Lexipedia

Éviter les failles de cybersécurité en Suisse. Quand la Suisse reprendra-t-elle le règlement de l'UE sur la cyberrésilience ?

25.3352 · Interpellation · 2025-03-21

Département de la défense, de la protection de la population et des sports

L’avis relatif à l’intervention est disponible

Wortlaut

En se dotant d’un règlement sur la cyberrésilience, l’Union européenne (UE) entend améliorer la sécurité des consommateurs et des entreprises par la mise en place de normes sur la cybersécurité pour les produits comportant des éléments numériques et l’obligation faite aux fabricants et aux détaillants de garantir la cybersécurité tout au long du cycle de vie des produits. De nos jours, nombre de produits comportant des éléments numériques n’offrent pas des garanties de sécurité suffisantes, et les mises à jour de sécurité tardent à arriver. En outre, il est difficile aux utilisateurs de savoir lesquels de ces produits sont vraiment sûrs et comment les configurer correctement. Le règlement sur la cyberrésilience contribue à faire en sorte que la cybersécurité soit prise en compte dès la phase de conception des produits.

Dans sa réponse à l’interpellation 23.3719, le Conseil fédéral a expliqué qu’il suivait de près l’évolution de la réglementation européenne, mais qu’il fallait attendre l’entrée en vigueur du règlement pour en tirer des enseignements. Le règlement sur la cyberrésilience est entré en vigueur le 10 décembre 2024. Les principales obligations qui en découlent s’appliqueront à compter du 11 décembre 2027.

Dans ce contexte, je prie le Conseil fédéral de réponse aux questions suivantes :

  1. Quels sont les apports du règlement sur la cyberrésilience pour la cybersécurité en Europe ?

  2. D’après lui, quel serait le degré de risques encouru par les consommateurs et les entreprises suisses dans le domaine de la cybersécurité si la Suisse ne reprenait pas les obligations inscrites dans le règlement sur la cyberrésilience ? Plus globalement, quelles en seraient les conséquences pour la cybersécurité en Suisse ?

  3. Quelles seraient les conséquences du règlement sur la cyberrésilience pour les exportateurs suisses ? Quelles mesures de soutien le Conseil fédéral prévoit-il de mettre en place pour ces entreprises ? Estime-t-il lui aussi qu’un système de reconnaissance des équivalences dans l’UE serait utile à ces entreprises ?

  4. Quand prendra-t-il sa décision par rapport à ce règlement ?

Stellungnahme des Bundesrates

1. Le règlement concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques 2024/2874 (Cyber Resilience Act, CRA) de l’Union européenne (UE) vise principalement à améliorer la cybersécurité de produits comportant des éléments numériques pour réduire le nombre de cyberincidents et les coûts qu’ils engendrent, en obligeant les fabricants à identifier et corriger les failles de sécurité et à fournir des mises à jour de sécurité en temps voulu pendant toute la durée de vie de leurs produits, ou au maximum pendant cinq ans. Il permet d’harmoniser la réglementation en matière de sécurité pour ces produits et de promouvoir la transparence auprès des consommatrices et des consommateurs. En outre, il doit contribuer à renforcer la réputation des fabricants européens de produits comportant des éléments numériques sur le marché mondial, en mettant en avant la sécurité des appareils européens, considérée comme plus élevée que celle des appareils fabriqués par la concurrence.

2. Si la Suisse ne reprend pas le CRA, elle ne s’exposera pas nécessairement à des risques en matière de cybersécurité. Une grande partie des produits distribués en Suisse est également vendue sur le marché européen et doit donc répondre aux exigences du CRA. Toutefois, les autorités doivent pouvoir empêcher la distribution de produits connectés dont la cybersécurité est insuffisante. Aujourd'hui, c'est déjà possible pour les appareils sans fil connectés à Internet (« Internet des objets ») grâce à l'ordonnance de l'Office fédéral de l'énergie sur les installations de télécommunication (OOIT ; RS 784.101.21) qui renvoie, via l'art. 7 de l'ordonnance sur les installations de télécommunication (OOIT ; RS 784.101.2), aux exigences de l'ordonnance déléguée (UE) 2022/30 complétant la directive européenne 2014/53/UE relative aux équipements radioélectriques. La Commission européenne prévoit d’adapter ou d’abroger ce texte législatif lors de la mise en œuvre du CRA. Si le projet est mis en œuvre, la Suisse devra décider comment adapter l’OOIT pour à ce que la cybersécurité du pays ne soit pas menacée par la distribution de produits non sécurisés.

3. Toutes les entreprises suisses qui souhaitent exporter vers l’UE des produits comportant des éléments numériques seront tenues de respecter les exigences du droit européen. À partir de décembre 2027, les produits importés dans l’UE devront mentionner les coordonnées du fabricant suisse, soit directement sur le produit, soit dans la documentation jointe. En outre, les fabricants devront évaluer la cybersécurité au moyen d’une auto-évaluation pour près de 90 % des produits comportant des éléments numériques (produits de consommation privée connectés à des réseaux ou à d’autres appareils). Dans le cas de produits considérés comme importants ou critiques par le CRA, ils devront faire contrôler la marchandise par un organisme d’évaluation de la conformité agréé par l’UE, conformément à la législation européenne. Ces exigences incombent aux entreprises et la Confédération ne prévoit aucune aide en la matière. Si la Suisse disposait d’une législation similaire, ces obstacles, comme l’obligation de donner ses coordonnées, pourraient être levés au moyen d’un accord avec l’UE (reconnaissance de l’équivalence).

4. Le 4 septembre 2024, le Parlement a transmis la motion 24.3810 « Réalisation de contrôles de cybersécurité urgents et nécessaires », qui charge le Conseil fédéral de créer les bases légales nécessaires aux contrôles de cybersécurité. C’est dans le cadre du traitement de cette motion que le Conseil fédéral prendra une décision de principe sur la reprise du CRA par la Suisse.

Éviter les failles de cybersécurité en Suisse. Quand la Suisse reprendra-t-elle le règlement de l'UE sur la cyberrésilience ? | Lexipedia | Lexipedia