Appel à contribution sur l'impact des nouvelles exigences du Cyber Resilience Act (CRA)

15 septembre 2022
Le 15 septembre la Commission Européenne a publié sa nouvelle proposition législative portant sur le CRA. Ce texte vient compléter l’arsenal des propositions législatives visant à affiner la stratégie digitale de l’UE.

Cette proposition a été publiée en Septembre et fait depuis l'objet d'analyse au sein des comités européens;

La question qui se pose aujourd'hui est de déterminer au plus juste la période transitoire nécessaire pour permettre aux fabricants de se conformer aux nouvelles exigences; Sur ce point je vous encourage à lire l'annexe I de la proposition législative et nous faire part de la periode transitoire adéquate selon vous en tenant compte de la disponibilité des normes harmonisées existentes ou à developper ( minimum 3 ans) , du potentiel retard de citation de ces normes au JOUE et de l'adaptation des process et des produits à ces nouvelles règles.

Merci d'avance pour vos retour avant le 30 novembre à adresser à Marie Poidevin (mpoidevin@evolis.org).

Ci dessous un récapitulatif du texte:

Le CRA a, selon la Commission, quatre objectifs spécifiques:

  1. « Veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques depuis la phase de conception et de développement et tout au long du cycle de vie;
  2. Garantir un cadre cohérent en matière de cybersécurité, en facilitant le respect des règles par les producteurs de matériel et de logiciels;
  3. Améliorer la transparence des propriétés de sécurité des produits comportant des éléments numériques, et
  4. Permettre aux entreprises et aux consommateurs d’utiliser des produits comportant des éléments numériques en toute sécurité ».

Il reprend dans son champ d’application tous produits comportant des éléments numériques c’est à dire « tout produit logiciel ou matériel et ses solutions de traitement des données à distance, y compris les composants logiciels ou matériels qui seront mis sur le marché séparément » et ce depuis la conception du produit, et tout au long de son cycle de vie.

Le fabricant du produit numérique doit donc remplir un certain nombre d’obligations comme :

  • Effectuer et documenter une évaluation des risques,
  • Faire preuve de due diligence dans le choix et l’intégration d’autres composants
  • Traiter les vulnérabilités de son produit, durant toute sa durée de vie ou pour une période de 5 ans (la période la plus courte étant alors retenue)
  • Notifier à l'ENISA (agence européenne pour la CS), sans retard excessif et en tout état de cause dans les 24 heures qui suivent, toute vulnérabilité de son produit activement exploitée.
  • Idem pour tout incident compromettant la sécurité de son produit, auquel cas l’utilisateur devra également en être informé dans les plus brefs délais.

Concernant les exigences auxquelles le produit numérique devra se conformer, elles sont détaillées en annexe I et les normes harmonisées, lorsqu’elle seront appliquées, donneront présomption de conformité au CRA.

On retrouve également dans cette proposition les désormais fameuses « common specifications » (que la COM pourrait être amenée à développer pour palier à l’absence de normes harmonisées), ou encore la possibilité d'utiliser les « schemas de certification », publiés sous le Cyber Sécurité Act de 2019 ;

Il faut noter également les références croisées avec d’autres propositions législatives comme l’IA Act ou le futur règlement machine (notamment les exigences 1.1.9 et 1.2.1), pour lesquels les exigences seront présumées remplies du moment que le produit en question respecte les exigences de l’annexe I du CRA.

Par ailleurs, le CRA classifie les produits en 3 catégories, une catégorie par défaut et une annexe III (« produits critiques comportant des éléments numériques ») divisées en 2 classes, reflétant le niveau de risques de cybersécurité se rapportant à ces produits (la classe II listant les produits présentant les risques les plus élevés).

Ainsi, concernant la certification, si le module A est possible pour la catégorie « par défaut », en revanche :

  • Pour les produits de classe I (e.g. Gestionnaire de mot de passe), le fabricant ne peut avoir recours au module A que s’il a respecté la norme harmonisée (/common spécification, / schema de certification) dans son intégralité.

  • Pour les produits de classe II (e.g. Pare-feu, systèmes de détection et/ou de prévention des intrusions destinés à un usage industriel), l’auto-certification n’est pas possible.

L’ annexe III est amenée à évoluer (tout comme l’annexe I du futur règlement machine), la COM ayant le pouvoir d’amender par actes délégués l’annexe III et d’évaluer elle-même le niveau de risque d’un produit en se basant sur des éléments tels que :

  • Le produit dispose-t ’il d'un accès direct ou privilégié aux réseaux ou aux ressources informatiques ; ou encore est-il conçu pour contrôler l'accès aux données ou à la technologie opérationnelle ;
  • Un usage prévu dans un environnement sensible,
  • Un usage prévu pour l’exécution de fonction critiques ou sensibles (comme la manipulation de données personnelles). etc

Autre illustration de l’importance que la COM donne désormais aux questions de cybersécurité : le non-respect des exigences de l’annexe I peut donner lieu à une amende de 15 millions d’euros…

Enfin la période transitoire proposée est de 24 mois, excepté pour l’obligation de reporting pesant sur le fabricant (cf article 11) qui, elle, serait applicable 1 an après l’entrée en vigueur du texte.