Où en est le Cyber Resilience Act ?

La Commission européenne a dévoilé, le 15 septembre 2022, le Cyber Resilience Act, un règlement pour renforcer la sécurité des produits connectés, matériels ou logiciels. Il imposera une série d’obligations réglementaires aux fabricants et éditeurs. Ils devront ainsi prendre en compte la sécurité des produits dès leur conception, et s’assurer qu’ils ne comportent aucune vulnérabilité connue à leur commercialisation.

Fabricants et éditeurs seront par ailleurs tenus de fournir une documentation claire sur la cybersécurité de ces produits. Ils devront surtout garantir l’application de correctifs de sécurité et de mises à jour pendant « toute la durée de vie prévue du produit ». Pour éviter les mauvaises surprises, la mention explicite de cette durée de vie deviendra également obligatoire.

Le non-respect de ces règles exposerait fabricants et éditeurs à des amendes pouvant s’élever jusqu’à 15 millions d’euros ou 2,5% de leur chiffre d’affaires mondial. Un produit non-conforme verrait sa commercialisation restreinte voire interdite.

Une phase de négociations sur le texte, menée par les ambassadeurs de l’UE et la commission de l’Industrie du Parlement européen, s’est achevée mi-juillet 2023. Elle a globalement assoupli le texte, transformant des obligations en recommandations, et excluant un certain nombre de produits et situations du dispositif. Les négociations formelles entre les co-législateurs de l’Union (Parlement, Conseil et Commission) devraient débuter en septembre 2023.