23.3719 · Interpellation · 2023-06-14
Département des finances
Liquidé
Wortlaut
Fin 2022, l’Union européenne a adopté la loi sur la « cyberrésilience » (Cyber Resilience Act), qui renforce les règles en matière de cybersécurité pour garantir une plus grande sécurité des produits matériels et logiciels. Il se dit que le projet devrait entrer en force au premier trimestre 2026.
Comme on le sait, la Suisse n’est pas imperméable aux évolutions législatives européennes. Par exemple, l’OMAC (Organisation for Machine Automation and Control) dont font partie plusieurs grandes entreprises suisses, a mis en place un groupe de travail chargé d'élaborer un guide pratique pour aider les chefs d'entreprise, les informaticiens et les ingénieurs à comprendre les mesures qu'ils doivent prendre pour se conformer au « Cyber Resilience Act ». Ces règles déploieront probablement leurs effets sur l’industrie des machines suisses, industrie exportatrice s’il en est.
Dès lors que de nombreuses industries exportatrices sont concernées par la législation européenne, le Conseil fédéral anticipe-t-il les effets de l’adoption du « Cyber Resilience Act » ? Le Conseil fédéral estime-t-il que les filières de formation sont suffisamment préparées pour répondre aux enjeux de cette législation européenne afin d’offrir au marché les spécialistes nécessaires ?
Stellungnahme des Bundesrates
Le Conseil fédéral a reconnu l’importance du projet de règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques, connu sous le nom de «loi sur la cyberrésilience», et suit de près son évolution. Cette loi fait l’objet du rapport du 15 mars 2023 du groupe interdépartemental de coordination chargé d’effectuer un monitorage régulier de la politique numérique de l’Union européenne (UE) et de mettre en lumière les incidences possibles de cette politique sur la Suisse. Le Conseil européen a déjà examiné le projet en première lecture, et c’est maintenant au Parlement européen d’en faire autant. La loi sur la cyberrésilience qu’il est prévu de mettre en place contraint les fabricants de produits comportant des éléments numériques à tenir compte des exigences de cybersécurité dès la phase de conception et tout au long du cycle de vie du produit. Il en ressort clairement que la Commission européenne entend appliquer à la cybersécurité les principes de la responsabilité du fait des produits.
Le projet de règlement opère une distinction entre les produits critiques et les autres produits. La grande majorité des produits destinés à la consommation ne sont pas jugés critiques. Par conséquent, les fabricants peuvent en évaluer eux-mêmes la conformité aux exigences de sécurité. Pour ce qui est des produits critiques, l’évaluation de la conformité doit être effectuée par un tiers, et les fabricants sont tenus de suivre la situation en matière de cybermenaces, de signaler les éventuelles vulnérabilités et de fournir les mises à jour de sécurité nécessaires. Sont par exemple considérés comme des produits critiques les navigateurs, les gestionnaires de mots de passe, les pare-feu destinés à un usage industriel, les routeurs, les cartes à puce et les lecteurs de cartes à puce.
L’UE étant le principal marché d’exportation pour de nombreuses industries suisses, il va de soi que son projet de règlement aura des incidences sur notre pays. Les exportateurs de produits jugés critiques devront être en mesure de prouver que les composants numériques utilisés répondent aux normes de sécurité et de présenter des évaluations de conformité.
Si elle est adoptée par le Conseil et le Parlement européens, la loi sur la cyberrésilience fera nettement augmenter les charges des entreprises. À noter toutefois que nombre de ces entreprises sont déjà actives dans des domaines très réglementés et qu’elles ont l’habitude de répondre aux exigences légales de marchés différents. Par ailleurs, la loi sur la cyberrésilience s’appuyant sur la directive 2014/53/UE du Conseil et du Parlement européens, l’industrie connaît déjà le système qu’il est prévu de mettre en place, tout au moins dans le domaine des équipements radioélectriques (par ex. wifi, appareils (radio) connectés).
Le Conseil fédéral est conscient de la pénurie de main-d’œuvre qualifiée à laquelle le secteur de la cybersécurité fait face. Il rappelle toutefois que la loi sur la cyberrésilience n’a pas encore été adoptée et que les normes applicables ne sont pas encore connues, si bien qu’il faudra suivre l’évolution du projet pour savoir quelles connaissances seront nécessaires à sa mise en œuvre. Dans l’ensemble, le Conseil fédéral estime cependant que le système éducatif suisse est suffisamment flexible pour pouvoir réagir à d’éventuels besoins de formation supplémentaires.