0024-MAG24 Dec - Flipbook - Page 44
DOSSIER
Innovation
5
La pression réglementaire se poursuit :
NIS 2, AI Act, CRA, DORA, etc.
O
© DR
n entend souvent dire que les Américains
inventent, les Asiatiques produisent et les
Européens régulent. Ce n’est pas qu’une
caricature, il y a un peu de vrai dans cette
expression, prenons simplement l’exemple du domaine
de la GenAI, qui est actuellement en pleine effervescence. L’Europe, dont la mission première devrait être
de soutenir des fleurons dans la GenAI, n’attend pas et
s’empresse déjà de réglementer l’usage de l’IA en instaurant l’AI Act. En soi, ce règlement, qui a été publié
le 1er août dernier, sera sûrement nécessaire à l’avenir
mais pourquoi dès maintenant à l’heure où la R&D dans
l’IA est encore dans une phase stimulante. Il est certain
que la lourdeur des obligations va ralentir le progrès
et freiner la compétitivité en rendant l’accès à l’IA plus
difficile pour les PME. C’est d’autant plus vrai que ce
règlement coexiste avec d’autres textes déjà en vigueur
comme le RGPD et la directive sur le droit d’auteur dans
le marché numérique. Autre exemple, celui du CRA
(Cyber-resiliency Act), qui demande plus de security
by design aux fournisseurs (fabricants et importateurs)
d’objets connectés, c’est-à-dire de prendre en compte
la sécurité dès la conception du produit et qu’aucune
44 / décembre 2024 / janvier / février 2025
faille de sécurité connue soit détectée au moment de la
livraison. Parmi les obligations du CRA figure la livraison de mises à jour du produit pour corriger d’éventuelles failles. De même, tout incident devra être notifié
à l’Enisa (European Union Agency for Cybersecurity)
dans les meilleurs délais, au plus tard 24 heures après en
avoir eu connaissance. Le champ d’application du CRA
concerne non seulement le matériel connecté intégrant
du logiciel, mais aussi les applications qui traitent des
données à distance.
Elargir le spectre
Aujourd’hui, nous ne connaissons pas encore le calendrier exact de la mise en œuvre de la loi et sa transposition dans chaque pays européen, mais, le 12 mars
dernier, le parlement européen a approuvé la loi sur la
cyber-résilience avec 517 voix pour, 12 contre et 78 abstentions. A cette réglementation à venir, l’année 2024 a
vu la mise en œuvre de deux directives européennes :
NIS 2 et CSRD. La première, entrée en vigueur depuis le
mois d’octobre (la transposition est en cours en France),
est une évolution de NIS 1. Son objectif est toujours de
renforcer la cybersécurité en Europe en élargissant le
spectre, ainsi, plus de 20 000 structures en France sont
concernées par cette directive, appartenant à plus de
18 secteurs. Quant à la CSRD (Corporate Sustainability
Reporting Directive), elle est applicable depuis le 1er janvier 2024 et concerne les grandes entreprises et les PME
cotées en bourse (environ 50 000 entreprises en Europe).
Cette directive fixe de nouvelles normes et obligations
de reporting extra-financier, notamment en matière de
développement durable. Ce reporting extra-financier
porte donc sur les données ESG ( critères environnementaux, sociaux et de gouvernance) de l’entreprise,
plus précisément, il est demandé de fournir aux acteurs
concernés plusieurs informations. N’oublions pas enfin
Dora (Digital Operational Resilience Act), un autre règlement européen qui devrait entrer en vigueur dès 2025
et qui cible le secteur financier (banques et assurances),
là aussi, l’objectif de Dora est d’établir des règles plus
strictes en matière de cyber-résilience, de sauvegarde et
de gestion des risques pour les entreprises concernées.
