Le 10 octobre 2024, le Conseil de l'Union européenne a adopté le Cyber Resilience Act (CRA). Selon les nouvelles règles du CRA, des exigences de cybersécurité obligatoires s'appliqueront pour la première fois à tous les appareils connectés. Cela concerne par exemple les machines à café commandées par application, les montres intelligentes ou les babyphones intelligents. Jusqu'à présent, de telles exigences de sécurité informatique n'existaient que pour certaines catégories de produits. Les entreprises ne devraient pas en sous-estimer les conséquences.
C'est là qu'intervient le Cyber Resilience Act
Le CRA stipule que tous les produits connectés devront à l'avenir porter le marquage CE. Le marquage CE signale à l'extérieur que le produit en réseau garantit une protection suffisante contre les cybermenaces. Les consommateurs peuvent ainsi voir en un coup d'œil que le produit a également été testé du point de vue de la cybersécurité.
"L'objectif est d'éviter les exigences qui se chevauchent en raison de législations différentes dans les États membres de l'UE", indique le Conseil dans sa communication.
Le règlement s'applique à tous les produits qui sont directement ou indirectement connectés à un autre appareil ou à un réseau. Il y a quelques exceptions pour les produits pour lesquels des exigences de cybersécurité sont déjà définies dans la législation européenne existante, par exemple les dispositifs médicaux, les équipements aéronautiques et les véhicules à moteur.
Les nouvelles règles imposent des obligations à tous les acteurs économiques concernés. Cela concerne les fabricants, les importateurs et les distributeurs. Ils devront à l'avenir s'assurer que les produits qu'ils commercialisent répondent aux exigences de cybersécurité et qu'ils portent le marquage CE. En outre, les fabricants devront à l'avenir signaler les vulnérabilités informatiques et les cyberincidents à un point de notification central et proposer régulièrement des mises à jour de sécurité.
Conseil de lecture : La directive NIS 2 entre bientôt en vigueur - ces entreprises sont concernées
Les conséquences du Cyber Resilience Act pour les entreprises
- Des exigences de sécurité plus strictes pour les produits
Les entreprises qui fabriquent ou distribuent des produits comportant des composants numériques doivent s'assurer que leurs produits sont conformes aux exigences de l'ARC. Cela vaut aussi bien pour le matériel que pour les logiciels.
- Approche "sécurité par la conception" : les produits doivent être conçus dès le départ de manière à minimiser les risques de sécurité. Cela signifie que les entreprises doivent investir davantage dans la recherche et le développement afin de s'assurer que les fonctions de sécurité sont intégrées dans les produits.
- Mises à jour et maintenance régulières : les fabricants sont tenus de fournir des mises à jour de sécurité sur une période donnée afin de corriger les vulnérabilités. Cela peut entraîner des coûts plus élevés et une responsabilité plus longue pour la maintenance des produits. - Responsabilité et sanctions renforcées
L'un des principaux effets du Cyber Resilience Act est l'introduction de règles de responsabilité plus strictes pour les fabricants et les fournisseurs. Les entreprises qui ne respectent pas les exigences de sécurité du CRA s'exposent à des sanctions importantes.
- Amendes : les entreprises qui ne respectent pas les règles peuvent se voir infliger de lourdes amendes. Cette approche est similaire à celle du règlement général sur la protection des données (RGPD), où les infractions peuvent être sanctionnées par de lourdes amendes.
- Conséquences juridiques pour les produits non sécurisés : Si des produits causent des dommages en raison de défauts de cybersécurité, les entreprises peuvent être tenues pour responsables. Cela pourrait conduire à une vague d'actions en responsabilité du fait des produits.
- Obligations de documentation étendues
Les entreprises doivent conserver une documentation technique complète et des preuves de la manière dont elles répondent aux exigences de cybersécurité. Cette documentation doit être mise à la disposition des autorités de contrôle.
- Déclarations de conformité : Les entreprises doivent fournir une déclaration de conformité de l'UE indiquant que le produit est conforme aux normes de sécurité.
- Documentation technique : les entreprises sont tenues de tenir une documentation technique indiquant le respect des exigences de sécurité et les mesures prises pour réduire les risques.
- Impact sur les chaînes d'approvisionnement et les fournisseurs tiers
Comme les entreprises dépendent de plus en plus de chaînes d'approvisionnement mondiales et de fournisseurs tiers, elles doivent s'assurer que ces partenaires respectent également les exigences de l'ARC.
- Fournisseurs et prestataires de services : les entreprises doivent s'assurer que tous les fournisseurs et prestataires de services impliqués dans la fabrication ou la fourniture d'un produit respectent également les exigences de sécurité.
- Gestion des risques de sécurité : les entreprises doivent mettre en œuvre un système complet de gestion des risques de sécurité, qui couvre également les risques liés à la chaîne d'approvisionnement et aux fournisseurs tiers.
- Vérification et certification des produits
L'ARC devrait également introduire des exigences en matière de test et de certification des produits informatiques. Cela signifie que les entreprises devront soumettre leurs produits à des tests de sécurité indépendants avant de les mettre sur le marché.
- Certifications : Les entreprises peuvent être amenées à faire certifier leurs produits afin de confirmer qu'ils répondent aux exigences de sécurité en vigueur. Cela peut représenter une charge financière supplémentaire, en particulier pour les petites entreprises.
- des audits réalisés par des tiers : Dans certains cas, des contrôles et des audits indépendants peuvent être nécessaires pour garantir le respect des exigences de l'ARC.
- Impact international
– Les entreprises qui commercialisent leurs produits à l'échelle internationale doivent s'assurer qu'elles respectent les exigences de l'ARC non seulement au sein de l'UE, mais aussi dans le monde entier. Cela pourrait amener les entreprises mondiales à adapter leurs normes de cybersécurité aux règles strictes de l'UE.
- Conformité globale : les entreprises peuvent avoir besoin de repenser leurs stratégies de conformité globale afin de s'assurer qu'elles respectent à la fois l'ARC et les autres exigences internationales en matière de cybersécurité.
Cyber Resilience Act avec période de transition de trois ans
Après son adoption par le Conseil européen, l'acte sera signé par le président du Conseil et la présidente du Parlement européen dans les semaines à venir, puis publié au Journal officiel de l'UE. Le nouveau règlement entrera en vigueur 20 jours après cette publication.
Une période de transition de trois ans est prévue pour le Cyber Resilience Act. Au plus tard à cette date, les produits commercialisés devront satisfaire aux nouvelles exigences en matière de cybersécurité et le documenter par un marquage CE. D'autres obligations du CRA, comme par exemple l'obligation pour les fabricants de signaler les failles informatiques exploitées, s'appliqueront déjà dans 21 mois.
Résumé : Le Cyber Resilience Act aura un impact considérable sur les entreprises en introduisant des exigences de sécurité plus strictes et des responsabilités accrues. Alors que la conformité au CRA entraînera des coûts et des efforts supplémentaires pour de nombreuses entreprises, le règlement offre également des opportunités aux entreprises qui investissent dans la cybersécurité et qui anticipent le changement. À long terme, le CRA contribuera à rendre le marché européen des produits numériques plus sûr et plus résistant aux cybermenaces.
French 
German 
English 
Italian