Cette nouvelle réglementation européenne sur les « exigences horizontales en matière de cybersécurité pour les produits avec des éléments numériques » vise à traiter une source majeure de vulnérabilités : le faible niveau de cybersécurité de nombreux produits connectés vendus sur le marché européen, allant des jouets connectés aux téléviseurs intelligents, en passant par les logiciels B2B et les systèmes industriels complexes dotés de fonctionnalités de connectivité. Pour la première fois, la CRA impose des exigences minimales en matière de cybersécurité à ces produits, à la fois avant leur mise sur le marché et après, garantissant que les vulnérabilités en matière de cybersécurité soient traitées tout au long du cycle de vie du produit.

La proposition initiale de cette réglementation avait été présentée par la Commission européenne le 15 septembre 2022. Dans le cadre du processus législatif de l'UE, elle a ensuite été examinée par le Conseil de l'UE et le Parlement européen. Les deux institutions ont trouvé un accord sur un texte révisé environ un an plus tard, le 30 novembre 2023. En raison de certains retards procéduraux liés à l’organisation des élections européennes du 9 juin 2024, la CRA n’a été signée en loi et publiée au Journal officiel de l’UE le 20 novembre 2024. Le texte entre officiellement en vigueur 20 jours après sa publication, soit le 10 décembre 2024.

Tout au long du processus d’adoption, la Belgique a joué un rôle actif en promouvant une approche proportionnée des exigences de la CRA. Conformément aux recommandations du CCB, nous avons plaidé pour des mesures simples ayant un réel impact sur la réduction des vulnérabilités, telles que l’introduction d’un paramètre par défaut garantissant que les mises à jour de sécurité soient installées automatiquement, ou encore l’obligation pour les fabricants d’informer les utilisateurs de la durée de la période de support pour leurs produits connectés (c’est-à-dire la date jusqu’à laquelle ils s’engagent à fournir des mises à jour de sécurité).

En pratique, une période de transition est prévue pour garantir que les opérateurs économiques aient suffisamment de temps pour s’adapter aux nouvelles exigences :

• Dans une première phase, qui commence dans 21 mois à compter d’aujourd’hui, les fabricants de produits connectés devront notifier les autorités publiques des incidents et des vulnérabilités affectant la sécurité de leurs produits. Cela permettra une plus grande transparence et garantira un développement et un déploiement rapides des mises à jour de sécurité afin de corriger les vulnérabilités.

• Dans une deuxième phase, qui commence dans 3 ans à compter d’aujourd’hui, toutes les exigences de la CRA s’appliqueront, y compris les dispositions relatives à la sécurité par défaut, à la transparence pour les utilisateurs et à la surveillance du marché. À ce moment-là, les produits connectés devront subir une évaluation de conformité avant d’être vendus en Europe, quel que soit le lieu de fabrication. Un processus de conformité simplifié basé sur l’auto-déclaration est prévu pour les produits à faible risque, tandis que les produits les plus importants et critiques devront faire l’objet d’une évaluation détaillée par des auditeurs tiers (appelés « organismes d’évaluation de la conformité »).

Pour des informations plus détaillées sur les nouvelles règles, consultez notre page CRA et la page avec les réponses aux questions fréquemment posées (FAQ) ou le texte complet de la réglementation.