Partager l'article
Le 20 novembre 2024, le Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 relatif aux exigences horizontales de cybersécurité applicables aux produits comportant des éléments numériques, appelé Cyberrésilience Act (en abrégé CRA), a été publié au Journal officiel de l'UE. Cette réglementation vise à garantir qu'un grand nombre de produits, tels que les caméras domestiques connectées, les réfrigérateurs, les téléviseurs, les jouets et même les machines, soient sûrs avant d'être mis sur le marché.
Le nouveau Règlement vise à combler les lacunes, à clarifier les liens et à rendre le cadre juridique existant en matière de cybersécurité plus cohérent afin de garantir que les produits comportant des composants numériques, tels que les produits de l'Internet des objets (IdO), soient sûrs tout au long de la chaîne d'approvisionnement et du cycle de vie.
Note : Cet article spécialisé est mis à jour en permanence. Ne manquez pas les mises à jour importantes et abonnez-vous dès maintenant à notre newsletter gratuite ou suivez-nous sur LinkedIn!
S'inscrire à la newsletter
Suivre IBF sur LinkedIn
Contexte
Au vu de la situation actuelle en matière de sécurité, et notamment de la guerre en Ukraine, on pouvait s'attendre à ce que l'augmentation de la résilience aux cyber-attaques en Europe soit une priorité politique et soit donc poursuivie avec vigueur.
Le 1.12.2023, le Parlement européen et le Conseil sont parvenus à un accord sur le règlement sur la cyberrésilience proposé par la Commission en septembre 2022. Celle-ci conserve les grandes lignes de la proposition précédente de la Commission, mais les colégislateurs proposent des adaptations dans certains domaines. Ceux-ci comprennent par exemple le souhait d'une méthodologie plus simple pour la classification des produits numériques couverts par le Règlement, une définition de la durée de vie des produits par les fabricants ou une obligation de notification des vulnérabilités et incidents activement exploités.
Le 12.3.2024, le Parlement européen a adopté le texte de compromis, suivi le 10.10 par l'approbation du Conseil. Le 20.11.2024, la version finale a finalement été publiée au Journal officiel de l'UE. 20 jours après cette publication, il entrera en vigueur et sera directement applicable dans chaque État membre de l'UE à partir du 11.12.2027.
Quand le règlement sur la cyberrésilience sera-t-il publié ?
Le 20.11.2024, le règlement sur la cyberrésilience, la nouvelle loi sur les exigences de cybersécurité pour les produits contenant des éléments numériques, a été publié au Journal officiel de l'UE.
A partir de quand le règlement sur la cyberrésilience doit-il être appliqué ?
Le nouveau Règlement entrera en vigueur vingt jours après sa publication au Journal officiel de l'UE (10 décembre 2024) et sera directement applicable dans chaque État membre de l'UE 36 mois après cette entrée en vigueur, à savoir à partir du 11 décembre 2027.
Certaines dispositions s'appliqueront plus tôt :
Quels sont les considérants de la Commission européenne concernant le règlement sur la cyberrésilience ?
Toutes les 11 secondes, une attaque de pirates informatiques a lieu. Il en résulte des coûts de plus de 5 billions d'euros. C'est ce qu'écrit la Commission européenne dans sa stratégie de cybersécurité, soulignant ainsi la nécessité de garantir un niveau de cybersécurité plus élevé à l'avenir. L'objectif est que les exigences définies soient intégrées en permanence dans l'ensemble de la chaîne d'approvisionnement. Le nouveau Cyber Resilience Act vise à garantir que les produits numériques deviennent plus sûrs pour les particuliers et les entreprises. Les fabricants de ces produits, qu'il s'agisse de matériel ou de logiciels, seront tenus de corriger les vulnérabilités par le biais de mises à jour logicielles et d'informer l'utilisateur final de leurs produits des risques potentiels en matière de cybersécurité. En outre, le projet de règlement définit des exigences pour le développement de logiciels et souligne ainsi également la « sécurité dès la conception » exigée par la loi sur la cybersécurité déjà en vigueur.
Quels sont les objectifs du règlement sur la cyberrésilience ?
La législation sur la cybersécurité présentée par la Commission européenne a pour objectif général de mettre sur le marché intérieur des produits matériels et logiciels plus sûrs. La Commission concrétise les objectifs de l'acte législatif sous la forme de 4 mesures :
Que peut-on dire du champ d'application du règlement sur la cyberrésilience ?
La lecture du champ d'application du Règlement permet de constater que ce domaine est très large :
"Le présent règlement s'applique aux produits comportant des éléments numériques mis à disposition sur le marché dont l'utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou à un réseau."
En définissant vaguement les "éléments numériques", le Règlement couvre donc aussi bien le matériel, comme les machines et les appareils IoT, que les produits purement logiciels.
Le champ d'application mentionne également des exceptions, par exemple les dispositifs médicaux visés par le Règlement (UE) 2017/745 n'entrent pas dans le champ d'application de l'acte juridique prévu.
L'acte juridique règle également la future interaction avec le règlement délégué 2022/30, qui exige déjà exigences de sécurité pour les équipements connectés à Internet au sens de la équipements radioélectriques 2014/53/UE. Bruxelles a ainsi annoncé que, pour éviter les chevauchements, le Règlement 2022/30 serait soit abrogé, soit simplement complété.
Le règlement sur la cyberrésilience exige-t-il une procédure d'évaluation de la conformité et une "Appréciation du risque cyber" ?
A l'instar des textes législatifs européens précédents (p. ex. la directive sur les machines ou la directive sur la basse tension), le Cyber Resiliance Act prévoit également une procédure d'évaluation de la conformité.
L'Appréciation du risque cybernétique constitue le cœur de la procédure. Ainsi, le projet prévoit à l'article 13, paragraphe 2 :
" (...) les fabricants procèdent à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques et tiennent compte des résultats de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit comportant des éléments numériques, en vue de réduire au minimum les risques de cybersécurité, de prévenir les incidents et d'en réduire au minimum leurs répercussions, y compris en ce qui concerne la santé et la sécurité des utilisateurs."
Selon la criticité des produits, la procédure d'évaluation de la conformité distingue entre une autocertification et deux procédures nécessitant l'intervention d'organismes notifiés. Pour plus de détails, voir Factsheet sur la Cyber Resiliance Act (en anglais).
Les dispositions de l'annexe VII, paragraphe 2, du Règlement sont à notre avis particulièrement remarquables pour les fabricants. Le document cite ici différents aspects (conception, développement, production, analyse des vulnérabilités) comme contenus de la documentation technique. Cela signifie que dans le processus de développement logiciel, les décisions d'architecture logicielle ainsi que les décisions relatives au processus de développement et de construction devront être documentées à l'avenir - si l'on en croit la Commission européenne. Cela signifie bien entendu un effort de documentation accru pour les entreprises. Le développement technologique rapide des outils de développement de logiciels (par exemple pour les processus de construction) placera certainement les entreprises devant des défis organisationnels maîtrisables, mais non négligeables.
Le contenu en texte intégral :
"CONTENU DE LA DOCUMENTATION TECHNIQUE
(...)
une description de la conception, du développement et de la fabrication du produit comportant des éléments numériques et des processus de gestion des vulnérabilités, y compris:
(a) les informations nécessaires sur la conception et le développement du produit comportant des éléments numériques, y compris, le cas échéant, des dessins et des schémas et/ou une description de l'architecture du système expliquant comment les composants logiciels s'appuient les uns sur les autres ou s'alimentent et s'intègrent dans le traitement global;
(b) les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d'une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour;
(c) les informations et spécifications nécessaires concernant les processus de production et de suivi du produit comportant des éléments numériques et la validation de ces processus;"
Que signifient les exigences du règlement sur la cyberrésilience pour les fabricants ?
L'Office fédéral allemand de la sécurité dans la technologie de l'information (BSI) propose, avec la publication de la directive technique TR-03183, une aide à l'identification des exigences du CRA pour les fabricants. Pour en savoir plus, consultez notre article technique "Directive technique sur les exigences de cyber-résilience" (en anglais).
Quand y aura-t-il des normes harmonisées concernant le règlement sur la cyberrésilience ?
Dans les mois à venir, la Commission invitera les organismes européens de normalisation, le CEN et le CENELEC, à « élaborer des normes harmonisées pour les exigences essentielles en matière de cybersécurité énoncées à l'annexe I du présent règlement » Dans le cadre d'un tel mandat de normalisation, la Commission s'efforcera de tenir compte des normes européennes et internationales existantes dans le domaine de la cybersécurité qui ont déjà été publiées ou sont en cours d'élaboration. Jusqu'à présent, un tel mandat de normalisation sur le CRA n'est disponible que sous forme de projet de document, on s'attend à ce que le « Stadardisation Request » officiel soit publié peu de temps après la publication du Cyber Resilience Act.
Voici quelques exemples de normes et de spécifications qui pourraient être harmonisées pour répondre aux exigences du CRA:
Au même titre que nouveau règlement machines (UE) 2023/1230, en l'absence de normes harmonisées pour les exigences de cybersécurité de l'annexe I, la Commission peut adopter des actes d'exécution établissant des spécifications communes pour les exigences techniques. Le législateur laisse cette option ouverte si les normes souhaitées ne sont pas fournies dans le délai fixé, si le mandat de normalisation n'a pas été accepté ou si le contenu des documents ne correspond pas au mandat.
Pour les fabricants de machines en particulier, les documents suivants constituent une source d'information précieuse :
Comment distinguer le règlement sur la cyberrésilience d'autres dispositions cybernétiques telles que NIS-2 ?
Die NIS-2-Richtlinie gilt für Netzwerk- und Informationssysteme, die zur Bereitstellung wesentlicher und wichtiger Dienste in Schlüsselsektoren verwendet werden. So schreibt die Vorschrift Organisationen (=Betreibern) aus verschiedenen Sektoren vor sicherzustellen, dass die Netzwerke und Systeme, die sie zur Erbringung von Dienstleistungen und zur Durchführung ihrer Tätigkeiten nutzen, ein höheres Maß an Cybersicherheit erreichen. Welche Unternehmen davon direkt (als Betreiber) betroffen sind und welche Anforderungen bzw. Sanktionen die Richtlinie vorsieht haben wir im Fachbeitrag NIS-2-Richtlinie im Maschinenbau erläutert.
Der Cyber Resilience Act dagegen legt Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest, die von Unternehmen (=Herstellern) in der EU auf den Markt gebracht werden. Für Produkte, die in den Geltungsbereich des CRA fallen, müssen Hersteller Sicherheitsbewertungen durchführen, Verfahren zur Behandlung von Schwachstellen einführen und den Benutzern die erforderlichen Informationen zur Verfügung stellen.
Le 10 octobre 2024, la version corrigée du règlement sur la cyberrésilience a été adoptée. Pour accéder au texte intégral du projet final, cliquez sur le lien suivant :
Règlement sur la cyberrésilience du 20.11.2024
Rédigé le : 20.11.2024 (Dernière mise à jour)
Johannes Windeler-Frick, MSc ETH Membre de la direction d'IBF. Spécialiste du marquage CE et de Safexpert. Conférences, podcasts et publications sur différents thèmes CE, notamment l'organisation CE et la gestion CE efficace. Direction du développement du système logiciel Safexpert. Études d'électrotechnique à l'EPF de Zurich (MSc) avec spécialisation en technique énergétique et approfondissement dans le domaine des machines-outils.
E-Mail : johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc Chef de produit chez IBF pour les produits supplémentaires ainsi que gestionnaire de données pour l'actualisation des données normatives sur le Safexpert Live Server. Études d'économie à Passau (BSc) et à Stuttgart (MSc), spécialisation en commerce international et en économie.
E-Mail : daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Vous n'êtes pas encore inscrit à l'InfoService CE gratuit ? Inscrivez-vous dès maintenant et recevez les informations par e-mail lorsque de nouveaux articles spécialisés, d'importantes publications de normes ou d'autres actualités dans le domaine de la sécurité des machines et des appareils électriques ou de la conformité des produits sont disponibles. (Le CE-InfoService n'est actuellement disponible qu'en allemand et en anglais.)
S'inscrire
Logiciel CE pour une ingénierie de sécurité systématique et professionnelle
Séminaires pratiques sur le thème de la sécurité des produits
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit