Accueil
Le quotidien du droit en ligne
-A+A
Interview

Le règlement sur la cyber-résilience, un nouveau règlement européen pour répondre au « sujet majeur » des cyberattaques

Maître de conférences, chercheur au Centre d’études et de recherches en droit de l’immatériel de l’Université Paris-Saclay, et auteur de l’ouvrage « Le droit du numérique : une approche par les risques » publié au éditions Dalloz, Arnaud Latil revient pour Dalloz actualité sur les enjeux autour règlement sur la cyber-résilience, texte majeur de l’arsenal européen pour renforcer la cybersécurité.

le 22 janvier 2025

Annoncé en septembre 2021, le règlement sur la cyber-résilience vient d’être publié au Journal officiel de l’Union européenne le 20 novembre 2024. S’il est entré en vigueur à partir du 10 décembre 2024, les obligations prévues ne s’appliqueront toutefois pleinement que d’ici trois ans. Décryptage de ce texte et contextualisation avec Arnaut Latil, maître de conférences, chercheur au Centre d’études et de recherches en droit de l’immatériel de l’Université Paris-Saclay, et auteur de l’ouvrage « Le droit du numérique : une approche par les risques » (2e éd., Dalloz 2024).

Dalloz actualité : Pourquoi ce nouveau texte européen est-il important ?

Arnaud Latil : Le règlement (UE) 2024/2847 sur la cyber-résilience du 23 octobre 2024 s’inscrit dans le cadre de la stratégie européenne de la cybersécurité. Il vient donc compléter des textes déjà entrés en vigueur ou en cours d’adoption. On peut citer le règlement relatif à la cybersécurité de 2019, la directive NIS 2 (Network and information security), qui n’est d’ailleurs pas encore transposée en France comme dans la plupart des pays européens, ou encore le règlement relatif à la cybersolidarité du 19 décembre 2024, un texte qui porte sur la gouvernance de la cybersécurité en Europe.

Le nouveau texte complète donc ce cadre législatif. Avec NIS 2, le législateur s’est attelé à renforcer la cybersécurité des organisations. Avec le règlement sur la cyber-résilience, il s’intéresse à la sécurité informatique des produits, qu’ils soient logiciels ou immatériels, dès lors qu’ils comportent des éléments numériques. C’est un texte important parce que les cyberattaques sont devenues précisément un sujet majeur, des attaques en déni de service à celles par rançongiciel [ces logiciels malveillants qui chiffrent les données avant d’extorquer une rançon]. Or, ces attaques passent souvent par les produits, qui en sont les vecteurs, que ce soit évidemment des logiciels ou des produits connectés, comme des montres ou des téléphones, et de manière générale n’importe quel outil numérique connecté étant commercialisé. L’idée est donc d’augmenter le niveau de cybersécurité de ces produits à l’échelle européenne.

Il faut enfin avoir en tête que ce texte repose sur une approche dite par les risques, puisqu’il distingue les produits dits importants et ceux dits critiques. Il impose des obligations nuancées suivant la catégorie de produit et des risques associés aux cyberattaques. C’est une logique partagée par un certain nombre de textes, dont le DMA (Règl. [UE] 2022/1925 du 14 sept. 2022 sur les marchés numériques), le DSA (Règl. [UE] 2022/2065 du 19...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :

Arnaud Latil

Arnaud Latil est Maître de conférences et chercheur au Centre d’études et de recherches en droit de l’immatériel de l’Université Paris-Saclay. Il est l'auteur de Le droit du numérique : une approche par les risques aux éditions Dalloz paru le 28 novembre 2024 dans sa 2e édition.