compris les logiciels et les obligations générales des fabricants, couvrant l’ensemble du cycle de vie des produits, ainsi que des procédures d’évaluation de la conformité.

Il en est de même pour les produits critiques déjà soumis à des réglementations.

Compléter les réglementations

Dans un environnement connecté, le moindre incident de cybersécurité dans un produit peut affecter toute une organisation ou toute une chaîne d’approvisionnement, en se propageant souvent audelà des frontières du marché intérieur en quelques minutes à peine. "Cela peut occasionner de graves perturbations des activités économiques et sociales, voire mettre des vies en danger" affirme le rapport de la Commission européenne. Il est donc nécessaire d'assurer la cybersécurité de l’ensemble de la chaîne en protégeant tous les éléments numériques.

A ce jour, il n'existe pas de contraintes réglementaires en matière de cybersécurité de produits comportant des éléments numériques.

L'autre objectif est également de fournir des informations claires aux utilisateurs afin de comprendre facilement les spécificités des produits et connaître leurs propriétés de cybersécurité.

Ainsi les fabricants, les importateurs et les distributeurs de produits numériques devront respecter les obligations de cybersécurité pour mettre à disposition leur produit.

Le Réglement vient compléter la directive qui établit le règles en matière de responsabilité des produits défectueux et implique ainsi une réparation lorsqu’un dommage a été causé.

Par exemple, un manque de mises à jour de sécurité après la mise sur le marché du produit, et s’il en résulte des dommages, la responsabilité du fabricant pourrait être engagée. Ainsi, une obligation est instaurée aux fabricants de fournir continuellement des mises à jour de sécurité.

Un renforcement auRGPD

Le texte complète également le RGPD et met en place des mécanismes de certification ainsi que des labels et des marques en matière de protection des données aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent les réglementations.

La protection des données dès la conception et par défaut, ainsi que la cybersécurité déjà introduites par le RGPD sont renforcées.

La mise en place à l'échelle européenne de contrôles et de surveillances des marchée avec les différents régulateurs européens est instaurée.

Les fabricants de solutions devront soumettre leur produit à une évaluation de la conformité sous leur propre responsabilité. Cependant "le fabricant devrait conserver la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers".

"Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques doit être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie les fonctions, le type ou les performances initialement prévues du produit et que ces modifications n’ont pas été prévues dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque a augmenté en raison de la mise à jour du logiciel". Les producteurs sont donc responsables de bout en bout de la bonne sécurité des solutions diffusées.

Les fabricants seront tenus de le faire pendant la durée de vie prévue du produit ou durant une période de 5 ans (alors que la directive sur les produits défectueux prévoit 10 ans), selon la période la plus courte.

Enfin, les fabricants devront signaler les vulnérabilités activement exploitées et les incidents de sécurité à l'Agence de l'Union européenne pour la cybersécurité (ENISA) dans les 24 heures suivant leur prise de connaissance. Ce qui est différent du RGPD qui prévoit 72 heures.

Quant aux sanctions, elles sont cumulatives avec d’autres, telles que celles du RGPD peuvent aller jusqu’à 2,5 % du chiffre d’affaires mondial annuel ou 15 millions d’euros.

Patrice Remeur pour Prorisk cyber