"La Commission a présenté une proposition de nouvelle loi sur la cyber-résilience pour protéger les consommateurs et les entreprises contre les produits dont les caractéristiques de sécurité sont inadéquates", il s'agit d'une "première législation de ce type dans l'UE [qui] introduit des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, tout au long de leur cycle de vie", annonce l'exécutif européen dans un communiqué.
Faisant suite à une stratégie de cybersécurité définie par l'exécutif européen il y a un an, la nouvelle législation vise à garantir que "les produits numériques, tels que les produits sans fil et câblés et les logiciels, soient plus sûrs pour les consommateurs de l'UE".
Concrètement, "en plus d'accroître la responsabilité des fabricants en les obligeant à fournir un support de sécurité et des mises à jour logicielles pour remédier aux vulnérabilités identifiées, elle permettra aux consommateurs de disposer d'informations suffisantes sur la cybersécurité des produits qu'ils achètent et utilisent", ajoute Bruxelles.
Le règlement proposé s'applique à tous les produits qui sont directement ou indirectement connectés à un autre dispositif ou réseau, bien que certaines exceptions soient prévues pour les produits pour lesquels des exigences en matière de cybersécurité sont déjà définies dans les règles européennes existantes, par exemple pour les dispositifs médicaux, l'aviation ou les voitures. Les applications mobiles et les jeux vidéo sont également couverts, selon l'institution.
La législation prévoit que, "pour assurer l'application effective des obligations énoncées dans la présente loi, chaque autorité de surveillance du marché est habilitée à imposer ou à demander l'imposition d'amendes administratives".
En cas de non-respect des exigences essentielles de cybersécurité, des amendes pouvant aller jusqu'à 15 millions d'euros ou, si le contrevenant est une entreprise, jusqu'à 2,5 % de son chiffre d'affaires annuel mondial total pour l'exercice précédent sont en jeu. Le non-respect de toute autre obligation prévue par ce règlement est passible d'amendes administratives pouvant aller jusqu'à 10 millions ou, si le contrevenant est une entreprise, jusqu'à 2 % de son chiffre d'affaires annuel.
En revanche, la fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande est passible d'amendes pouvant aller jusqu'à 5 millions d'euros ou, si le contrevenant est une entreprise, jusqu'à 1 % de son chiffre d'affaires annuel, selon le règlement proposé.
Il appartient maintenant au Parlement européen et au Conseil de délibérer sur la proposition de loi sur la cyber-résilience, Bruxelles soulignant "la bonne volonté" des co-législateurs et espérant que cette initiative progressera rapidement.
Après l'entrée en vigueur, les parties prenantes disposeront de 24 mois pour s'adapter aux nouvelles exigences, à l'exception d'une période de grâce plus limitée de 12 mois en ce qui concerne l'obligation de déclaration pour les fabricants.
Les données du Centre commun de recherche de la Commission européenne pour 2021 révèlent que les attaques par ransomware touchent une organisation toutes les 11 secondes dans le monde et que le coût annuel mondial de la cybercriminalité est estimé à 5 500 milliards d'euros.
Les coûts annuels des violations de données sont également estimés à au moins 10 milliards d'euros, tandis que les coûts annuels des tentatives malveillantes de perturbation du trafic internet sont estimés à 65 milliards d'euros.