La Commission européenne a présenté une proposition de règlementation européenne sur la cybersécurité des appareils connectés qui doit encore être approuvé par le Parlement et le Conseil.
Le European Cyber Resilience Act vise à protéger les consommateurs et les entreprises des objets connectés non sécurisés grâce à de nouvelles normes, les fabricants étant tenus de les respecter lors de la conception de leurs produits (hardware et software).
Le non-respect des normes de Security by design sera sanctionné d’une amende allant jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires annuel mondial total. La fourniture d’informations incorrectes, incomplètes ou trompeuses est passible d’une amende pouvant aller jusqu’à 5 millions d’euros et jusqu’à 1 % du chiffre d’affaires annuel mondial total.
Mais comme pour le RGPD, sans responsabilité pénale des dirigeants, le caractère dissuasif des sanctions risque d’être très limité, les entreprises high tech ayant depuis 40 ans intégrées le risque juridique et financier dans leurs modèles économiques.