Debian affirme que la loi européenne sur la cyber-résilience pourrait provoquer la disparition de plusieurs petits projets de logiciels libres

Dont dépendent de nombreuses distributions Linux

dont dépendent de nombreuses distributions Linux

Le projet de loi européen sur la cyber-résilience (Cyber Resilience Act) continue de faire l'objet de contestation. Le projet Debian vient de publier une déclaration selon laquelle la législation européenne pourrait saper les efforts de la communauté du logiciel libre, notamment en obligeant de nombreuses petites entreprises et probablement tous les développeurs indépendants à mettre la clé sous la porte parce qu'ils ne peuvent tout simplement pas répondre aux exigences réglementaires. Les développeurs du projet Debian appellent à une exemption pour les petites entreprises et les entrepreneurs individuels, puisque de nombreuses distributions Linux dépendent de leur travail.

Le 19 juillet, le Parlement européen a voté en faveur d'un nouveau cadre juridique majeur en matière de cybersécurité : le Cyber Resilience Act (CRA). « Le projet de loi sur la cyber-résilience approuvé par la commission de l'industrie, de la recherche et de l'énergie vise à garantir que les produits dotés de fonctions numériques, tels que les téléphones ou les jouets, soient sûrs à utiliser, résistent aux menaces cybernétiques et fournissent suffisamment d'informations sur leurs propriétés en matière de sécurité », indique le communiqué de presse qui a suivi le vote. Cette déclaration presque banale reflète l'approche globale de la loi en matière de cybersécurité.


En effet, la loi européenne sur la cyber-résilience (CRA) est un cadre juridique qui décrit les exigences en matière de cybersécurité applicables aux produits matériels et logiciels comportant des éléments numériques mis sur le marché de l'Union européenne. La CRA imposera une série d'obligations aux fabricants et aux importateurs de "produits contenant des éléments numériques" (products with digital elements - PDE) : une catégorie qui est définie de manière large pour inclure à la fois les produits matériels et logiciels. Le texte final n'a pas encore été publié, mais les récentes discussions indiquent qu'il pourrait introduire les obligations suivantes :

• concevoir des PDE pour répondre à certaines exigences essentielles en matière de cybersécurité par l'évaluation des risques et la protection contre les vulnérabilités connues ;
• soumettre les PDE à des évaluations de conformité ;
• notifier les vulnérabilités identifiées (dans les 24 heures) à l'autorité nationale de cybersécurité compétente, à l'entité qui maintient le PDE vulnérable et, éventuellement, à l'ENISA (European Union Agency for Cybersecurity - Agence de l'Union européenne pour la cybersécurité) ;
• notifier les incidents de sécurité graves à l'ENISA, à l'autorité nationale de cybersécurité compétente et aux utilisateurs du PDE ;
• effectuer des contrôles préalables sur les PDE importés.

La législation a été accueillie favorablement par certains acteurs de l'industrie. « L'introduction de la CRA est opportune et vitale. Elle représente un effort concerté pour renforcer la résilience des produits numériques face aux menaces cybernétiques, ce qui exige une collaboration internationale et une vision stratégique. Cette initiative constitue une avancée significative dans le renforcement de la cyberdéfense de l'UE et dans l'affirmation de sa souveraineté numérique », a écrit un critique. Toutefois, dans la communauté du logiciel libre, elle soulève quelques préoccupations. Dans une déclaration adoptée et publiée mercredi, le projet Debian affirme :