Le 10 octobre 2024, le Conseil de l’Union européenne a adopté de nouvelles normes en matière de cybersécurité des produits incluant des éléments numériques.
À l’heure de l’augmentation croissante des cybermenaces, l’objectif du Cyber Resilience Act (règlement CRA) est d’harmoniser et renforcer le cadre préexistant en matière de cybersécurité, au moyen de nouveaux standards minimums pour les objets connectés.
Le règlement CRA définit un produit comportant des éléments numériques comme tout produit directement ou indirectement connecté à un autre dispositif ou à un réseau. Cette notion englobe aussi bien les éléments hardware quesoftware, y compris open source.
Le règlement s’applique à tous les objets connectés, à l’exception de certains produits régis par d’autres règlements tels que les dispositifs médicaux ou les dispositifs numériques de sécurité nationale[1].
Des obligations à chaque étape de la chaîne d’approvisionnement
- Obligations incombant au fabricant
Le règlement établit schématiquement deux séries d’exigences incombant aux fabricants de produits dotés d’éléments numériques[2].
En ce qui concerne les exigences relatives aux propriétés du produit, le fabricant doit :
– Réaliser une évaluation des risques du produit, documentée et mise à jour afin de minimiser le risque cyber dès le stade de développement puis au cours de la maintenance[3] ;
– Respecter les exigences essentielles de cybersécurité prévues à l’Annexe 1 du règlement et établir la déclaration UE de conformité pour en attester[4] ;
– Fournir aux utilisateurs des informations concernant (i) l’identification du produit (numéro de lot ou de série), (ii) les coordonnées du fabricant et (iii) la date de fin de la période d’assistance[5] ;
– Apposer sur le produit un marquage CE et un pictogramme ou tout autre marquage indiquant le risque cyber, afin de permettre aux utilisateurs de choisir le produit de façon éclairée[6].
Concernant la gestion des vulnérabilités, le fabricant doit :
– Corriger les vulnérabilités pendant une « période d’assistance » de 5 ans minimum à compter de la commercialisation du produit[7] ;
– Notifier toute vulnérabilité, dès sa connaissance, au centre de réponse aux incidents de sécurité informatique (CSIRT) concerné et à l’Agence européenne pour la cybersécurité (ENISA), d’abord sous forme d’alerte puis sous forme de rapport[8].
- Obligations incombant aux importateurs et distributeurs
Le règlement impose également des obligations aux importateurs d’objets connectés au sein de l’UE.
L’importateur est tenu de vérifier, avant la mise sur le marché, que le produit est conforme aux exigences essentielles de cybersécurité et que le fabricant a mis en place des processus de gestion des vulnérabilités suffisants. Pour ce faire, l’importateur doit obtenir du fabricant un ensemble de documents justifiant de sa compliance. L’importateur doit en outre indiquer ses coordonnées aux utilisateurs[9].
Concernant les distributeurs de produits connectés au sein de l’UE, le règlement leur impose de vérifier que le produit porte le marquage CE, et que le fabricant et l’importateur ont respecté certaines de leurs obligations au titre du règlement[10].
Importateurs et distributeurs sont par ailleurs tenus, en cas de possible non-conformité du produit d’un fabricant, d’en informer le fabricant et de notifier les autorités de surveillance du marché[11].
De nouvelles sanctions en cas de non-conformité aux exigences de cybersécurité
Les manquements au règlement sont sanctionnés par des amendes administratives[12] :
- Le non-respect des obligations incombant au fabricant peut faire l’objet d’une amende pouvant atteindre 15 000 000 d’euros ou 2,5% du chiffre d’affaires ;
- Le non-respect des obligations incombant aux importateurs et distributeurs, des règles relatives à la déclaration UE de conformité ou aux organismes d’évaluation, ainsi que l’entrave aux documents sont sanctionnés par une amende pouvant atteindre 10 000 000 euros ou 2% du chiffre d’affaires ;
- La fourniture d’informations inexactes aux organismes d’évaluation et autorités de surveillance est sanctionnée par une amende pouvant atteindre 5 000 000 d’euros ou 1% du chiffre d’affaires.
Le règlement précise que l’amende est fixée en considération de plusieurs critères casuistiques tels que la nature, la gravité et la durée du manquement, la taille de l’entreprise ou encore l’existence d’amendes antérieures pour un manquement similaire.
En outre, les produits jugés non conformes ou présentant un risque pourront faire l’objet de restrictions par l’autorité de surveillance, allant jusqu’au rappel du produit ou au retrait du marché.
Prochaines étapes et entrée en application
Le règlement entrera en vigueur 20 jours après sa publication au JOUE et s’appliquera 36 mois après son entrée en vigueur[13].
Certaines dispositions devront néanmoins s’appliquer antérieurement :
- Les règles concernant la notification à la Commission, par les États membres, des organismes d’évaluation de la conformité, s’appliqueront 18 mois à compter de l’entrée en vigueur du règlement ;
- Les obligations des fabricants en matière de communication d’informations au CSIRT et à l’ENISA s’appliqueront 21 mois à compter de l’entrée en vigueur du règlement.
Lire le règlement (UE) du Parlement européen et du Conseil concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques
[1] Règlement CRA, article 2.
[2] Règlement CRA, article 13, 14 et annexe I.
[3] Règlement CRA, article 13 §2 et 3.
[4] Règlement CRA, article 28.
[5] Règlement CRA, article 13 §15, 16 et 19.
[6] Règlement CRA, article 30.
[7] Règlement CRA, article 13 §8.
[8] Règlement CRA, article 14 : Des délais butoirs sont prévus pour que la notification réalisée par le fabricant soit régulière : alerte sous 24h après connaissance de la vulnérabilité ; rapport sur la nature de l’incident sous 72h ; rapport final sous 14 jours après la mise à disposition d’une mesure corrective.
[9] Règlement CRA, article 19 §4
[10] Règlement CRA, article 20 §2.
[11] Règlement CRA, article 19 §5 et article 20 §3.
[12] Règlement CRA, article 64 §2.
[13] Règlement CRA, article 71.
