Le Cyber Resilience Act trace sa route. Annoncée en septembre 2022 par la Commission européenne, la proposition de règlement visant à renforcer la sécurité des matériels et des logiciels commercialisés dans l'Union européenne a passé un cap supplémentaire. « La Commission salue l'accord politique conclu hier soir entre le Parlement européen et le Conseil sur la loi sur la cyber résilience », a indiqué l'exécutif bruxellois ce 1er décembre. Le texte est censé répondre au contexte de cybermenaces qui pèse de plus en plus sur les fournisseurs ainsi qu'aux exigences croissantes des mesures prises pour assurer la sécurité by design des produits vendus dans l'UE, et ce, tout au long de leur cycle de vie de la conception à la mise sur le marché. Le cadre prévoit que les logiciels et le matériel IT porteront un marquage CE pour indiquer qu'ils sont conformes aux exigences du règlement et qu'ils peuvent donc être vendus en Europe.

« Le réglement introduira également une obligation légale pour les fabricants de fournir aux consommateurs des mises à jour de sécurité en temps utile pendant plusieurs années après l'achat », précise la Commission. « Cette période doit correspondre à la durée d'utilisation prévue des produits. Grâce à ces mesures, le prochain cadre permettra aux utilisateurs de faire des choix mieux informés et plus sûrs, car les fabricants devront devenir plus transparents et plus responsables en ce qui concerne la sécurité de leurs produits ». Contrairement à la directive NIS2, plus large et visant les fournisseurs cloud aussi bien que les hébergeurs de santé notamment, le Cyber Resilience Act cible les produits tout ou partie numériques vendus au sein du marché unique européen.

Une mise en oeuvre concrète à partir de 2027

L'accord conclu est maintenant soumis à l'approbation formelle du Parlement européen et du Conseil, attendue en 2024. Une fois adoptée, le réglement cyber résilience entrera en vigueur le 20e jour suivant sa publication au Journal officiel. À partir de son entrée en vigueur, les fabricants, importateurs et distributeurs de matériel et de logiciels auront alors trois ans pour s'adapter aux exigences du Cyber Resilience Act. En revanche, la deadline pour signaler des incidents et des vulnérabilités se fera un peu plus tôt, à savoir dans les 21 mois suivant l'adoption de cette loi.