03
12 2024
Le Cyber-résilience Act : quelles sont les nouvelles règles applicables aux produits comportant des éléments numériques ?
1. Le contexte ayant mené à l’adoption du Cyber-résilience Act (« CRA »)
En 2021, le coût annuel mondial de la cybersécurité s’élevait à 5 500 milliards de dollars, un montant considérable qui témoigne du nombre croissant de cyberattaques ces dernières années. Les produits matériels et logiciels ne sont pas épargnés par ces cyberattaques. Un exemple notable est le rançongiciel WannaCry, qui a touché 200 000 ordinateurs dans 150 pays et causé des dommages s’élevant à plusieurs milliards de dollars.
Dans ce cadre, l’Union européenne a recensé deux problèmes majeurs concernant les produits matériels et logiciels :
- D’une part, la sécurité des logiciels est faible comme en témoigne les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées pour y remédier ;
- D’autre part, les utilisateurs ne disposent bien souvent pas d’informations suffisantes sur ce sujet, les empêchant de choisir des produits matériels et logiciels présentant un niveau de cybersécurité adéquat.
Ce sont ces deux constats qui ont poussés les institutions européennes à adopter le 23 octobre 2024 le règlement (UE) 2024/2847 concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques, dit « Cyber-résilience Act » (CRA).
Ce texte s’inscrit dans un contexte global d’accroissement des textes européens visant à réguler les problématiques en lien avec la cybersécurité. En effet, l’union européenne a déjà adopté de nombreux textes visant à couvrir les aspects de la cybersécurité sous différents angles : En 2016, la directive NIS est adoptée et constitue le premier acte législatif adoptée à l’échelle de l’UE en matière de cybersécurité. Elle fut ensuite révisée en 2022 par la directive NIS 2 visant à assurer un niveau élevé de cybersécurité des services fournis par des entités essentielles et importantes.Le règlement de l’Union sur la cybersécurité, entré en vigueur en 2019, vise quant à lui à renforcer la sécurité des produits, services et processus TIC en introduisant un cadre européen volontaire de certification en matière de cybersécurité.
Toutefois, le droit existant de l’Union relatif à la cybersécurité ne couvrait pas directement les exigences contraignantes en matière de sécurité des produits contenant des éléments numériques. Le règlement sur la cyber-résilience permet ainsi à l’UE de compléter son arsenal législatif en la matière afin de traiter tous les aspects de la cybersécurité.
2. Les objectifs du Cyber-résilience Act
Le cyber-résilience act vise à améliorer la sécurité des produits matériels et numériques. Concrètement, ces produits devront répondre à des exigences de sécurité strictes dès leur conception et tout au long de leur cycle de vie. Ce renforcement devra permettre de diminuer le risque de cyberattaques et de faire de la cybersécurité un critère de choix pour les utilisateurs.
Le cyber-résilience act a également pour objectif de créer un marché ouvert et concurrentiel, en uniformisant les exigences en matière de cybersécurité au sein de l’Union Européenne. En effet, les produits matériels et logiciels sont transfrontières car ils sont fabriqués dans un pays mais ils sont utilisés dans tous les pays de l’UE. L’objectif est donc d’éviter la fragmentation des législations et d’assurer un cadre clair et cohérent.
3. Les produits concernés par le CRA
Le cyber-résilience act s’applique à la mise sur le marché de « produits comportant des éléments numériques », c’est-à-dire à « tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels destinées à être mis sur le marché séparément » (Article 3 : Définitions).
En revanche, il ne s’appliquera pas pour les produits déjà couverts par des règles de cybersécurité spécifiques, comme les dispositifs médicaux, les produits aéronautiques ou encore les véhicules automatisés.
4. Les acteurs concernés par le CRA
Tous les opérateurs économiques impliqués dans la mise sur le marché et le cycle de vie des produits comportant des éléments numériques sont concernés et se verront imposés des obligations spécifiques par le règlement. Ces obligations concernent trois acteurs économiques distincts :
- Le fabricant, c’est-à-dire la personne qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit ;
- L’importateur, établie dans l’Union et qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union ;
- Le distributeur qui, faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés ;
5. Les exigences prévues par le texte
Les exigences posées par le règlement sont nombreuses et varient en fonction de l’acteur concerné et de la criticité du produit.
- Le texte prévoit tout d’abord des exigences générales aux produits comportant des éléments numériques. Parmi les normes imposées, les produits numériques devront être conçus, développés et fabriqués de manière à garantir un niveau de cybersécurité approprié en fonction des risques. Les produits devront être livrés sans vulnérabilités connues, être maintenus correctement et garantir que ces vulnérabilités seront traitées par des mises à jour de sécurité régulières. Ils devront également prévoir la protection des données à caractère personnel, tels que la minimisation des données (Article 6).
- Le règlement établit également une distinction entre les « produits importants » et les « produits critiques » comportant des éléments numériques (Article 7 et 8). Ce sont des produits qui comportent des risques néfastes susceptibles de porter atteinte à la sécurité, à la santé ou à la sûreté des utilisateurs et qui pourraient perturber gravement le fonctionnement du marché intérieur.
Ces produits présentant une criticité plus importante devront respecter des procédures d’évaluation de la conformité renforcées et plus contraignantes. Tandis que les produits importants devront suivre une procédure d’évaluation de la conformité par un organisme certifié, les produits critiques devront faire l’objet d’un schéma européen de certification de cybersécurité (Article 32).
Les fabricants, importateurs et distributeurs devront également répondre à des obligations spécifiques, permettant de responsabiliser les différents acteurs à tous les stades de la chaîne d’approvisionnement :
- Le fabricant, en première ligne du dispositif, devra s’assurer que le produit numérique respecte les exigences essentielles de cybersécurité dès sa conception et tout au long de son cycle de vie. Avant de mettre le produit sur le marché, il devra établir une documentation technique et se soumettre à une procédure d’évaluation de la conformité afin de déterminer si les exigences de cybersécurité posées par le règlement sont respectées. Cette documentation devra être mise à disposition des autorités de surveillance du marché au minimum pendant 10 ans. Il devra également évaluer les risques de cybersécurité liés au produit et inclure cette évaluation dans la documentation technique.
Par ailleurs, le fabricant devra répondre à des exigences en termes de gestion et de notification des vulnérabilités. En effet, le fabricant devra gérer efficacement les vulnérabilités pendant toute la durée de vie du produit. Cette gestion est accompagnée d’une obligation de notification des incidents auprès des CSIRT nationaux (En France, le CERT-FR) et auprès de l’ENISA via une plateforme de signalement unique (Article 14 à 16).
- L’importateur aura quant à lui un rôle de contrôle des exigences imposées au fabricant. A ce titre, il devra opérer toute une série de vérifications des obligations du fabricant, comme veiller au respect des exigences de cybersécurité prévues par le texte ou encore le respect des procédures d’évaluation de la conformité.
- Le distributeur aura également une obligation de vérification. Il devra veiller à ce que le produit comportant des éléments numériques porte le marquage CE. Il s’agit d’un marquage par lequel le fabricant indique qu’un produit comportant des éléments numériques et les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité prévues par le règlement. Le distributeur sera également tenu de vérifier que le fabricant et l’importateur ont correctement respectés les obligations qui leur incombent en vertu du présent règlement.
Enfin, dans le cas où l’importateur ou le distributeur constateraient une non-conformité du fabricant aux exigences de cybersécurité ou que le produit présenterait un risque de cybersécurité importants, ils devront avertir les autorités de surveillance du marché.
6. Les bénéfices et inconvénients du CRA pour les entreprises et les utilisateurs
La mise en place du règlement a pour ambition de permettre, à terme, de diminuer significativement les cyberattaques visant les produits comportant des éléments numériques. Les entreprises pourraient ainsi tirer bénéfice du texte avec :
- Une atténuation des pertes financières en cas de cyberattaque ;
- Une diminution des risques opérationnels (perte de données, perte d’exploitation, interruption d’activité) dans une telle hypothèse.
Du point de vue des utilisateurs, une plus grande transparence permettra de rendre plus claires les informations sur la sécurité des produits et facilitera, de fait, leur utilisation. De surcroit, les utilisateurs bénéficieront d’une meilleure protection de leurs droits fondamentaux, et principalement de leur droit au respect de la vie privée et de leurs données personnelles.
En revanche, les entreprises, et en particulier les développeurs et fabricants, devront faire face à des coûts supplémentaires engendrés par la mise en conformité de leurs produits aux exigences de cybersécurité prévues par le texte. Les utilisateurs pourraient ainsi voir le prix des produits comportant des éléments numériques augmenter de façon significative.
7. Sanctions
Différentes sanctions sont prévues en fonction des manquements constatés. En cas de non-conformité aux exigences de cybersécurité précitées, les acteurs concernés s’exposeront à des amendes pouvant aller jusqu’à 15 millions d’euros ou 2,5% du CA annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
En cas de violation avec tout autre obligation du règlement, le contrevenant s’exposera à une amende allant jusqu’à 10 millions d’euros ou 2% du CA annuel mondial total. En cas de fournitures d’informations incomplètes, incorrectes ou trompeuses à l’organisme d’évaluation du produit ou à l’autorité de surveillance du marché, les sanctions financières pourront s’élever à 5 millions d’euros ou 1% du CA annuel mondial total.
En outre, un produit jugé non conforme ou présentant un risque aux yeux de l’autorité de surveillance du marché pourra faire l’objet de restrictions allant jusqu’au retrait du marché, imposées par les autorités de contrôle des marchés désignées par les États membres.
8. Une application prévue pour 2027
Le règlement sur la cyber-résilience entrera en vigueur le 10 décembre 2024 et sera pleinement applicable le 11 décembre 2027. Toutefois, les obligations en matière de communication d’informations incombant aux fabricants et les obligations en matière de notification des organismes d’évaluation de la conformité seront applicable respectivement le 11 septembre 2026 et le 11 juin 2026.
Il est également à noter que les produits comportant des éléments numériques qui ont été mis sur le marché avant le 11 décembre 2027 ne seront soumis aux exigences énoncées dans le présent règlement que si, à compter de cette date, ces produits font l’objet d’une modification substantielle.
Arnaud QUILTON et Mathilde BERTHAULT
Source : https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=OJ:L_202402847