Le législateur européen a récemment pris conscience que son niveau de résilience cybernétique était dangereusement en retard par rapport au reste du monde. C’est ainsi qu’est né le Cyber Resilience Act (ci-après CRA). Le CRA est une proposition législative de la Commission Européenne visant à renforcer la cybersécurité des produits numériques et s’inscrit dans un ensemble de législations, des « paquet données » ainsi que ceux relatifs au « paquet cybersécurité » européennes destinées à réglementer le secteur numérique. Bien que tardive, la réaction du législateur européen est une bonne nouvelle.
Face à l’évolution croissante des menaces cybernétiques, ce règlement établit des exigences pour garantir la sécurité des matériels et logiciels sur le marché européen. Cette nécessité est d’autant plus évidente au regard du dernier rapport ENISA Threat Landscape, qui souligne une augmentation des incidents cyber.
Le règlement vise à réduire les vulnérabilités, à assurer la transparence des informations de sécurité et à renforcer la confiance des utilisateurs. Dans un monde hyperconnecté, où chaque produit numérique peut devenir une cible pour les cyberattaques, cette régulation est essentielle pour la souveraineté numérique de l’Europe.
Le Cyber Resilience Act jouer un rôle clé dans le renforcement de la souveraineté numérique européenne en harmonisant les règles de cybersécurité au sein de l’Union. Son objectif principal est d’établir des normes communes. L’UE cherche à réduire sa dépendance vis-à-vis des technologies étrangères pour la sécurité des produits numériques. Cette initiative marque une volonté claire de l’Europe de reprendre le contrôle sur ses infrastructures numériques, en créant un cadre de sécurité qui protège à la fois les citoyens et les entreprises, tout en soutenant l’innovation locale.
Le Cyber Resilience Act impose plusieurs obligations aux fabricants, importateurs et distributeurs européens. Ils doivent s’assurer que les produits numériques qu’ils mettent sur le marché respectent les exigences essentielles en matière de cybersécurité tout au long de leur cycle de vie, incluant la conception, le développement et la maintenance. Cela implique également la gestion proactive des vulnérabilités et la fourniture de mises à jour de sécurité régulières.
Les entreprises devront relever plusieurs défis, notamment la conformité à ces nouvelles normes, ce qui peut entraîner des coûts supplémentaires en termes de R&D et d’évaluation de la conformité. Cependant, cette réglementation présente également des opportunités : en augmentant la sécurité des produits, les entreprises peuvent renforcer la confiance des consommateurs, améliorer leur réputation et se différencier sur les marchés européen et mondial. Cela reflète la vision globale de la Décennie numérique 2030 en favorisant des avancées nécessaires dans les infrastructures numériques, qui devront désormais être sécurisées et performantes, ainsi que l’amélioration des compétences numériques. En imposant des exigences de sécurité, cette réglementation incite indirectement les entreprises à développer leurs compétences en matière de cybersécurité.
Le règlement pose également des nouvelles définitions quant au produit « produit comportant des éléments numériques » en tant que « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément;« .
En tout état de cause, il est probable que l’adoption du CRA va entraîner une augmentation des coûts pour les entreprises, notamment en termes de recherche et développement (R&D), de conformité et de maintien de la sécurité tout au long du cycle de vie des produits numériques. Ces coûts supplémentaires pourraient se répercuter sur les prix des produits finaux, rendant certains appareils et logiciels plus chers pour les consommateurs.
Il est important de soutenir également l’impact pour le secteur public. Le CRA imposera des obligations aux collectivités publiques afin d’assurer un meilleur niveau de protection et de cybersécurité, en utilisant des systèmes permettant la détection, la prévention et le traitement des cyberrisques. Cette modernisation inévitable des capacités défensives de l’État entraînera également un coût significatif. Néanmoins, en raison de l’augmentation des cyberincidents ciblant des entités publiques, telles que les départements et les organismes publics, comme les hôpitaux, ces mesures s’avèrent justifiées.
En conclusion, le Cyber Resilience Act représente une étape cruciale et incontournable pour renforcer la cybersécurité au sein de l’Union européenne. Bien que son adoption puisse entraîner des coûts supplémentaires pour les entreprises et le secteur public, ces investissements sont indispensables pour protéger les infrastructures numériques et maintenir la confiance des consommateurs. En harmonisant les normes de cybersécurité et en réduisant la dépendance aux technologies étrangères, l’Europe affirme sa volonté de garantir sa souveraineté numérique tout en stimulant l’innovation locale. Ce cadre réglementaire, bien que tardif, est une réponse nécessaire à l’escalade des menaces cybernétiques, positionnant ainsi l’Europe en leader dans la protection des données et des systèmes numériques à l’échelle mondiale.
Nous verrons dans les prochaines années si cette ambition d’une Europe souveraine sur le plan numérique se réalisera.
Sources :
Santé : la France, mauvais élève européen de la cybersécurité
La Cyber Résilience Act : quels en sont les impacts sur les villes et collectivités?
