Cyber Resilience Act

À compter du 11 décembre 2027, seuls les produits répondant aux exigences du Cyber Resilience Act (CRA) pourront être mis sur le marché dans l’Union européenne. Le CRA contient des exigences en matière de cybersécurité des produits comportant des éléments numériques.

Quelles sont les nouvelles exigences imposées par le Cyber Resilience Act ? Quels sont les produits concernés par le CRA ? Que doivent faire les entreprises ? Nous avons résumé pour vous les faits les plus importants.

Qu’est-ce que le Cyber Resilience Act ?

Le Cyber Resilience Act (CRA) est un règlement de l’Union européenne qui définit les exigences relatives aux produits comportant des éléments numériques en matière de cybersécurité industrielle. Une étude et un ajustement fondamentaux doivent être réalisés pour les produits concernés. Ceci est obligatoire sachant qu’à compter de décembre 2027, seuls les produits conformes au CRA pourront être mis sur le marché !

Quand est-ce que le Cyber Resilience Act entre en vigueur ?

Le CRA a été publié le 20 novembre 2024 au Journal officiel de l’Union européenne. Il est entré en vigueur le 10 décembre 2024 et est obligatoire dans l’Union européenne à compter du 11 décembre 2027. Toutefois, conformément au CRA, les obligations de signalement des fabricants concernant les vulnérabilités exploitées s’appliquent à compter du 11 septembre 2026.

Quelles sont précisément les exigences du CRA ?

Le CRA a pour objectif de mieux protéger les consommateurs et les entreprises contre les cyberattaques. Le CRA comprend à cet effet un grand nombre de prescriptions pour les fabricants, importateurs et distributeurs de produits comportant des éléments numériques capables de communiquer avec d’autres produits. Cela inclut les produits matériels et logiciels. Cela englobe l’ensemble du cycle de vie d’un produit, c’est-à-dire la conception, le développement, la fabrication, la livraison et la maintenance du produit ainsi que toute la période d’exploitation chez le client.

Le Cyber Resilience Act est-il un règlement ou une directive ?

Le Cyber Resilience Act est un règlement de l’Union européenne et s’applique donc dans tous les États membres sans être transposé dans le droit national.

Quels produits sont soumis au CRA ?

Le CRA concerne les composants, notamment les produits comportant des éléments numériques, pour lesquels un test de conformité est requis.

Le Cyber Resilience Act (CRA) s’applique à l’ensemble des produits qui comportent des composants numériques – notamment des logiciels ou des systèmes d’IA à haut risque – et qui sont connectés à des réseaux ou à d’autres appareils. Cela rend le champ d’application du CRA très complet et comprend, entre autres, les familles de produits suivantes :

• Matériel et logiciels industriels tels que les appareils IoT, les systèmes de commande programmables industriels (PLC) et les capteurs
• Solutions logicielles telles que les applications de bureau, internet et mobiles, ainsi que les systèmes d’exploitation
• Appareils intelligents destinés à un usage privé, tant matériel que logiciel

Ces produits sont répertoriés en différentes catégories en fonction de leur potentiel de risque. Les systèmes utilisés dans les infrastructures critiques, la production industrielle ou les secteurs énergétique et industriel en particulier font partie de classes de risque plus élevées. En ce qui concerne ces produits, les exigences relatives à la procédure d’évaluation de conformité évoluent car elles peuvent avoir des répercussions importantes sur la sécurité publique et la stabilité économique.

Que faut-il faire ? Quelles sont les exigences imposées aux entreprises ?

Un fabricant de produits comportant des éléments numériques doit se conformer aux exigences de cybersécurité du CRA. Les tâches qui en découlent impliquent la réalisation d’une analyse des risques ainsi que la définition et la mise en œuvre de mesures visant à réduire les risques éventuels. De même, la création et la tenue à jour d’une documentation sur l’évaluation du risque (et également sur les mesures mises en œuvre pour réduire les risques de cybersécurité), qui doit être conservée pendant au moins 10 ans, est obligatoire. La surveillance continue des vulnérabilités potentielles en matière de cybersécurité, la fourniture gratuite de mises à jour de sécurité pendant la durée de vie typique d’un produit (au moins 5 ans) et le signalement à l’ENISA dans les 24 heures des vulnérabilités de cybersécurité identifiées et, le cas échéant, aux autorités nationales sont également obligatoires.

Même les produits déjà conformes au CRA et non modifiés doivent encore être testés et évalués selon des règles compréhensibles. Les résultats du test seront documentés et devront être conservés pendant dix ans. De plus, une nomenclature logicielle doit être créée et il doit être démontré qu’elle a été développée et testée en toute sécurité conformément à la cybersécurité industrielle.

Que signifie la déclaration de conformité CE dans le cadre du CRA ?

La déclaration de conformité CE continue d’être délivrée par le fabricant et stipule que la conformité aux exigences fondamentales de cybersécurité a été démontrée. Pour les fabricants, cela signifie que le respect des exigences en matière d’évaluation du risque, de gestion des vulnérabilités et de documentation est vérifié par une évaluation de la conformité. Si toutes les exigences sont remplies, une déclaration de conformité est délivrée. 

Existe-t-il encore une déclaration de conformité CE valable pour toutes les législations de l’Union européenne ?

Lorsqu’un produit comportant des éléments numériques est soumis à plusieurs législations de l’Union européenne exigeant chacune une déclaration de conformité CE, une seule déclaration de conformité CE est délivrée pour toutes les législations. Cette déclaration précise les actes législatifs de l’Union européenne concernés, ainsi que leurs références au Journal officiel.

Combien de temps la déclaration de conformité CE doit-elle être disponible ?

Le fabricant établit une déclaration écrite de conformité pour chaque modèle de produit et la tient à la disposition des autorités nationales pendant dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance technique, la période la plus longue étant retenue. La déclaration de conformité doit indiquer pour quel modèle de produit elle a été délivrée. Un exemplaire de la déclaration de conformité doit être mise à la disposition des autorités compétentes sur demande.

Quelle est la différence entre le Cyber Resilience Act et la directive NIS 2 ?

• Le CRA contient des exigences fondamentales en matière de cybersécurité qui s’appliquent à la conception, le développement et la fabrication de produits comportant des éléments numériques, ainsi que les obligations de cybersécurité des acteurs économiques à l’égard de ces produits.
• La directive NIS 2 s’adresse aux entreprises et leur impose de mettre en œuvre des mesures organisationnelles et techniques pour réduire les risques de cybersécurité industrielle au sein de l’entreprise.
• Renforcement de la cybersécurité au sein de l’Union européenne : Les deux cadres réglementaires – le CRA et la directive NIS 2 – se complètent en abordant différents niveaux de cybersécurité : le CRA se concentre sur la sécurité des produits, tandis que la directive NIS 2 cible la sécurité des infrastructures et des services essentiels. Ensemble, ils apportent une contribution importante à l’amélioration globale de la cybersécurité au sein de l’Union européenne.

Pilz a déjà mis en place depuis quelques années son process de développement conformément à la norme CEI 62443-4-1. Cette norme définit, en tant que « norme fondamentale pour la cybersécurité industrielle », un développement de produits en toute sécurité, le « Security Development Lifecycle Process ». Le TÜV Süd a confirmé la conformité de nos process de développement au cours d’un audit. Pilz garantit non seulement la sécurité mais aussi la cybersécurité au niveau du développement des produits !

C’est important pour nos clients, car avec le règlement (UE) 2024/2847 – Cyber Resilience Act (CRA), un autre règlement relatif à la cybersécurité devra être appliqué de manière obligatoire en 2027, en plus du nouveau règlement machines (règlement (UE) 2023/1230).

Concrètement, cela signifie que les produits existants seront mis en conformité si nécessaire, de nouveaux produits seront développés en veillant à ce qu’ils soient conformes au CRA et la conformité (marquage CE) sera adaptée conformément aux prescriptions applicables. Les produits qui ne répondent plus aux spécifications seront soit retirés du marché, soit continueront d’être disponibles en tant que pièces de rechange. Dans ce dernier cas, ils ne pourront toutefois plus être utilisés dans les nouvelles installations.