Le Cyber Resilience Act  : 2 ans pour mettre en conformité les produits numériques au sein de l’UE

Le Cyber Resilience Act : 2 ans pour mettre en conformité les produits numériques au sein de l’UE

08.01.2025

Gestion d'entreprise

Avec le Cyber Resilience Act du 23 octobre 2024, l’UE impose aux importateurs, distributeurs et surtout fabricants, de rehausser significativement le niveau de sécurité des biens numériques mis à disposition sur son marché. Dans cette chronique, Pierre Affagard, counsel chez Clyde & Co, décrypte ce règlement.

En vigueur depuis le 10 décembre 2024, ces entreprises ont jusqu’au 11 décembre 2027 pour s’y conformer, tout en intégrant les prescriptions des derniers textes de l’UE régulant également l’Internet des objets. Explications avec Pierre Affagard, counsel chez Clyde & Co.
Le CRA : un des piliers de l’arsenal de l’UE en matière de cybersécurité

Le Cyber Resilience Act (CRA) s’inscrit dans la stratégie plus globale de l’UE de lutte contre la cybermenace, qui sur le plan législatif, a pris forme au travers différents textes adoptés le 14 décembre 2022 :

  • la Directive NIS 2  qui a pour objectif de sécuriser les moyens de production des entreprises et administrations en visant les secteurs clés,
  • la directive « REC » dont l’objectif  est de réduire les vulnérabilités et renforcer la résilience physique des entités critiques ;
  • puis enfin la directive qui met en cohérence les nouvelles dispositions du règlement DORA (Digital Operational Resilience Act), renforçant la gestion des risques liés, dans les entités financières, aux technologies de l'information et de la communication (TIC), avec les directives existantes.

Si la transposition de ces directives et la mise en cohérence des nouvelles dispositions du règlement DORA sont suspendues au vote du projet de loi relatif à « la résilience des infrastructures critiques et au renforcement de la cybersécurité » déposé auprès du Sénat le 15 octobre dernier, le CRA est d’application directe – la première étape étant le 11 septembre 2026 avec l’application des dispositions relatives à la notification des vulnérabilités activement exploitées et des incidents graves (article 14 Règlement sur la Cyberresilience).

L’identification des produits concernés et les obligations des fabricants

Le CRA classifie les produits comportant des éléments numériques (PEN) selon leur niveau de criticité. Les PEN englobent une quantité considérable de biens : ceux pourvus d’une connexion directe ou indirecte, logique ou physique, à un dispositif ou un réseau (article 3 CRA).

Aucun de ces produits ne peut être mis sur le marché s’ils ne satisfont pas aux exigences essentielles de cybersécurité (articles 6, 7, 8 et 12 du CRA ). La nature et l’ampleur de ces exigences sont fonction de la classification du produit dans l’une de ces catégories listées par ordre croissant de criticité :

  • les PEN ;
  • les logiciels libres et ouverts ;
  • les PEN importants (classe 1 et classe 2) ;
  • les PEN critiques.

Pour se mettre en conformité, le CRA propose plusieurs méthodes dont le choix est laissé aux fabricants en ce qui concerne les PEN non importants ni critiques ainsi que les logiciels libres et ouverts (chapitre III CRA) :

  • le contrôle interne via une déclaration de satisfaction des exigences réglementaires (Annexe VIII du CRA ) ;
  • le contrôle par un organisme notifié examinant conception technique, le développement et la gestion des vulnérabilités ;
  • le contrôle par un organisme notifié du système de qualité ;
  • la certification de cybersécurité.

Au-delà de cette évaluation de conformité par classe de PEN, et plus concrètement, le fabricant doit mettre en œuvre les exigences essentielles de cybersécurité qui sont de deux ordres : (i) celles relatives à la propriété des produits et (ii) celles relatives à la gestion des vulnérabilités. Concernant ce premier point, le règlement liste en annexe des mesures relativement précises comme : l’interdiction de mise sur le marché de produits contenant des vulnérabilités exploitables connues, ou la mise en place de mécanisme d’enregistrement et surveillance des activités internes y compris accès, modification des données, des services ou des fonctions (Annexe 1 du CRA).

Sur la gestion des vulnérabilités, le règlement requiert l’implémentation de huit exigences tout aussi précises tout en imposant des notifications en cas de vulnérabilité activement exploitées ou d’incidents graves (article 14 du CRA). Ces notifications se font (i) à l’Agence de l’Union Européenne pour la Cybersécurité, (ii) au CISRT compétent dans des délais courts notamment de 24h et 72h, mais également (iii) aux utilisateurs de PEN à la manière du RGPD à l’occasion des violations des données (articles 33 et 34 du Règlement UE 2016/679 du 27 avril 2016).

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés
La prise en compte de l’IA

Dans l’objectif d’imposer des « exigences technologiquement neutres […] qui s’appliquent horizontalement (alinéa 8 du CRA) », le CRA instaure des logiques de conformité réciproques entre ce même texte et le règlement sur l’IA (Règlement 2024/1689 du 13 juin 2024) en simplifiant les démarches à accomplir. Concrètement, cela signifie que les PEN qui seraient classés comme des systèmes d’IA à haut risque par le règlement IA (article 15 du CRA), sont considérés comme conformes aux exigences de cybersécurité du règlement IA s’ils remplissent les conditions d’exigences essentielles du CRA.

La nécessité d’intégrer dans la conception et le développement des PEN d’autres prescriptions européennes

Les produits numériques ne sont pas exclusivement visés par les règlementations européennes relatives à la cybersécurité. La volonté de faciliter et soutenir le marché de la donnée au profit des entreprises et citoyens, a notamment débouché sur le Data Act (Règlement 2023 /2854 du 13 décembre 2023). Ce règlement, à compter du 12 décembre 2025, oblige tous les fabricants et distributeurs de produits connectés et services connexes liés à l’internet des objets, à mettre en place des mécanismes de partage obligatoire de toutes les données obtenues, générées y compris les métadonnées, provenant de ces mêmes produits (articles 3 et 4 du Data Act ). A relativement courte échéance, les adaptations technologiques requises pour tout produit distribué au sein de l’UE font potentiellement légion et sont sanctionnables en cas de manquements par ces textes cumulés. Les sanctions sont de surcroît élevées. Pour ne citer que le CRA, l’amende administrative peut atteindre 2,5 % du chiffre d’affaires de l’entreprise ou 15 millions d’Euros, le montant le plus important étant retenu dans la même logique que les autres textes européens régulant le champ du numérique.

Pierre Affagard
Vous aimerez aussi