Aperçu des évolutions de la cybersécurité de l’UE en 2025

À l’approche de la fin de l’année 2024, nous nous tournons vers les développements marquants en matière de cybersécurité à anticiper en 2025. L’adoption de nouvelles législations sur la cybersécurité et le lancement de procédures d’infraction par la Commission européenne contre plusieurs États membres pour des manquements présumés à la mise en œuvre adéquate de la directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS2) montrent l’engagement continu de l’UE dans un environnement juridique et technologique en rapide évolution. Aucun signe ne laisse présager un ralentissement de cette dynamique en 2025.

Les développements suivants retiennent particulièrement l’attention :

1. Acte de Résilience Cybernétique de l’UE (“CRA”) : Cet acte, régi par des exigences en matière de cybersécurité et de signalement d’incidents/vulnérabilités pour les produits connectés (logiciels et matériels), est entré en vigueur le 10 décembre 2024. Le CRA sera applicable et donc contraignant à partir du 11 septembre 2026 pour le reporting des incidents et des vulnérabilités, et dès le 11 décembre 2027 pour les exigences de cybersécurité nécessitant une refonte du produit. Voici quelques points clés :

• Le CRA est une législation de type sécurité des produits, imposant non seulement des exigences en matière de cybersécurité, mais aussi des exigences de sécurité des produits avant leur commercialisation dans l’UE, notamment des évaluations de conformité, des règles de marquage CE et de documentation technique.
• Selon le CRA, les fabricants doivent garantir un support de sécurité continu et des mises à jour logicielles pour les produits connectés.
• Le CRA est la première loi paneuropéenne à introduire un signalement obligatoire des vulnérabilités, imposant que les vulnérabilités exploitées soient signalées dans les 24 heures aux autorités compétentes.
• La plupart des obligations incombent au fabricant du produit, qu’il soit situé à l’intérieur ou à l’extérieur de l’UE. Toutefois, les distributeurs, représentants autorisés et importateurs doivent également se conformer à des exigences spécifiques.

Pour plus de détails, consultez notre précédent article sur le CRA.

2. Directive révisée sur la Responsabilité des Produits de l’UE (“rPLD”). La rPLD – mise à jour pour tenir compte des risques accrus liés à la numérisation et aux produits connectés – est entrée en vigueur le 8 décembre 2024. Elle s’appliquera aux produits concernés commercialisés dans l’UE après le 9 décembre 2026. La rPLD n’impose pas d’obligations réglementaires, mais harmonise les règles procédurales à l’échelle de l’UE pour les recours civils liés à des produits défectueux, simplifiant ainsi la tâche des victimes pour obtenir des compensations. Points à retenir :

• La rPLD inclut désormais les logiciels (y compris les systèmes d’IA), augmentant le risque de litiges civils pour les fabricants, importateurs et distributeurs de ces produits.
• Bien que la rPLD s’applique aux demandes introduites par des personnes physiques, certains États membres ont déjà indiqué qu’ils étendraient ces droits à des personnes morales, ce qui signifie que les fabricants de logiciels B2C et B2B devraient tenir compte de ce risque accru.
• La rPLD fait partie de la Directive sur le Recours Collectif de l’UE, permettant à des “entités qualifiées” (comme certaines associations professionnelles) d’intenter des recours au nom d’un groupe de consommateurs, augmentant ainsi le risque de réclamations collectives.

3. Acte de Solidarité Cybernétique de l’UE (“CSA”). Le CSA a été adopté par le Conseil le 2 décembre 2024 et devrait entrer en vigueur début 2025. Bien qu’il n’impose pas d’obligations réglementaires aux acteurs privés, le CSA vise à renforcer la préparation et la réponse de l’UE face aux menaces cybernétiques à travers trois piliers clés :

• la création d’un réseau paneuropéen de “centres cyber” nationaux et transfrontaliers pour échanger des informations et améliorer les capacités d’analyse et de traitement des données ;
• la mise en place d’un Mécanisme d’Urgence en Cybersécurité pour mieux anticiper, préparer et atténuer l’impact d’incidents cybernétiques significatifs dans l’UE, en soutenant des tests de préparation coordonnés par l’UE pour les secteurs critiques, l’établissement d’un “Réserve de Cybersécurité de l’UE”, un pool de prestataires de services de sécurité gérés “de confiance” pouvant soutenir l’UE ou les États membres lors d’incidents significatifs ; et
• la création d’un Mécanisme de Révision des Incidents Cybersécuritaires au sein de l’UE pour faciliter l’examen des incidents majeurs par l’Agence de l’UE pour la Cybersécurité (“ENISA”) à des fins d’intelligence.

4. L’Acte de Cybersécurité Révisé de l’UE (“rCA”). L’Acte de Cybersécurité a été mis à jour avec des modifications ciblées afin d’inclure les services de sécurité gérés. Ces modifications, adoptées par le Conseil le 2 décembre 2024, devraient entrer en vigueur début 2025. Une fois en vigueur, ces changements permettront à l’ENISA d’adopter des schémas de certification pour les services de sécurité gérés – définis de manière large comme des services fournis à des tiers pour la gestion des risques en matière de cybersécurité. Les prestataires de services de sécurité gérés devront, dans certains cas, certifier leurs services selon ces nouveaux schémas lorsqu’ils opèrent dans l’UE. Les prestataires devraient surveiller les avancées de l’ENISA et envisager de participer aux consultations pertinentes.
5. Directive NIS2 de l’UE : La date limite pour que les États membres de l’UE transposent la NIS2 était le 17 octobre 2024. Cependant, à ce jour, seuls quatre États membres ont adopté une législation de mise en œuvre satisfaisante pour la Commission européenne. Cela a conduit la Commission à engager des procédures d’infraction à l’encontre des 23 autres États membres pour encourager leur conformité. Une date limite importante dans le cadre de la NIS2 est celle du 17 janvier 2025, date à laquelle les fournisseurs de services numériques (par exemple, cloud, centres de données, réseaux de distribution de contenu) doivent s’enregistrer auprès des autorités compétentes des États membres de l’UE concernées.

ENISA a également publié des directives préliminaires pour les fournisseurs de services numériques et de sécurité gérés, précisant les exigences techniques pour la gestion des risques cybersecurity au titre de la NIS2. Bien que ces directives ne soient pas contraignantes, elles pourraient devenir la norme de facto pour d’autres fournisseurs. La consultation publique sur ces directives est ouverte jusqu’au 9 janvier 2025.

6. Acte sur la Résilience Opérationnelle Numérique de l’UE (“DORA”). Le DORA, qui fixe des exigences en matière de cybersécurité pour le secteur des services financiers, sera exécutoire le 17 janvier 2025. Il s’applique directement aux entités financières (par exemple, entreprises d’investissement, établissements de crédit, institutions de paiement) ainsi qu’aux fournisseurs de services de TIC tiers critiques (définis de manière large comme des prestataires de services “numériques et de données”). Les prestataires de services TIC tiers non critiques ne seront pas directement réglementés par le DORA, mais seront indirectement impactés, les entités financières devant imposer des exigences contractuelles spécifiques en matière de cybersécurité à leurs prestataires TIC.

Pour plus de détails, vous pouvez consulter notre précédent article sur le DORA.

Prochaines étapes

En 2025, les organisations opérant ou offrant des services/produits dans l’UE – y compris celles établies en dehors de l’UE – devront évaluer leurs mesures de cybersécurité à la lumière de ces nouvelles lois, tant d’un point de vue technique que légal (réglementaire).

Voici quelques actions prioritaires que les organisations pourraient envisager :

1. Évaluer la façon dont ces nouvelles lois européennes en matière de cybersécurité peuvent s’appliquer aux produits, services et opérations de l’organisation;
2. Déterminer les interactions entre les exigences de ces nouvelles lois et d’autres cadres réglementaires auxquels l’organisation est déjà soumise ou envisage de se soumettre, afin d’assurer une efficacité des processus ; et
3. Effectuer une évaluation des lacunes pour identifier les mesures supplémentaires nécessaires pour se conformer à ces nouvelles lois en matière de cybersécurité au sein de l’UE.

Ce post est valable à la date de publication indiquée. Sidley Austin LLP n’assume aucune obligation de mettre à jour cet article ou de communiquer sur de nouveaux développements ayant un impact sur celui-ci.