Les cyberattaques visant les produits matériels et logiciels sont de plus en plus nombreuses et efficaces, ce qui devrait coûter à l'échelle mondiale 5,5 billions d'euros par an d'ici 2021, selon la Commission européenne. Cela est principalement dû, d'une part, au manque de sécurité de ces produits qui arrivent sur le marché avec des vulnérabilités inhérentes et, d'autre part, au manque de sensibilisation des consommateurs ou des entreprises qui adoptent ces produits en raison d'une transparence insuffisante des fabricants lorsqu'il s'agit d'exprimer leur niveau de sécurité.
C'est pourquoi, le 15 septembre 2022, la Commission européenne a publié la proposition de règlement de l'UE sur la cyber-résilience (CRA), nécessaire pour accroître le niveau de confiance des utilisateurs et l'attractivité des produits de l'UE comportant des éléments numériques tout en offrant une sécurité juridique.
La réglementation est très exhaustive et nous vous recommandons de la parcourir en détail. En attendant, voici les 8 principales choses que vous devez savoir sur la loi européenne sur la cyber-résilience que nous venons de sélectionner pour vous...
1- Suis-je concerné ?
Oui, si vous êtes un fabricant, un importateur ou un distributeur de produits connectés (matériel/logiciel) avec des éléments numériques (par exemple des capteurs intelligents, des caméras intelligentes, des appareils mobiles, des périphériques réseau, etc.). Tous les secteurs du marché sont concernés de manière horizontale, à l'exception des secteurs où d'autres réglementations de l'UE s'appliquent déjà, comme dans les domaines médical, de l'aviation civile et des véhicules à moteur. Notez qu'il peut également s'agir de logiciels non intégrés (logiciels pouvant être mis à disposition sans matériel). Par exemple, les services tels que les applications SaaS ne sont pas concernés.
dans le champ d'application du présent règlement, à moins que ces derniers ne soient utilisés pour traiter le produit à distance, sous la responsabilité du fabricant du produit, et dont l'absence empêcherait ce produit de remplir l'une de ses fonctions. Enfin, Free and
les logiciels open source fournis en dehors d’une activité commerciale ne devraient pas être couverts par ce règlement.
2- Quelles sont mes obligations ?
L’un des principaux objectifs de la CRA est de couvrir l’ensemble du cycle de vie des produits numériques. Votre première obligation serait donc de vous assurer qu’une liste d’exigences essentielles en matière de cybersécurité et de règles harmonisées a été prise en compte à toutes les étapes, y compris la phase de conception, la livraison,
utilisation réelle du produit, maintenance, mise hors service et élimination. La sécurité dès la conception, la sécurité par défaut, la sécurité de la chaîne d'approvisionnement et la gestion des vulnérabilités seront les principaux domaines à aborder. Deuxièmement, vous devez effectuer et documenter une évaluation des risques de sécurité et
fournir des conseils aux utilisateurs. Vous devez signaler les vulnérabilités activement exploitées et fournir des mises à jour de sécurité pendant au moins cinq ans. Si vous savez ou avez des raisons de croire que le produit ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de l'ARC, vous devez immédiatement prendre les mesures correctives nécessaires, retirer ou rappeler le produit selon le cas et en informer l'ENISA dans les 24 heures.
3- Comment dois-je démontrer ma conformité ?
La plupart des familles courantes de produits numériques appartiennent à la catégorie de risque non critique nécessitant une auto-évaluation de la conformité qui doit être effectuée sous votre responsabilité. Certains autres produits considérés comme appartenant à des catégories de risque plus élevées seront qualifiés de critiques (classe I) et pourraient nécessiter des exigences d'assurance supplémentaires à satisfaire en appliquant des normes harmonisées ou les systèmes de certification de cybersécurité de l'UE tels que l'EUCC ou l'EUCS et qui pourraient être sous votre responsabilité ou par l'intermédiaire d'un organisme d'évaluation de la conformité tiers. Certains autres produits hautement critiques (classe II) doivent toujours impliquer un organisme d'évaluation de la conformité tiers. Enfin, les produits certifiés selon les systèmes de certification de cybersécurité de l'UE tels que l'EUCC développés dans le cadre du CSA sont censés satisfaire par défaut aux exigences du Cyber Resilience Act de l'UE et peuvent fournir une présomption de conformité.
4- Comment cela s’articule-t-il avec les autres politiques de l’UE ?
La CRA complète la directive existante sur la sécurité des réseaux et des systèmes d'information (NIS2) et la loi européenne sur la cybersécurité (EU CSA). Elle s'appuie également sur le nouveau cadre législatif (NLF) pour les produits industriels, qui vise à améliorer la surveillance du marché et la qualité des évaluations de conformité. Elle devrait satisfaire aux exigences de cybersécurité de la directive sur les équipements radioélectriques (RED). Cela signifie que les normes de cybersécurité harmonisées liées à la RED (en cours d'élaboration) serviront très probablement de base aux exigences essentielles de la CRA de l'UE.
5- Quels sont les coûts potentiels par rapport aux bénéfices ?
On estime que les coûts de mise en conformité pour les entreprises seraient compensés par les avantages apportés par un niveau de sécurité plus élevé des produits, en évitant les exigences de sécurité divergentes et en augmentant la confiance des utilisateurs et l'adoption par le marché. Cela augmente également la compétitivité positive et les normes de qualité en uniformisant les conditions de concurrence. Cela réduirait le nombre d'incidents, les coûts de traitement des incidents et les atteintes à la réputation. Pour l'UE, cela signifie qu'environ 180 à 290 milliards d'euros de coûts consécutifs pourraient être évités. Enfin, le non-respect des exigences essentielles de cybersécurité de l'ARC et de toutes les obligations pertinentes sera passible d'amendes pouvant atteindre 15 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 2,5 % de son chiffre d'affaires annuel total pour l'exercice précédent, le montant le plus élevé étant retenu.
6- Quand sera-t-elle applicable ?
La proposition va maintenant passer au Parlement européen et au Conseil qui formeront leurs propres positions avant de se réunir pour les négociations en trilogue au troisième ou quatrième trimestre 2023. Ainsi, afin que toutes les parties prenantes (fabricants, distributeurs, importateurs, organismes d'évaluation de la conformité, États membres, ENISA, etc.) s'adaptent aux nouvelles exigences, le règlement CRA proposé deviendra applicable 24 mois (au plus tard au premier trimestre 2026) après son entrée en vigueur, à l'exception de l'obligation de déclaration des fabricants, qui s'appliquerait à partir de 12 mois (très probablement au premier trimestre 2025) après la date d'entrée en vigueur.
7- Comment reconnaître un produit conforme ?
Je suis sûr que vous connaissez tous le marquage CE que vous pouvez trouver sur tous les produits en circulation dans l'UE. Ce même marquage indiquera la conformité de tous les produits contenant des éléments numériques avec ce règlement. Seules les versions bêta à des fins de test pourraient être délivrées sans ce marquage, à condition qu'elles soient limitées dans le temps à des fins de test. Plus important encore, les importateurs de produits contenant des éléments numériques doivent s'assurer, en plus de vérifier le marquage CE, que les procédures d'évaluation appropriées ont été effectuées par le fabricant en fonction de l'évaluation des risques et que le fabricant a créé toute la documentation technique requise.
8- Oui, vous pouvez désigner un représentant autorisé
En effet, en tant que fabricant, vous pourriez mandater un mandataire externe qui pourrait vous décharger de la gestion de la déclaration de conformité UE et à des fins de surveillance du marché.
Enfin, il n’est pas trop tôt pour commencer à planifier en conséquence, adapter votre stratégie de produits numériques et choisir les bons partenaires spécialisés pour éviter de manquer l’opportunité d’accès au marché unique de l’UE.