Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience)

JOUE Série L du 20 novembre 2024

Ce texte constitue le règlement sur la cyberrésilience de l’Union (ou « Cyber Resilience Act ») qui vise à permettre le développement de produits sécurisés en faisant en sorte que les matériels et logiciels présentent moins de vulnérabilités et que les fabricants s’assurent de leur sécurité tout au long du cycle de vie.
Il s’applique aux produits comportant des éléments numériques mis à disposition sur le marché, dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion (directe ou indirecte, logique ou physique) à un dispositif ou à un réseau.
Il ne s’applique toutefois pas :
– aux pièces de rechange mises sur le marché pour remplacer des composants et fabriquées selon les mêmes spécifications ;
– aux produits relevant de la réglementation des dispositifs médicaux, des véhicules terrestres à moteur, des équipements marins ainsi que ceux déjà certifiés dans le domaine de l’aviation civile ;
– aux produits développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense et à ceux conçus pour traiter des informations classifiées.
Le cadre mis en place comprend en premier lieu des exigences essentielles de cybersécurité relatives à la conception, au développement et à la production de ces produits ainsi que des exigences relatives aux processus de gestion des vulnérabilités durant toute la période d’utilisation. Elles sont définies en annexe I.
Outre le respect de ces exigences essentielles de sécurité, les fabricants sont soumis à des obligations en termes d’évaluation des risques de cybersécurité, de respect des procédures d’évaluation de conformité des produits, de communication d’informations et de signalement des vulnérabilités, ainsi que de mise en place d’une période d’assistance.
Les importateurs et distributeurs veillent au respect par le fabricant de ces prescriptions. Par ailleurs, ils deviennent soumis à l’ensemble des obligations pesant sur les fabricants s’ils mettent un produit sur le marché sous leur propre nom ou leur propre marque, ainsi que lorsqu’ils apportent une modification substantielle à un produit déjà mis sur le marché.
Le texte établit des prescriptions renforcées pour les produits qui présentent un risque de cybersécurité plus élevé et qui sont classés en deux catégories (« produits importants comportant des éléments numériques », dont la liste est fixée en annexe III et « produits critiques comportant des éléments numériques », dont la liste est fixée en annexe IV).
Il fixe également les règles relatives à la surveillance du marché et au contrôle de l’application de ces dispositions. Afin de faciliter leur application, il impose aux Etats membres diverses obligations en termes de renforcement des compétences (éducation et formation), de mesures de soutien pour les micro-entreprises et les PME, ains que de coopération et de partage d’expérience sous l’égide de la Commission européenne.
Ces dispositions s’appliquent pour la plupart à compter du 11 décembre 2027, mais certaines de manière anticipée à compter du 11 juin 2026 ou du 11 septembre 2026 selon les cas.
Sauf s’ils font l’objet d’une modification substantielle, les produits mis sur le marché avant le 11 décembre 2027 ne sont pas soumis à ces dispositions (hors obligations du fabricant en matière de communication d’informations, qui s’appliquent).
A titre transitoire, les attestations d’examen UE de type et les décisions d’approbation de cybersécurité délivrées au titre d’autres législations d’harmonisation de l’Union restent valables jusqu’au 11 juin 2028, à moins qu’elles n’expirent avant cette date, ou sauf disposition contraire dans toute autre législation d’harmonisation de l’Union, auquel cas elles restent valables conformément à cette législation.