Panorama des textes réglementaires 2023 relatifs à la cybersécurité

Un flot de textes réglementaires est en cours d'élaboration à l'échelle européenne. Ces textes vont transformer l'ensemble des entreprises et structures produisant ou utilisant des outils numériques ou connectés pour renforcer la cybersécurité. Les entreprises vont devoir apporter des informations claires aux tiers sur leurs mesures de sécurité. Voici un panorama des principales réglementations qui vont transformer radicalement les conditions d'exercices des structures.

Toutes les 11 secondes, une organisation est victime d’une attaque par ransomware. D’ici 2030, une attaque se fera toutes les 2 secondes, selon les perspectives de la Commission Européenne. Le coût économique de ces attaques dépasse les 250 milliards d’euros par an. C’est sans compter les dommages sur l’emploi, la santé, la réputation, les recours juridiques…

Des dizaines de textes vont naitre

Afin de renforcer la résilience des entreprises et institutions face aux menaces, l’Union européenne met en place un cadre réglementaire pour accroître la cybersécurité.

Le cadre de l'UE en matière de cybersécurité comprend plusieurs actes législatifs qui couvrent des aspects spécifiques de la cybersécurité sous différents angles. 

• La Directive sur la sécurité des réseaux et des systèmes d'information au sein de l'UE (SRI) impose à tous les acteurs du numérique un niveau de cybersécurité élevé. Un projet de Règlement relatif aux exigences horizontale en matière de cybersécurité concernant toutes les structures, touchant de près ou de loin au numérique, grosses ou petites, impose un renforcement de la sécurité.

• La directive NIS2 renforce la sécurité des réseaux et des systèmes d'information. Elle met en place de nouvelles obligations de déclarations d'incidents pour les entités essentielles et importantes afin d'accroître leur résilience. Par exemple, elle institue une obligation claire de démontrer de quelles manières les entités ont évalué le niveau de sécurité des produits et services digitaux.

• Plusieurs législations sectorielles comme la Directive sur la résilience des entités critiques et le Règlement sur la résilience opérationnelle du secteur financier (DORA) fixent par exemple, de nouvelles exigences spécifiques de sécurité et de reporting obligatoires.

En ce qui concerne les produits, services et processus des technologies, les pouvoirs de l'Agence de l'Union européenne pour la cybersécurité (ENISA) ont été élargis.

Le législateur déploie également un système de certification volontaire pour les produits, services ou processus numériques.

Ce système d’étiquette de solidité devrait reponser sur un dispositif cyberscore déjà instauré en France.

Bien que le régime européen reste volontaire pour les entreprises, il peut être utilisé pour se conformer aux exigences de sécurité obligatoires d'autres actes juridiques. 

Des réglementations sectorielles

Une législation sectorielle spécifique est dédiée à la sécurité des produits contenant des éléments numériques dans la directive sur les équipements radio (RED).

Le secteur de la santé est également soumis au Règlement sur les dispositifs médicaux, et le Règlement sur les dispositifs médicaux de diagnostic in vitro.

Dans le transport, le Règlement sur la sécurité générale des véhicules, le Règlement relatif à l'aviation civile et le projet de Règlement sur les machines… viennent imposer des règles de sécurité jusqu'alors peut contraignantes. 

Le projet de Règlement sur l’intelligence artificielle vise a pour ambition de garantir que les systèmes d’IA à haut risque respectent les exigences en matière de sécurité et de droits fondamentaux (par exemple, la gouvernance des données, la transparence, le contrôle humain). La proposition rend obligatoire une évaluation de conformité pour les systèmes d'IA à haut risque.

La proposition de Directive sur la responsabilité des produits permettra de garantir que si une IA est défectueuse et cause des lésions corporelles, des dommages aux biens ou des pertes de données, les entreprises ou personnes auront réparation de la part du fournisseur ou de tout opérateur intégrant un système d’IA dans un autre produit.

Afin de réduire le fractionnement en matière de cybersécurité à l’échelle des états de l’UE, la Commission a proposé une législation horizontale sur les exigences de cybersécurité pour tous les produits connectés et les services associés en vue d'harmoniser les législations nationales et d'éviter ainsi la fragmentation du marché unique.

Ce Règlement horizontal s'appliquera aux applications, logiciels (y compris les logiciels intégrés) et les systèmes d'exploitation.

L’ambition du Règlement est d'obliger les fabricants à inclure des informations claires aux utilisateurs sur la durée des mises à jour de sécurité et d'apporter une transparence. A défaut, des sanctions lourdes seront prononcées.

Patrice Remeur pour Prorisk cyber