ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

Cyber Resilience Act : le sidekick de la directive NIS 2 arrive

Avec le Cyber Resilience Act (CRA), l'UE veut protéger les entreprises et les consommateurs, qui utilisent notamment des produits connectés, contre ces dangers.
Catégories :

Dans un monde de plus en plus numérisé, les cyber-attaques et les fuites de données représentent un danger toujours plus grand. Avec le Cyber Resilience Act (CRA), l'UE veut protéger les entreprises et les consommateurs, qui utilisent notamment des produits connectés, contre ces dangers. Aperçu des principaux contenus du CRA.

Objectif de la loi sur la cyber-résilience

Dans le monde numérique actuel, les produits dotés de composants numériques sont omniprésents, du babyphone à la montre intelligente. Ces produits présentent toutefois des risques de sécurité considérables, qui ne sont souvent pas immédiatement perceptibles. En effet, les appareils connectés d'une manière ou d'une autre à Internet peuvent présenter des vulnérabilités qui sont exploitées par les cybercriminels. Ces vulnérabilités ne concernent pas seulement les systèmes informatiques classiques, mais aussi, de plus en plus, les appareils de l'Internet des objets (Internet of Things, IoT) utilisés dans les ménages, les entreprises et même les infrastructures critiques comme l'approvisionnement en énergie ou les soins de santé.

Le Cyber Resilience Act a été élaboré pour mieux répondre à ces défis. L'objectif principal de cette loi est de garantir que les produits contenant des éléments numériques soient conçus, développés et exploités de manière sûre tout au long de leur cycle de vie. Cela doit permettre non seulement d'améliorer la sécurité des utilisateurs, mais aussi de renforcer la confiance dans les produits et services numériques.

Principaux éléments du Cyber Resilience Act

Le Cyber Resilience Act définit une série d'exigences auxquelles les fabricants, importateurs et distributeurs de produits numériques doivent se conformer. Ces exigences comprennent des mesures à la fois techniques et organisationnelles visant à garantir que les produits sont résistants aux cybermenaces.

  1. exigences de sécurité tout au long du cycle de vie :
    Les fabricants doivent s'assurer que leurs produits sont développés de manière sûre et qu'ils le restent tout au long de leur cycle de vie. Cela implique des mises à jour régulières des logiciels et des correctifs de sécurité pendant leur durée de vie prévue afin de réagir aux nouvelles vulnérabilités découvertes.
  2. Transparence et obligations d'information :
    Les entreprises doivent fournir des informations détaillées sur les caractéristiques de sécurité de leurs produits. Cela inclut la divulgation des failles de sécurité et des mesures prises pour y remédier. Les utilisateurs doivent être informés des risques potentiels et des pratiques de sécurité du fabricant.
  3. Évaluations de la sécurité et certifications :
    Le CRA prévoit que certains produits doivent faire l'objet d'évaluations de sécurité rigoureuses avant d'être mis sur le marché. Le règlement définit les conditions d'accès au marché intérieur de l'UE et élargit ainsi son champ d'application. Si le CRA entre en vigueur, le marquage CE déjà connu ne sera pour la première fois plus seulement synonyme de Safety, c'est-à-dire de sécurité d'exploitation, mais aussi de Security, c'est-à-dire de sécurité de l'information.
  4. Sanctions sévères en cas de non-respect :
    Afin de garantir la conformité, le Cyber Resilience Act prévoit de lourdes sanctions pour les entreprises qui ne respectent pas les exigences de sécurité. En cas de non-respect, la mise à disposition d'un produit sur le marché peut être interdite ou limitée. L'autorité de surveillance compétente peut ordonner que le produit soit retiré du marché ou rappelé. En outre, des amendes sont fixées, qui doivent être prévues dans la législation nationale en cas de non-conformité. L'objectif est d'inciter les entreprises à investir dans la sécurité de leurs produits et à veiller à ce qu'ils répondent aux normes de sécurité les plus récentes.

Impact de l'ARC sur les entreprises et les consommateurs

Le Cyber Resilience Act aura un impact considérable sur les entreprises qui fabriquent, importent ou distribuent des produits contenant des composants numériques. Ces entreprises doivent s'assurer qu'elles disposent des ressources techniques et organisationnelles nécessaires pour répondre aux nouvelles exigences. Cela peut nécessiter des investissements supplémentaires dans la recherche et le développement ainsi que dans les infrastructures de sécurité.

Pour les consommateurs, le Cyber Resilience Act est synonyme de sécurité et de transparence accrues. Ils peuvent avoir confiance dans le fait que les produits qu'ils achètent répondent à des exigences de sécurité strictes et que les vulnérabilités sont rapidement corrigées. Cela devrait renforcer la confiance dans les produits numériques et pourrait également donner un avantage concurrentiel aux entreprises qui proposent des produits particulièrement sûrs.

Conseil de lien : Loi sur la cyber-résilience, telle que modifiée

CRA et directive NIS-2

Comme le souligne la Commission européenne, le Cyber Resilience Act doit compléter la directive NIS-2. La directive NIS-2 établit des exigences en matière de cybersécurité. Il s'agit notamment de mesures de sécurité dans la chaîne d'approvisionnement, et d'obligations de notification des incidents de sécurité pour les installations essentielles et critiques afin d'accroître la résilience des services qu'elles fournissent.

La Commission espère qu'un niveau de cybersécurité plus élevé des produits contenant des éléments numériques facilitera également le respect des règles par les entités relevant du champ d'application de la directive NIS 2 et renforcera la sécurité de l'ensemble de la chaîne d'approvisionnement.

Conseil de lecture : Mise en œuvre de la directive NIS-2 dans l'UE - état des lieux

Le Cyber Resilience Act a été adopté par le Parlement européen en mars 2024 et devrait entrer en vigueur au second semestre 2024 après approbation du Conseil. Les fabricants auront alors jusqu'en 2027 pour mettre des produits conformes sur le marché de l'UE.

Les tags :
Partager ce post :
fr_FRFrench