Cyber Resilience Act

Adopter dès maintenant une approche stratégique

À partir de décembre 2027, des exigences contraignantes en matière de cybersécurité s'appliqueront dans l'UE. En vérifiant suffisamment tôt son portefeuille de produits et sa chaîne d'approvisionnement, on s'assure l'accès au marché européen.

Avec l'entrée en vigueur du règlement sur la cyberrésilience (Cyber Resilience Act, CRA) le 11 décembre 2027, les exigences en matière de cybersécurité des produits seront considérablement renforcées dans l'UE. Pour les entreprises industrielles, cela signifie que l'accès au marché européen sera désormais soumis à des exigences de sécurité contraignantes.

⚖️Mise en contexte réglementaire

Cyberrésilience : la sécurité comme principe de conception

La « cyberrésilience » n'est pas synonyme de sécurité absolue, mais plutôt de robustesse et de résistance : les systèmes doivent résister aux attaques et être rapidement remis en état de fonctionnement après un incident.

Le CRA rend obligatoire la sécurité dès la conception : les fabricants doivent systématiquement intégrer la sécurité à chaque étape du développement, de la conception à la maintenance. La cybersécurité passe ainsi du statut de complément en aval à celui de principe de conception fondamental.

Les mises à jour de sécurité pendant toute la durée d'utilisation prévue constituent un autre facteur clé.

L'utilisation répandue des bibliothèques logicielles est à la fois une malédiction et une bénédiction : une seule vulnérabilité peut affecter simultanément de nombreux produits. Dans le même temps, grâce à une vérification permanente par les communautés de développeurs, les bibliothèques établies offrent souvent une meilleure qualité de sécurité que les développements propres isolés. Il est essentiel que les mises à jour de sécurité puissent être fournies rapidement et mises en œuvre à grande échelle.

Qui est concerné - et à partir de quand ?

Sont concernés les « produits comportant des éléments numériques » qui disposent de connexions logiques ou physiques directes ou indirectes pour la transmission de données.

Un exemple :
Un appareil de mesure avec écran sans interface dispose certes d'éléments numériques, mais n'est pas connecté. Toutefois, dès lors qu'il existe une capacité de communication dans le cadre d'une utilisation normale ou raisonnablement prévisible, le règlement s'applique.

Le CRA ne s'applique pas rétroactivement aux produits mis sur le marché avant le 11 décembre 2027. Toutefois, si des modifications importantes sont apportées à un produit existant après la date butoir, le règlement s'applique.

En principe, c'est le fabricant qui est responsable de la conformité CE. Dans la pratique, cependant, les exigences seront répercutées tout au long de la chaîne d'approvisionnement. Les fournisseurs B2B devraient donc eux aussi se pencher sur cette question dès maintenant.

⚡Ce que les entreprises devraient faire maintenant