Le règlement européen 2024/2847 valant Cyber Resilience Act (CRA) a été publié au Journal officiel de l'Union européenne le 20 novembre 2024. Un événement majeur pour la cybersécurité des produits numériques.
Le Conseil européen l’avait annoncé dès le 10 octobre 2024 : le Cyber Resilience Act (le CRA) a été publié sous la référence 2024/2847 au Journal Officiel de l’Union européenne. Il s’agit d’un règlement européen qui n’a pas à être transposé en droit national. Il entre en vigueur 20 jours après sa publication et sera applicable 36 mois après son entrée en vigueur.
Un texte qui vient compléter un dispositif déjà solide
Ce texte, annoncé en septembre 2021 par la présidente de la Commission européenne Ursula von der Leyen, vient compléter un dispositif comprenant déjà trois textes essentiels :
- la directive NIS 2016/1148 sur la cyber sécurité des réseaux et des systèmes d’information qui, transposée en droit français par le décret 2018-384 du 23 mai 2018, a donné naissance à la réglementation sur les opérateurs de services essentiels (OSE) ;
- le Cyber Security Act (règlement européen 2019/881) qui a élargi le mandat donné à l’ENISA, l’Agence de l’Union européenne pour la cybersécurité et a défini un cadre de certification européen de cybersécurité pour harmoniser à l’échelle européenne les méthodes d’évaluation des produits et services ;
- la directive NIS 2 2022/2555, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union et renforçant la directive NIS 2016/1148 qu’elle abroge. Cette directive est en instance ;de transposition en droit français. Elle étend le périmètre défini par NIS en matière de réglementation cyber et amène les Etats membres à renforcer leur coopération en matière de gestion de crise cyber.
Qu’apporte le Cyber Resilience Act (CRA) ? Un marquage CE pour le produits numériques.
Le CRA fixe des exigences de cybersécurité pour les produits comportant des éléments numériques en vue de garantir que les produits mis sur le marché, tels que les caméras domestiques connectées, les réfrigérateurs, les téléviseurs et les jouets, sont sûrs. Le nouveau règlement vise à combler les lacunes, à clarifier les liens et à rendre le cadre législatif existant en matière de cybersécurité plus cohérent, en veillant à ce que les produits comportant des composants numériques, par exemple les produits de l'Internet des objets (IoT), soient sécurisés tout au long de la chaîne d'approvisionnement et tout au long de leur cycle de vie.
La nouvelle loi introduit des exigences de cybersécurité à l'échelle de l'UE pour la conception, le développement, la production et la mise à disposition sur le marché de produits matériels et logiciels, afin d’harmoniser les exigences découlant des différentes législations des États membres de l'UE. Par exemple, les produits logiciels et matériels porteront le marquage CE pour indiquer qu'ils sont conformes aux exigences du règlement. Les lettres « CE » apparaissent déjà sur de nombreux produits commercialisés sur le marché unique élargi de l'Espace économique européen (EEE). Elles signifient que les produits vendus dans l'EEE ont été évalués pour répondre à des exigences élevées en matière de sécurité, de santé et de protection de l'environnement.
Le règlement s'appliquera à tous les produits connectés directement ou indirectement à un autre appareil ou à un réseau. Quelques exceptions sont prévues pour les produits pour lesquels des exigences de cybersécurité sont déjà définies dans les règles européennes existantes, par exemple les dispositifs médicaux, les produits aéronautiques et les voitures.
Enfin, le nouveau règlement permettra aux consommateurs de prendre en compte la cybersécurité lors de la sélection et de l’utilisation de produits contenant des éléments numériques, ce qui leur permettra d’identifier plus facilement les produits matériels et logiciels dotés des fonctionnalités de cybersécurité appropriées.
Quel impact pour les fournisseurs de produits et les donneurs d’ordre ?
Le CRA revêt bien évidemment une importance essentielle. Les produits comportant des éléments numériques devront dans trois ans être labellisés CE. Les fournisseurs doivent s’y préparer :
- concevoir leurs produits et les faire évaluer soit par un tiers, soit par auto-évaluation ;
- préparer une documentation technique appropriée ;
- émettre la déclaration de conformité ;
- préparer les documents d’information et les manuels d’utilisation.
Les exigences à satisfaire dépendent de la catégorie dont relèvent les produits. L’annexe III du CRA liste les produits considérés comme « Importants » en distinguant deux classes. Par exemple, les pare-feu et les systèmes de prévention et de détection d’intrusion sont classés dans la catégorie « Importants » de classe II.
L’annexe IV liste les produits considérés comme « critiques ». On y trouve tous les dispositifs relevant de la sécurité avancée : secure elements et systèmes de chiffrement notamment.
Le CRA ne concerne pas seulement les produits grand public. Le produits relevant des OT (Operational technology) sont aussi concernés. Trois ans de préparation ne seront pas de trop pour se mettre en règle avec ce nouveau règlement.
Restez à l’écoute : Automation-Hub vous proposera bientôt un webinaire sur le CRA.
Jean-Pierre Hauet
Président d’Automation-Hub
Comments