• FR
  • Actualités
  • Blog
  • Le Cyber Resilience Act - La cybersécurité des produits digitaux
Le Cyber Resilience Act - La cybersécurité des produits digitaux

Le Cyber Resilience Act - La cybersécurité des produits digitaux

L’Europe renforce la sécurité des produits digitaux sur son marché

Depuis 2019, l’Europe a légiféré dans le domaine de la cybersécurité, en adoptant entre autres le Cybersecurity Act, et la Directive NIS2. Le Règlement "Cyber Resilience Act" vient s’y ajouter, exigeant de la part des fabricants de renforcer les exigences en matière de cybersécurité de leurs produits comportant des éléments numériques.

Date: 1er octobre 2024

Expertises:

Ingénierie des systèmes IT complexes 

Domaine: Numérique et société 

Thèmes d’innovation

Auteurs

Depuis 2019, l’Europe a légiféré dans le domaine de la cybersécurité, en adoptant le Cybersecurity Act (relatif à l’Agence Européenne pour la cybersécurité (ENISA) et à la certification de cybersécurité), la directive Digital Operational Resilience Act (DORA), et en mettant à jour la Directive NIS 2 (sécurité des Réseaux et Systèmes d’Information). Un nouveau Règlement « concernant les exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques » - également appelé le « Cyber Resilience Act » (en abrégé CRA) - vient maintenant s’y ajouter.

Voté par le Parlement le 12 mars 2024, le texte attend maintenant son approbation par le Conseil de l’Union, qui doit se produire pour l’automne 2024. Dès ce moment, les entreprises disposeront de trois ans pour s’y adapter. A quels problèmes ce règlement entend-il répondre ? Quels sont les produits visés ? L’open source est-il concerné ? Quelles sont les exigences sécuritaires du Règlement ? Quels sont les opérateurs économiques concernés, et quelles sont leurs responsabilités ? Quelles démarches spécifiques faut-il respecter pour être conforme au CRA ? Quelles sont les sanctions ? Cet article se propose de répondre à ces questions, afin de vous offrir une vue claire sur cette nouvelle législation européenne.

1) Les problèmes à l’origine

L’utilisation sans cesse croissante de produits connectés entraîne une transformation rapide du paysage des cybermenaces en Europe. Si les rançongiciels (ou ransomwares) et le déni de service (ou DDoS) en constituent actuellement les deux plus importantes, l’ENISA, prévoit que la compromission de la chaîne d’approvisionnement des dépendances logicielles (software supply chain) deviendra la menace dominante à l’horizon 2030.

En effet, la forte croissance des produits intelligents et connectés a pour corollaire que tout incident de cybersécurité frappant l’un d’entre eux peut affecter l’entièreté de la chaîne d’approvisionnement, impacter jusqu’à des milliers de sociétés, et finalement perturber gravement l’activité sociale et économique du marché intérieur européen. Cette menace concerne non seulement les entreprises mais aussi les citoyens qui, par leur usage de divers équipements connectés, risquent d’être victime de cybercrimes, tels le vol ou l’usage abusif de données à caractère personnel, ou encore l’action de logiciels malveillants.

Bien qu’ayant développé des législations sectorielles (concernant par exemple, la régulation des équipements médicaux, des équipements médicaux spécifiquement à usage de diagnostic in vitro, la sécurité générale des véhicules à moteur…) afin de contrer ces menaces, l’Union ne dispose actuellement pas de législation adaptée à tout type de produits comportant des composants digitaux, et capable de remédier :

  1. à un niveau en général inadapté de cybersécurité desdits produits ;
  2. à l’incapacité des consommateurs et des entreprises de déterminer si ces produits sont sûrs, ou de les configurer pour renforcer leur cybersécurité.

Le « Cyber Resilience Act » entend répondre à ces manquements, en relevant le niveau de cybersécurité pour ces types de produits, vendus sur le marché intérieur européen, y compris ceux d’origine non européenne. Les équipements digitaux qui ne respecteront pas le CRA seront bannis du marché européen. Ainsi à l’instar du RGPD pour les données à caractère personnel, en adoptant le CRA, l’Europe entend devenir une référence en cybersécurité des équipements connectés.

2) Les objectifs du CRA

Essentiellement, cette loi a trois objectifs :

  • mettre en place des règles harmonisées pour encadrer l’arrivée sur le marché de produits (matériels ou logiciels) comportant des composants digitaux ;
  • mettre en place des exigences de cybersécurité gouvernant la planification, la conception, le développement et la maintenance de produits digitaux (matériels et logiciels), et devant être respectés par les fabricants à toutes ces étapes ;
  • obliger les fabricants à avoir une attention continue vis-à-vis de la cybersécurité de leurs produits digitaux, durant l’entièreté de leur cycle de vie.

21) Les règles harmonisées

L’instrument législatif choisi par l’Union est le règlement [1], car il est le plus efficace pour gérer les problèmes évoqués et atteindre les objectifs formulés. Il garantit que les règles encadrant la mise sur le marché européen d’une très grande gamme de ces produits digitaux seront appliquées de façon uniforme, en particulier concernant les exigences essentielles valables durant toute la durée de vie des produits, sans laisser de marge de manœuvre aux États membres.

22) Les exigences essentielles de cybersécurité à mettre en œuvre

Le CRA impose aux fabricants de respecter des requis sécuritaires lorsqu’ils commercialisent leurs produits sur le marché européen. Ces requis sont regroupés selon deux catégories :

  1. les exigences de cybersécurité relatives aux produits digitaux, conformément à l’annexe I, section 1 du CRA ;
  2. les exigences relatives aux processus de gestion des vulnérabilités, conformément à l’annexe I, section 2 du CRA.

Pour ce qui est des produits, ces derniers doivent satisfaire aux propriétés [2] de sécurité suivantes :

  • garantir un niveau de cybersécurité approprié, basé sur une évaluation des risques, et ce tout au long du cycle de vie des produits, en particulier en veillant à limiter les surfaces d’attaque et à réduire les conséquences d’un incident ;
  • être livrés sans aucune vulnérabilité exploitable connue, avec une documentation technique reprenant l’évaluation des risques ;
  • avoir une configuration de sécurité par défaut devant :
    • assurer la protection contre les accès non autorisés ;
    • protéger la confidentialité et l’intégrité des données – à caractère personnel ou non - stockées, transmises ou traitées ;
    • minimiser l’usage des données à ce qui est essentiel pour l’utilisation du produit ;
    • protéger la disponibilité des fonctions essentielles, y compris la résilience ;
    • fournir des informations relatives à la sécurité en enregistrant les activités internes, comme l’accès ou la modification des données, services ou fonctions ;
    • garantir que les vulnérabilités puissent être traitées par des mises-à-jour de sécurité, notifiées aux utilisateurs et, le cas échéant, automatiques.

Pour ce qui est de la gestion des vulnérabilité [3], les fabricants doivent :

  • recenser et documenter les vulnérabilités et les composants contenus dans leur produits ;
  • gérer et corriger sans délai et gratuitement les vulnérabilités, via notamment des mises-à-jour de sécurité, distribuées de façon sécurisée, accompagnées de recommandations aux utilisateurs concernant les mesures à prendre, et ce durant toute la durée du support ;
  • appliquer régulièrement des tests et examens de sécurité efficaces aux produit ;
  • divulguer publiquement des informations sur les vulnérabilités corrigées, comprenant leur description, leurs conséquences et leur gravité, l’identification du produit concerné, et toute information aidant les utilisateurs à y remédier ;
  • faciliter le partage d’informations relatives aux vulnérabilités potentielles, ainsi qu’aux composants tiers contenus dans les produits .

Pour en faciliter l’adoption, les requis de cybersécurité doivent être exprimés sous forme de standards harmonisés, plus aisément adoptables. Dans ce cadre, l’agence européenne pour la Cybersécurité (ENISA) et le « Joint Research Centre (JRC) » de la Commission Européenne ont développé une analyse [4] de couverture de ces requis, par les diverses normes de cybersécurité existantes. Pour chaque requis l’analyse pointe les normes pertinentes, en discutant le niveau de couverture qu’elles atteignent, ainsi que les possibles trous non couverts. Il en ressort qu’il n’existe pas de standard unique permettant de couvrir tous les requis du CRA, qu’une harmonisation entre ces standards est nécessaire afin d’offrir une couverture homogène, et que les trous mentionnés nécessitent toujours d’être couverts.

3) Les produits concernés

Le champ d’application du CRA concerne « les produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou un réseau ».

Cette législation est qualifiée d’« horizontale » car elle concerne une très grande gamme de ces produits digitaux, tant matériel (tels que par exemple les routeurs, les disques durs, les caméras, les smartphones, l’Internet des Objets (IoT), etc...) que logiciel (tels les firewalls, les antivirus, les logiciels VPN, les traitements de texte, etc.).

Le règlement met en avant certains produits, en les déclarant critiques, car toute exploitation de vulnérabilités potentielles à leur niveau peut avoir de graves répercussions. Ces produits sont repris dans deux classes [5] de criticité, la deuxième étant la plus forte.

Pour les produits critiques à usage industriels, ces classes font référence à l’annexe I de la directive NIS2 [6], qui répertorie les secteurs d’activité essentiels, couvrant entre autres l’énergie, les transports, le secteur bancaire, l’infrastructure numérique, la gestion des services TIC.

Parmi ces produits critiques le CRA, en son annexe III, liste en particulier :

  1. les dispositifs de l’Internet des objets industriels (secteurs essentiels ou non),
  2. les systèmes d’automatisation et de contrôle industriels (secteurs essentiels ou non),
  3. les cryptoprocesseurs sécurisés,
  4. les microprocesseurs à usage général ou non, ou destinés à être intégrés dans des contrôleurs logiques programmables,
  5. les circuits intégrés spécifiques aux applications et réseaux de portes programmables destinés à être utilisés par des entités essentielles,
  6. les composants de détection et d’actionneur de robot et contrôleurs de robots.

La Wallonie a de son côté défini onze technologies numériques clés permettant à ses entreprises de se transformer en industrie du futur [7]. Ces technologies sont le traitement des données, Data et Analytics, les jumeaux et la simulation numérique, l’Intelligence artificielle, le calcul à haute performance, l’IOT et les capteurs, les composants électroniques et informatiques, la robotique et l’automation, l’impression 3D, la réalité augmentée et virtuelle, le blockchain, et finalement Interfaçage et interopérabilité avancés. Les produits listés précédemment sont grandement susceptibles d’intervenir dans ces diverses technologies. Même l’Intelligence Artificielle peut être retenue comme critique, dans la mesure où le CRA annonce déjà [8] prendre en compte des produits comportant des éléments numériques classés systèmes d’« IA » à haut risque.

Il apparaît donc que le CRA jouera un rôle important dans la démarche de renouveau industriel de la Wallonie.

Le règlement prévoit toutefois des produits qui feront exception à son domaine :

  • les services cloud et les logiciels en tant que service (SaaS) autonomes, car ils ne sont pas considérés comme des produits ;
  • les produits déjà sous le champ d’autres législations notamment sectorielles (la sécurité générale des véhicules à moteur, les équipements médicaux (pour diagnostic in vitro ou non), les équipements aéronautiques certifiés, etc.).

Les logiciels libres non commerciaux ne sont normalement pas couverts par le CRA, sauf dans certaines situations décrites ci-après.

31) Le cas de l’Open Source

Afin de ne pas entraver la recherche et l’innovation, le règlement ne s’applique à priori pas aux logiciels libres et ouverts (« Free Open Source Software (FOSS) ») développés ou fournis en dehors du cadre d’une activité commerciale. La Commission a toutefois apporté des précisions à ce sujet, en distinguant différents développements commerciaux possibles. La figure 1 qui suit décrit le chemin décisionnel (simplifié) présenté par la Commission, explicitant les questions clefs pour déterminer, selon les réponses, si un projet open-source est couvert – ou pas - par le nouveau Règlement.

Figure 1 : schéma décisionnel d’application du CRA, dans le cas du logiciel libre (source Commission Européenne, DG Connect, Cybersecurity and digital privacy policy - Boryana Hristova-Ilieva)

De base, une contribution limitée à un projet open-source ne relève pas du règlement. Une participation plus conséquente, mais sans visée commerciale, y échappera également. Dans le cas contraire, une partie prenante qui monétisera directement son apport productif sera considérée comme un fabricant, et donc sera soumise au régime du CRA. En l’absence de cette monétisation directe, et pour autant qu’il n’y ait pas de support à visée commerciale au projet open-source, le règlement ne s’appliquera également pas. Dans le cas contraire, pour une personne morale apportant un service durable de support au développement de produits open-source et à des fins commerciales, le règlement sera d’application. A ce titre la personne morale sera considérée comme un intendant de logiciel open-source (« open-source software steward [9] »). Un intendant sera soumis à certaines obligations :

  • mettre en place une politique de cybersécurité prenant en compte sa nature spécifique ;
  • coopérer avec les autorités de surveillance du marché ;
  • reporter les incidents et vulnérabilités, dans la mesure où ils concernent le développement.

4) Les opérateurs économiques

Les obligations de cybersécurité auxquelles les opérateurs économiques vont être soumis dépendront de leurs rôles et responsabilités dans la chaîne d’approvisionnement. Ces opérateurs sont au nombre de quatre : les fabricants et leurs mandataires, les importateurs et les distributeurs. Dans l’ordre :

  • les fabricants [10] :
    • devront s’assurer que leurs produits respectent les exigences essentielles de cybersécurité, de même que les procédures d’évaluation de conformité avant de les placer sur le marché ;
    • devront fournir aux utilisateurs les informations et instructions [11] permettant une installation et utilisation sécurisée de leurs produits ;
    • devront respecter des obligations de documentation technique [12], de correction et de notification en cas de brèche de sécurité, et ce durant toute la durée de vie du produit, ou une durée de 5 ans à dater de la mise sur le marché, et si nécessaire, procéder au rappel ou retrait du produit ;
    • devront notifier à l’ENISA toute vulnérabilité activement exploitée ou tout incident impactant la sécurité du produit ;
    • en cas d’incident, devront en informer dans les meilleurs délais les utilisateurs du produit, leur précisant les corrections à mettre en place pour contrer la vulnérabilité ou l’incident ;
    • devront appliquer ou faire appliquer les procédures d’évaluation de conformité choisies, et une fois la conformité attestée, établir la déclaration UE de conformité, la fournir avec le produit et apposer le marquage CE.
  • les mandataires [13] agissent selon leur mandat donné par le fabricant. Ils ont essentiellement une responsabilité de communication/coopération avec les autorités de contrôle du marché, concernant la mise à disposition de la déclaration UE de conformité, et la démonstration de cette conformité.
  • les importateurs [14] et les distributeurs [15] devront être critiques vis-à-vis de la conformité aux exigences essentielles des produits qu’ils importent ou distribuent :
    • ils ne pourront placer sur le marché que les produits respectant les requis essentiels de cybersécurité, et portant un marquage CE et ils s’abstiendront de mettre sur le marché un produit qu’ils ont des raisons de croire ne pas être conforme avec les exigences essentielles, tant pour les propriétés que pour les processus ;
    • en cas de détection d’une vulnérabilité du produit, ils devront en informer le fabricant dans les meilleurs délais, et pour un risque important de cybersécurité, immédiatement les autorités de surveillance du marché des États membres dans lesquels il a importé le produit, y ajoutant toute précision et éventuelles mesures correctives ;
    • ils devront prendre les mesures correctives nécessaires, vis-à-vis des exigences essentielles, pour un produit qu’il a des raisons de croire ne pas y être conforme, tant pour les propriétés que pour les processus, ou éventuellement retirer ou rappeler le produit ;
    • pendant dix ans à partir de la mise sur le marché du produit, ils devront mettre sur demande à disposition des autorités de surveillance du marché une copie de la déclaration UE de conformité, la documentation technique, et toutes informations requises pour démontrer la conformité du produit.

De plus, les importateurs ou distributeurs, ou même toute autre personne physique ou morale, qui auront eux-mêmes modifié un produit, ou qui l’auront inscrit sous leur propre nom ou marque, seront considérés [16] comme des fabricants, dès lors soumis aux obligations incombant à ces derniers.

5) Les procédures de conformité

Les fabricants ont pour responsabilité primordiale d’évaluer la conformité d’un produit et des processus mis en place par eux pour déterminer si les exigences essentielles sont bien respectées.

Plusieurs procédures [17] d’évaluation sont prévues pour établir la conformité d’un produit aux exigences du CRA. La figure 2 en présente une vision synthétique, organisée selon la criticité des produits.

Figure 2 : les différents processus de conformité, selon la criticité du produit (source Commission Européenne, DG Connect, « CRA » - Benjamin Bögel)

Dans 90 % des cas, les produits relèveront de la catégorie par défaut. Les 10 % restant seront soit de classe critique I, soit de classe critique II, soit de criticité très haute. Dans le détail :

  • pour les produits non critiques, représentant 90 % des produits concernés :
    • la règle suivie est celle d’une auto évaluation (« self-assessment ») les fabricants devant déclarer sous leur propre responsabilité, et suite à un contrôle interne, que leurs produits satisfont bien aux exigences essentielles de sécurité ;
    • sur chacun de leurs produits ayant subit un contrôle interne positif, les fabricants apposent le marquage de conformité « CE ». Pour chacun d’entre eux ils établissent également une « déclaration UE de conformité [18] » tenue, avec la documentation technique, à la disposition des autorités nationales pendant 10 ans, à compter de la mise à disposition sur le marché.
  • pour les produits déclarés critiques, les processus à suivre seront fonction de leur classe de criticité :
    • pour les produits de classe 1, çàd ceux à bas risques :
      • les fabricants peuvent toujours procéder à une auto-évaluation sous leur responsabilité, pour autant qu’ils suivent des standards de sécurité harmonisés [19], ou des schémas de certification répondant à la législation européenne en matière de cybersécurité (« EU Cybersecurity Act [20]  [21] ») ;
      • en l’absence de tels standards et schémas de certification, ou si les fabricants ont partiellement ou pas du tout appliqué ces derniers, la conformité peut être établie selon deux canevas, faisant tous les deux intervenir un organisme tiers.
        • Le premier établit la conformité en deux étapes :
          • Dans un premier temps un examen de type est effectué par un organisme [22] tiers d’évaluation de la conformité, qui vérifie que la conception technique et le développement des produits satisfont bien aux exigences essentielles, en se basant sur la documentation technique, ainsi que sur des preuves obtenues à partir d’examens d’échantillons d’une ou plusieurs parties critiques des produits. En cas de rapport positif, l’organisme tiers délivre une « attestation d’examen UE de type ».
          • Dans un deuxième temps, un contrôle interne de la fabrication est effectué par les fabricants. Si positif, ils peuvent garantir que leur production et le suivi de celle-ci sont conformes au type de « l’examen UE de type » précédent. Ils peuvent alors également le déclarer en apposant le marquage « CE » sur chacun de leurs produits conformes. Une déclaration écrite de conformité sera mise à disposition des autorités nationales pendant 10 ans à partir de la mise à disposition sur le marché.
        • Le second établit la conformité sur base d’une assurance complète de la qualité.
          • Les fabricants y déclarent sous leur seule responsabilité que leurs produits satisfont aux exigences essentielles, en appliquant leur système de qualité, préalablement analysé et approuvé par un organisme de notification de leur choix, et qui en surveille également l’application, au travers d’audits périodiques.
          • Les fabricants pourront ensuite apposer la marque « CE » sur leurs produits qui satisfont à leur système qualité, et établir une déclaration écrite de conformité tenue à disposition des autorités nationales pendant 10 ans, à dater de la mise sur le marché.
    • pour les produits de classe 2, les fabricants n’auront pas d’autre choix que de passer par un organisme tiers d’évaluation de la conformité, selon les deux canevas précédemment décrits.
    • pour les produits hautement critiques, la conformité reposera sur une « certification EU » obligatoire. Les produits spécifiquement visés relèvent des secteurs essentiels ou importants concernés par la Directive NIS2. La certification [23] européenne est en cours de développement. Un premier système de certification a été élaboré, reposant sur la réputation des fournisseurs et des certificateurs, et sur la certification fondée sur des critères communs dans le monde entier. La Commission européenne a mis sur pied un programme de travail pour la certification européenne de cybersécurité (URWP). Il indique des domaines pour les futurs systèmes européens de certification de cybersécurité. L’un d’eux pourrait concerner les systèmes d’automatisation et de contrôle industriels et le développement du cycle de vie de la sécurité en s’appuyant sur les requis du Règlement CRA, ainsi que sur les mécanismes cryptographiques.

De façon générale dans ce qui précède, les classes de produits critiques ainsi que la catégorie des produits hautement critiques peuvent être amendées et spécifiées par la Commission, au travers du mécanisme des actes délégués. En particulier dans sa détermination des produits hautement critiques, la Commission tient compte du niveau de risque de cybersécurité qui leur seront associé, et de leur utilité au sein d’entités essentielles [24], telles que définies par la Directive NIS 2.

6) Le contrôle du respect du règlement CRA – les amendes

Chaque État membre doit désigner une ou plusieurs autorités de surveillance [25] du marché, devant veiller à la mise en œuvre effective du CRA. Ces autorités exercent leurs missions conformément au Règlement 2019/1020 (« Surveillance du marché et conformité des produits »), qui s’applique intégralement aux produits comportant des éléments digitaux.

Les autorités de surveillance peuvent procéder, entre autres, à des contrôles documentaires, et des examens de laboratoires appropriés de produits, des demandes d’information et de documentation sur les chaînes d’approvisionnement, des inspections et contrôles physiques inopinés. Elles peuvent exiger des opérateurs économiques qu’ils prennent les mesures appropriées pour mettre fin à une non-conformité ou éliminer un risque.

Les autorités peuvent sanctionner un non-respect du CRA de diverses manières, proportionnellement à la gravité de l’infraction et à son impact sécuritaire. Ainsi elles peuvent interdire ou restreindre la mise à disposition d’un produit, voire le retirer ou le rappeler. Elles peuvent également imposer des pénalités aux entreprises qui n’obtempèrent pas à leur demande, en particulier aux exigences de cybersécurité, les amendes pouvant atteindre 15.000.000,00 € ou 2,5 % du chiffre d’affaires mondial.

7) Conclusions

Les produits digitaux connectés jouent un rôle de plus en plus grand dans la vie des citoyens et des entreprises européennes. Mal sécurisés, ils sont une cible idéale pour des cyberattaques pouvant non seulement les impacter, mais également toute la chaîne dont il font partie.

Face à cette menace grave, l’Union Européenne a décidé d’harmoniser et renforcer les règles de sécurité de ces produits, en en mettant en avant plus particulièrement deux classes, déclarées critiques.

L’Union a également relevé les exigences de sécurité à respecter par les fabricants. Ce respect sera évalué au cours de procédures, choisies selon la criticité des produits à mettre sur le marché. Tout produit non conforme se verra refuser le marquage « CE », et se verra interdire l’accès au marché européen. Les importateurs et distributeurs devront également faire preuve de vigilance, en vérifiant si les fabricants se sont bien acquittés de leurs devoirs, et même en écartant de leur propre chef tout produit qu’ils pourraient suspecter être non conformes. Enfin toute modification qu’ils apporteraient à un produit leur ferait acquérir le statut de fabricant, avec toutes les responsabilités qui en découlent.

Le cas des produits open source, de base non couverts par le Règlement, admet toutefois certaines exceptions.

Comme pour la Directive NIS2, les entreprises peuvent consulter le CCB, autorité de cybersécurité belge, pour obtenir plus de renseignements quant à ce nouveau Règlement. Elles peuvent également s’adresser au CETIC pour les aider dans leur démarche de conformité.

[2Exigences de sécurité relatives aux propriétés des produits : Annexe I, §1 du Règlement

[3Exigences relatives à la gestion des vulnérabilités : Annexe I, §2 du Règlement

[4ENISA : Cyber Resilience Act Requirements Standards Mapping : https://www.enisa.europa.eu/publications/cyber-resilience-act-requirements-standards-mapping

[5Annexe III du Règlement, des produits critiques comportant des éléments numériques, Classes I et II

[6Nous renvoyons le lecteur à notre article précédent relatif à la Directive NIS2 pour plus de détails : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555

[7Digital Wallonia : 11 technologies pour l’industrie du futur (https://www.digitalwallonia.be/fr/publications/recherche-industrie-futur/)

[8Considérant 29 du règlement CRA : les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement « Artificial Intelligence Act » devraient satisfaire aux exigences essentielles énoncées dans le règlement CRA.

[9Comme exemples de ces intendants (« stewards ») : les fondations supportant des projets libres / open-source spécifiques, des compagnies développant des logiciels libres / open source pour leur propre usage, mais le rendant public, des entités sans but lucratif développant des logiciels libres / open-source.

[10Obligations incombant aux fabricants : liste complète aux articles 10 et 11 du Règlement

[11Informations et instructions destinées à l’utilisateur : Annexe II du Règlement CRA

[12Contenu de la documentation technique : Annexe V du Règlement ; en particulier la documentation technique reprendra des informations concernant la description de la conception, du développement et de la fabrication du produit ainsi que les processus de gestion des vulnérabilités et une évaluation des risques de cybersécurité.

[13Obligations incombant aux mandataires : liste complète à l’article 12 du Règlement CRA

[14Obligations incombant aux importateurs : liste complète à l’article 13 du Règlement CRA

[15Obligations incombant aux distributeurs : liste complète à l’article 14 du Règlement CRA

[16Articles 15 et 16 du Règlement CRA

[17Les procédures d’évaluation sont décrites en détail dans l’annexe VI du Règlement, et dans l’article 24 du Règlement CRA.

[18Le modèle – constamment mis à jour - de cette déclaration est repris dans l’annexe IV du Règlement. Outre les identifiants du produit (permettant sa traçabilité) et de son fabricant, le document rappelle que la déclaration de conformité est établie sous sa seule responsabilité. Il précise aussi toute norme harmonisée pertinente appliquée, ou toute autre spécification commune ou certification de cybersécurité par rapport auxquelles la conformité est déclarée. Si nécessaire, il précise aussi l’organisme notifié, la procédure d’évaluation de la conformité suivie et la référence du certificat délivré.

[19Par exemple développé par des organismes de standardisation européens

[21Le cadre de certification de cybersécurité de l’UE pour les produits TIC permet la création de systèmes de certification de l’UE sur mesure et fondés sur les risques : Commission européenne : https://digital-strategy.ec.europa.eu/fr/policies/cybersecurity-certification-framework

[22Cet organisme est qualifié de « notifié », son expertise ayant été au préalable reconnue par un organisme national, dit de « notification »

[23Cadre de certification de cybersécurité de l’UE : https://digital-strategy.ec.europa.eu/fr/policies/cybersecurity-certification-framework . Système de certification de cybersécurité fondé sur les critères communs, et programme de travail de la Commission pour la certification européenne de cybersécurité.

[24La Directive NIS 2 définit les entités essentielles (et importantes) en son article 3, paragraphe 1 et article 2, paragraphe 2, points b) à e). De façon courte, une entité est essentielle si entre autres, elle relève en des catégories définies dans les annexes I ou II de la Directive NIS 2. Toute perturbation à leur niveau se traduit par l’induction d’un risque systémique, ou par un impact important sur la sécurité, la sûreté ou la santé publique.

[25Règlement CRA, articles 41, 42 et 43