Le Cyber Résilience Act, règlement européen (n° 2024/2847), est entré en vigueur le 10 décembre 2024. Il marque un tournant dans la cybersécurité européenne en imposant de nouvelles règles pour les produits comportant des éléments numériques.

L'intensification du nombre et de l’ampleur des cyberattaques ces dernières années est devenue un enjeu majeur pour l’Union européenne. Face à cette menace, le Cyber Resilience Act vise à remédier à l’une des principales vulnérabilités à l’origine des cyberattaques : le faible niveau de cybersécurité des produits et l’absence de mises à jour permettant de remédier aux failles de sécurité. Le règlement souhaite également permettre aux consommateurs et aux entreprises de détenir des informations suffisantes et précises quant aux produits numériques qu’ils achètent.

L’apport d’un niveau de cybersécurité élevé pour les produits numériques

Tout d’abord, le Cyber Resilience Act ou "CRA" donne une définition d’un "produit comportant des éléments numériques". Il s’agit de produits logiciel ou matériel, de solutions de traitement de données, mais également de composants logiciels ou matériels qui seraient mis sur le marché séparément. L’application du règlement ne couvre donc que les produits vendus sur le marché unique européen. Les logiciels fournis dans le cadre d’un service (mode SaaS) ou le traitement/stockage de données à distance ne sont pas concernés par l’application de ce règlement, sauf "s’ils sont nécessaires à l’exécution des fonctions d’un produit comportant des éléments numériques1.

Le Cyber Resilience Act vise à remédier au faible niveau de cybersécurité des produits et l’absence de mises à jour permettant de remédier aux failles de sécurité

Cette définition est essentielle pour comprendre le champ d’application du règlement. En effet, ce sont ces produits comportant des éléments numériques qui devront satisfaire aux nouvelles exigences en matière de cybersécurité pour être mis sur le marché. Cela va du serveur informatique, en passant par le gestionnaire de mot de passe jusqu’aux jouets connectés. En cas de non-conformité, la mise à disposition du produit sur le marché pourrait être interdite ou, si le produit était déjà sur le marché, un retrait immédiat pourrait être ordonné. Cette interdiction ou ce retrait n’exclut pas l’application de sanctions administratives particulièrement dissuasives en cas de non-respect dudit règlement, pouvant atteindre jusqu’à 2,5 % du chiffre d’affaires mondial de l’entreprise, ou 15 millions d’euros.

Les nouvelles obligations en matière de cybersécurité

Les obligations prévues par le CRA s’imposent aux différents opérateurs économiques qui composent la chaîne d’approvisionnement des produits comportant des éléments numériques : le fabricant, l’importateur et le distributeur. Ces obligations étant fixées aux opérateurs économiques au regard de leur rôle et responsabilités respectives dans la mise à disposition sur le marché des produits comportant des éléments numériques, la majorité d’entre elles concernent les fabricants. Les articles 13 et 14 du CRA prévoient ainsi pour ces derniers un large nombre d’exigences.

Pour qu’il puisse être mis sur le marché, le fabricant doit s’assurer que le produit répond aux exigences essentielles de cybersécurité prévues à l’annexe 1 du CRA, étant souligné que "l’autorité de surveillance du marché" (a priori l’ANSSI en France) pourra s’assurer de cette conformité sur simple requête motivée, selon une logique d’accountability déjà bien connue de la législation européenne. Pendant une période minimum de 5 ans, dite période d’assistance, le fabricant a l’obligation de gérer les vulnérabilités qui pourraient survenir sur le produit comportant des éléments numériques.

En outre, le fabricant se voit imposer une procédure stricte de communication et de notification via une "plateforme unique" pour toute "vulnérabilité activement exploitée" ou "incident grave" relatif au produit comprenant des éléments numériques, dont il a eu connaissance. Il convient de préciser que cette obligation s’applique, par exception, à compter du 11 septembre 2026. Pour les autres obligations s’appliquant aux opérateurs économiques, celles-ci s’appliqueront à compter du 11 décembre 2027.

L’articulation avec la Directive NIS 2 et comment s’y retrouver entre tous les dispositifs réglementaires européens

Le Cyber Resilience Act doit s’entendre "en complément" de la directive NIS 2. En effet, le règlement CRA s’intègre au sein du cadre législatif européen en matière de cybersécurité. Ainsi, tandis que la directive n° 2022/2555 du 14 décembre, communément appelée directive "NIS 2", vise à renforcer le niveau de cybersécurité global au sein de l’Union européenne en prévoyant de nombreuses obligations incombant à certaines sociétés jugées particulièrement importantes pour le marché européen, le règlement CRA introduit un système de règles horizontales permettant de réglementer spécifiquement le secteur des produits comportant des éléments numériques. Dès lors, ces deux textes européens se complètent.

Le Cyber Resilience Act doit s’entendre "en complément" de la directive NIS 2

Dans cette optique, le règlement CRA permet aux entités essentielles et importantes visées à l’article 3 de la directive NIS 2, et en particulier aux fournisseurs d’infrastructures numériques, de respecter plus facilement leurs obligations relatives à la chaîne d’approvisionnement, en offrant un cadre sécurisé dans l’utilisation de produits comprenant des éléments numériques pour la fourniture de leurs services 2.

En outre, le règlement CRA prévoit une articulation cohérente des règles applicables aux produits comprenant des éléments numériques constituant des "systèmes d’intelligence artificielle à haut risque" tels que définit dans le Règlement sur l’intelligence artificielle (RIA) du 13 juin 2024 en instaurant une présomption de conformité aux exigences d’exactitude, de robustesse et de cybersécurité prévues dans ce texte 3. La pluralité de textes réglementaires (sans compter ceux à venir) : RGPD, NIS II, RIA, DORA, CRA, appliqués aux activités digitales, bouleverse les entreprises qui n’ont pas d’autres choix que de se mettre en conformité sous peine d’être sanctionnées financièrement, d’être mises au banc des "mauvais élèves", de perdre en notoriété et, in fine, de subir une perte de chiffre d’affaires.

Cela exige la mise en place d’un plan d’action à bâtir entre juristes, techniciens et responsables de la conformité afin de cartographier l’ensemble des risques mentionnés dans ces différents textes et au regard des sanctions potentielles. En bref, un énorme chantier très complexe pour lequel les opérateurs économiques doivent être accompagnés.

 

SUR L’AUTEUR

Spécialiste reconnu en droit de l’informatique et des technologies nouvelles, François-Pierre Lani apporte personnellement toute son expérience et son savoir-faire dans les dossiers les plus complexes du domaine des nouvelles technologies. Il est associé du cabinet Derriennic Associés depuis 25 ans après avoir exercé des fonctions de directeur juridique et de business developper à l’international en entreprise.

François-Pierre Lani, qui s’est intéressé dès le début des années 1990 à l’intelligence artificielle en collaborant à un outil de génération de contrat (Juridia), intervient dans de nombreux colloques sur l’intelligence artificielle, mais également sur les risques informatiques. Il a eu l’occasion au travers de colloques, mais également de rubriques de dénoncer la production de trop nombreux textes réglementaires relatifs au digital.

Personne citée :

François-Pierre Lani

François-Pierre Lani

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Commander