Loi européenne sur la cybersécurité, les entreprises alertent sur les risques

Un groupe d’entreprises, dont Ericsson et Nokia, ont émis un avertissement concernant un projet de loi européenne sur la cybersécurité, arguant qu’il pourrait créer des obstacles et des perturbations dans les chaînes d’approvisionnement. Dans une lettre envoyée à la Commission européenne, le groupe industriel Digital Europe a déclaré que le large champ d’application du projet de loi aurait un impact sur des millions d’appareils connectés, allant des appareils électroménagers aux jouets en passant par les outils de cybersécurité, empêchant ainsi la commercialisation de produits sûrs pour les clients européens, qui donc être privé de certains produits importants de ces entreprises. La Commission européenne a publié le projet de loi en septembre 2022, avec une entrée en vigueur prévue en 2024. Outre Nokia et Ericsson, Siemens, Robert Bosch, Schneider Electric et ESET ont également signé la lettre de Digital Europe.

Les entreprises signataires soutiennent depuis longtemps la nécessité de règles horizontales en matière de cybersécurité pour les produits connectés, plutôt que d’une série de réglementations sectorielles différentes. En outre, ils estiment que la proposition actuelle n’est pas en mesure de réglementer de manière adéquate différents types de produits. Un point critique pour les fabricants est l’obligation de démontrer la conformité par l’intermédiaire de certificateurs tiers pour une catégorie de produits à haut risque doté de fonctionnalités de cybersécurité, telles que la gestion des mots de passe ou la détection des intrusions. Le groupe fait valoir que ces éléments sont essentiels à l’économie et que la tarification par des tiers pourrait créer des obstacles similaires à ceux provoqués par la pandémie de Covid-19 dans les chaînes d’approvisionnement européennes, nuisant ainsi à la compétitivité.

Des préoccupations ont également été soulevées concernant l’obligation de signaler les vulnérabilités non résolues. Les entreprises estiment que les fabricants devraient être autorisés à donner la priorité à la correction des vulnérabilités plutôt qu’au reporting immédiat basé sur des raisons liées à la cybersécurité. En conséquence, les entreprises ont réclamé plus de flexibilité, suggérant que la législation autorise des possibilités d’auto-évaluation et une réduction significative du nombre de produits inclus dans la catégorie. Ils ont également proposé de prévoir au moins 48 mois pour l’élaboration d’une norme plus harmonisée.