La loi sur la cyber-résilience est un texte législatif complexe.
Pour les fabricants d'objets connectés, les développeurs de logiciels et les importateurs, distributeurs et revendeurs, comprendre l'objectif de cette loi est la première étape sur la voie de la conformité.
Dans cette page, nous résumons les objectifs et les principaux principes de la loi afin de clarifier les choses pour les parties prenantes.
Les avantages pour les entreprises et les consommateurs
La loi sur la cyber- résilience va simplifier la vie des fabricants d'appareils connectés et logiciels en instaurant des règles de sécurité harmonisées pour toute l'Union européenne. Les fabricants n'auront plus qu'à se conformer à un seul ensemble d'exigences, celui de la loi sur la cyber-résilience, ce qui facilitera leurs démarches et réduira les coûts liés à la conformité.
La loi sur la cyber- résilience devrait contribuer à réduire de manière significative le risque de cyberattaques, protégeant ainsi les entreprises et les consommateurs contre un large éventail de menaces, telles que les violations de données, les pertes financières et les atteintes à la réputation.
L'adoption de mesures de cybersécurité robustes permet de prévenir efficacement les violations de données, dont les coûts de gestion peuvent s'avérer considérables, atteignant parfois plusieurs millions d'euros.
Le renforcement de la cybersécurité induit par la loi sur la cyber- résilience contribuera à accroître la confiance des consommateurs, stimulant ainsi la demande pour les produits connectés et logiciels informatiques.
L'essor de la demande, stimulé par la confiance accrue des consommateurs, devrait générer une augmentation de la clientèle et des bénéfices pour les fabricants, les importateurs, les distributeurs et les revendeurs de produits connectés.
La loi sur la cyber-résilience renforcera la transparence en permettant aux consommateurs d'accéder aisément à des informations claires sur les données collectées par leurs objets connectés, favorisant ainsi des choix d'achat éclairés et une plus grande satisfaction client.
La loi sur la cyber- résilience renforcera la protection des droits des consommateurs, tels que la protection des données et de la vie privée, en garantissant que les données collectées par les appareils connectés soient sécurisées et protégées contre de potentielles attaques.
The Cyber Resilience Act applies to economic operators such as manufacturers, software developers, distributors, importers and other economic actors (such as resellers) who supply digital products to the European market.
Il existe quelques exceptions importantes :
La loi sur la cyber-résilience établit une suite d'exigences et d'obligations spécifiques pour les fabricants, les importateurs, les distributeurs et les prestataires de services tiers qui distribuent des produits connectés et logiciels informatiques sur le marché européen.
La première obligation impose aux fabricants et développeurs de logiciels de prendre en compte dès la conception et le développement de leurs produits, les aspects de cybersécurité. Cela implique l'intégration de considérations de cybersécurité tout au long du processus de développement.
Plus précisément, les fabricants doivent garantir la conformité de leurs produits aux exigences de sécurité définies dans les annexes de la loi sur la cyber- résilience , en particulier celles concernant la sécurité par conception et par défaut ("security by design and by default"), la gestion des risques, la gestion des incidents et la protection des données à caractère personnel (lié au RGPD).
Les fabricants doivent mettre en œuvre des mécanismes de mise à jour de leurs produits afin de pallier aux vulnérabilités éventuelles. En outre, des informations claires et complètes sur les caractéristiques de cybersécurité des produits doivent être mises à la disposition des utilisateurs.
En cas de découverte d'un risque lié à la cybersécurité, le fabricant doit impérativement mettre en œuvre des actions correctives, y compris informer les utilisateurs du produit et les organismes de l'UE sous 24 heures. Ce délai pourrait être raccourci considérablement à l'avenir, passant en dessous de 24 heures. Par ailleurs, le fabricant est tenu de coopérer avec les autorités nationales dans le cadre des enquêtes et de la résolution des incidents de cybersécurité.
Le non-respect de la loi sur la cyber-résilience peut entraîner des pénalités et des sanctions, telles qu'une amende de 15 millions d'euros ou de 2,5% du chiffre d'affaires annuel, le montant le plus élevé étant retenu.
Nouveautés et événements sur la cybersécurité
Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.
