Rendre les produits connectés plus sûrs

Le Cyber Resilience Act (CRA) a été publié le 20 novembre 2024. Ce nouveau règlement de l'UE contient des « exigences horizontales en matière de cybersécurité pour les produits à éléments numériques ». Autrement dit, il impose des exigences minimales de cybersécurité pour tous les produits connectés mis sur le marché de l'UE, rendant ainsi l'Internet des objets (IoT) plus sûr. Les nouvelles règles s'appliqueront dans tous les pays de l'UE et seront mises en œuvre progressivement. Il est finalement attendu que le CRA contribue à la vision du CCB de rendre la Belgique plus sûre sur le plan cyber en veillant à ce que les citoyens et les organisations, tant publiques que privées, soient moins vulnérables aux cyberattaques.

Voir également ci-dessous les Questions et Réponses sur le CRA

Pourquoi cette réglementation?

Les citoyens et les organisations dépendent de plus en plus des produits connectés dans leurs activités quotidiennes. Pensez par exemple aux smartphones, aux caméras intelligentes utilisées à des fins de sécurité, aux compteurs intelligents qui sont utilisés pour optimiser la production et la consommation d'électricité, etc. Dans le même temps, de nombreux produits connectés mis sur le marché ont encore des normes de cybersécurité faibles (par exemple des mots de passe par défaut faibles, l'absence de chiffrement des données…), ce qui en fait des cibles idéales pour les cyberattaques. De telles vulnérabilités mineures peuvent même provoquer des attaques graves de la chaîne d'approvisionnement, affectant des entités essentielles, avec des impacts potentiellement graves sur notre économie et notre société dans son ensemble. Puisque les utilisateurs ne sont souvent pas conscients des risques et sont mal équipés pour se protéger, le CRA a été conçu pour s'assurer que les fabricants fassent leur part en concevant des produits plus sûrs d'un point de vue cyber et en facilitant la mise en sécurité des produits tout au long de leur cycle de vie.

Quels « produits connectés » sont concernés par le CRA?

Les produits couverts par le CRA varient des produits bon marché pour les consommateurs aux logiciels B2B et aux systèmes industriels complexes. Plus précisément, les « produits à éléments numériques » sont définis comme des produits qui peuvent, d'une manière ou d'une autre, être connectés à un appareil ou à un réseau et comprennent :

  • les produits matériels avec des fonctionnalités connectées telles que les smartphones, ordinateurs portables, caméras domestiques, montres intelligentes, jouets connectés, mais aussi les modems, pare-feu et compteurs intelligents,
  • les logiciels qui ne sont pas intégrés dans un produit et vendus séparément, comme les logiciels de comptabilité et les applications de jeux mobiles.

Cependant, les produits suivants ne sont pas soumis aux exigences du CRA :

  • les logiciels open source non commerciaux,
  • les pièces détachées destinées à remplacer des composants identiques dans les produits connectés (à condition qu'elles soient fabriquées selon les mêmes spécifications),
  • les prototypes présentés lors de salons commerciaux (sous certaines conditions),
  • les logiciels non terminés utilisés à des fins de test pendant une période limitée (sous certaines conditions),
  • les services cloud et les logiciels en tant que service (SaaS), qui sont régulés séparément par la directive NIS2,
  • les produits « exclusivement développés ou adaptés à des fins de sécurité nationale ou de défense » ou spécifiquement conçus pour traiter des informations classifiées,
  • les produits couverts par des législations européennes spécifiques telles que les dispositifs médicaux, les véhicules à moteur, le matériel maritime et les produits utilisés dans l'aviation civile.

Qui est soumis aux nouvelles règles?

Tous les fabricants qui mettent des produits sur le marché de l'UE doivent se conformer au CRA, même s'ils sont établis en dehors de l'UE. Par exemple, le CRA s'applique à un développeur américain qui vend une application mobile sur des téléphones européens ou à un fabricant chinois qui vend des panneaux solaires en Belgique.

Le CRA impose principalement des obligations aux fabricants (concernant la conception, l'évaluation de la conformité de leurs produits, la déclaration des vulnérabilités et des incidents, la transparence à l'égard des utilisateurs...) afin de s'assurer que leurs produits sont sûrs avant d'être mis sur le marché de l'UE, mais aussi tout au long du cycle de vie du produit.

Le CRA contient également des dispositions qui concernent d'autres parties, telles que les importateurs, les distributeurs, les gestionnaires de logiciels open source (comme les fondations), les organismes d'évaluation de la conformité (OEC) et les autorités publiques (agences nationales de cybersécurité, autorités de surveillance du marché).

Quelles sont les principales obligations pour les fabricants de produits connectés?

La principale nouveauté du CRA est qu'il définit un niveau minimum de cybersécurité pour tous les produits connectés disponibles sur le marché de l'UE – quelque chose qui n'existait pas auparavant. Par exemple :

  • Conformément au principe du « cybersécurité by design », les produits connectés doivent être conçus en tenant compte de la cybersécurité, par exemple en veillant à ce que les données stockées ou transmises dans ou par le produit soient chiffrées et que la surface d'attaque soit aussi réduite que possible.
  • Conformément au principe du « cybersécurité by default », les paramètres par défaut des produits connectés doivent, dans la mesure du possible, contribuer à réduire les vulnérabilités, par exemple en interdisant les mots de passe par défaut faibles, en prévoyant une installation automatique des mises à jour de sécurité, etc.
  • Pour aider les utilisateurs à prendre des décisions d'achat en fonction non seulement du prix et de la fonctionnalité, mais aussi du niveau de cybersécurité, le CRA accroît la transparence pour les utilisateurs en exigeant une divulgation claire, sur le produit ou l'emballage, de la date de fin de la période de support, c'est-à-dire la date jusqu'à laquelle le fabricant s'engage à fournir des mises à jour de sécurité.
  • Pour soutenir l'échange d'informations sur les vulnérabilités et garantir une résolution rapide via des correctifs, le CRA oblige à déclarer toutes les vulnérabilités activement exploitées, ainsi que les incidents graves affectant la sécurité des produits connectés, aux autorités publiques dans les 72 heures (avec un avertissement précoce dans les 24 heures). Afin de faciliter le processus de déclaration pour les fabricants et de garantir un échange sécurisé et efficace des données entre les équipes européennes de réponse aux incidents de sécurité informatique (CSIRT) et l'ENISA, le CRA prévoit la mise en place d'une nouvelle plateforme centrale de déclaration avec plusieurs « points de contact » nationaux.

Les règles sont-elles identiques pour tous les produits?

Oui et non. D'une part, le CRA contient un ensemble unique d'exigences de cybersécurité qui s'appliquent à tous les produits connectés, qu'ils soient bon marché ou coûteux, qu'ils soient utilisés par des consommateurs individuels ou des utilisateurs professionnels avancés. Les obligations de déclarer les vulnérabilités et les incidents et d'indiquer clairement la fin de la période de support pour un produit, par exemple, s'appliquent à tous les types de produits.

D'autre part, la procédure permettant d'évaluer si les produits sont conformes aux règles du CRA diffère pour les produits standard et les produits considérés comme plus sensibles d'un point de vue cybersécurité. Ces produits, dits « importants » ou « critiques », sont inclus dans les annexes III et IV du règlement (par exemple, les gestionnaires de mots de passe, les pare-feu, les cartes intelligentes, les compteurs intelligents…). Ces produits devront suivre des procédures d'évaluation de la conformité plus strictes, par exemple obtenir une certification de cybersécurité de l'UE (ou une certification nationale équivalente), être évalués pour leur conformité par un auditeur tiers dans le cadre du système législatif actuel sur les produits (NLF), ou – dans des cas limités – se conformer aux normes harmonisées reconnues au niveau européen pour couvrir les exigences du CRA.

Qu'en est-il des logiciels open source?

Il est important de noter que les logiciels open source non commerciaux, tels que les logiciels dont le code source est disponible publiquement et qui peuvent être téléchargés gratuitement, ne sont pas soumis aux obligations du CRA, car de nombreux projets open source reposent sur la contribution de bénévoles et imposer des obligations légales strictes à ces projets pourrait mettre en danger leur existence.

Cependant, d'autres types de logiciels open source sont distribués commercialement et peuvent être utilisés à grande échelle par des individus et des organisations dans le monde entier. Ces logiciels doivent être traités de la même manière que les autres logiciels commerciaux et sont donc soumis aux mêmes exigences du CRA.

Le CRA prévoit toutefois un régime spécifique pour les logiciels open source commerciaux gérés selon un modèle de fondation, car les fondations jouent souvent le rôle de « gestionnaires » de projets open source et ne peuvent être tenues responsables du travail des développeurs individuels. Dans le cadre du régime spécifique créé par le CRA, les gestionnaires de logiciels open source n'ont pas à suivre les procédures d'évaluation de la conformité du CRA, mais doivent documenter leur politique de cybersécurité. Ils doivent également déclarer les incidents graves et les vulnérabilités les concernant et sont encouragés à participer à des programmes de certification de sécurité volontaires.

N'y a-t-il pas un risque que les petits fabricants trouvent trop contraignant le respect de ces nouvelles règles?

Pour s'assurer que les petites et micro-entreprises ne soient pas désavantagées par rapport aux grandes entreprises, le CRA inclut plusieurs dispositions visant à réduire la charge de conformité pour les PME. Des exemples de telles mesures incluent la possibilité pour les PME d'utiliser un format simplifié pour l'émission de la documentation technique de leurs produits et l'obligation pour les organismes d'évaluation de la conformité de tenir compte de la taille d'une entreprise lorsqu'ils déterminent le montant des frais à payer pour une évaluation de la conformité.

Les autorités publiques joueront également un rôle clé dans le soutien des petits fabricants dans leurs efforts de conformité. La Commission européenne s'est engagée à publier des lignes directrices du CRA spécialement destinées aux PME, tandis que chaque pays de l'UE doit établir un canal dédié pour la communication avec les micro- et petites entreprises afin de répondre à leurs questions et demandes de conseils sur la mise en œuvre du CRA.

Qu'est-ce que le CRA va signifier pour les consommateurs et les utilisateurs commerciaux de produits connectés?

De nos jours, les consommateurs ont souvent du mal à savoir si un produit connecté est suffisamment sécurisé ou s'il peut être facilement piraté par des tiers. Grâce au CRA, les consommateurs européens peuvent être sûrs que les produits qu'ils achètent sur le marché de l'UE respectent des normes minimales et, par exemple, ne présentent pas de vulnérabilités connues importantes ni des paramètres par défaut faibles.

Mais le CRA permet également aux consommateurs de faire des choix plus éclairés en exigeant des fabricants qu'ils soient transparents sur le niveau de cybersécurité offert par leurs produits. L'une des principales innovations du CRA est qu'il oblige les fabricants à indiquer clairement, sur le produit, l'emballage ou une page web facilement accessible, jusqu'à quelle date les mises à jour de sécurité seront fournies pour le produit. En d'autres termes, les utilisateurs peuvent non seulement comparer les produits en fonction du prix et des fonctionnalités, mais aussi en fonction de la durée de la période de support – un indicateur clé pour garantir que les produits puissent être utilisés en toute sécurité pendant leur durée de vie prévue.

Quel rôle joue le CCB dans l'assurance de la mise en œuvre du CRA?

En favorisant la cybersécurité par défaut et dès la conception, en rendant obligatoire la déclaration des vulnérabilités activement exploitéées et en garantissant un bon processus de mise à jour, le CRA aidera le CCB à réaliser sa vision de faire de la Belgique l'un des pays les moins vulnérables dans le domaine de la cybersécurité. En tant qu'autorité nationale en matière de cybersécurité :

  • Il travaille à sensibiliser les citoyens et les organisations à l'importance de la cybersécurité et à promouvoir des mesures de protection efficaces. Ainsi, le CCB soutiendra la sensibilisation et la conformité au CRA, en accordant une attention particulière aux petits fabricants et développeurs. Par exemple, le Centre National de Coordination (NCC-BE) informera les acteurs du marché belge sur les possibilités de financement de l'UE, ainsi que sur les formations et outils disponibles pour soutenir la mise en œuvre du CRA.
  • Il agit comme équipe de réponse aux incidents de sécurité informatique (CSIRT) pour la Belgique, recevant les signalements de vulnérabilités et d'incidents de la part des organisations, qu'ils soient obligatoires ou volontaires. Dans le cadre du CRA, le CCB rejoindra la future plateforme centrale de déclaration développée par l'ENISA pour recueillir les signalements de vulnérabilités et d'incidents des fabricants de produits connectés soumis aux exigences de déclaration du CRA.
  • Il agit en tant qu'Autorité nationale de certification en cybersécurité (NCCA). À ce titre, le CCB contribue activement à l'élaboration des normes du CRA et joue un rôle dans la surveillance du cadre d'évaluation de la conformité du CRA – ce qui inclura dans certains cas une certification de cybersécurité.

Quand le CRA entre-t-il en vigueur?

Le CRA entre officiellement en vigueur 20 jours après sa publication, soit le 10 décembre 2024. Étant donné qu'il s'agit d'un règlement de l'UE et non d'une directive, il est directement applicable dans tous les pays de l'UE sans nécessité de transposition nationale. Toutefois, une période de transition est prévue pour garantir que les opérateurs économiques disposent de suffisamment de temps pour se conformer aux nouvelles exigences. L'implémentation du CRA se déroulera donc en plusieurs étapes entre fin 2024 et 2027 :

  • 18 mois après l'entrée en vigueur du CRA, les organismes d'évaluation de la conformité (OEC) seront habilités à évaluer la conformité des produits avec les exigences du CRA.
  • 3 mois plus tard, les fabricants de produits connectés seront soumis aux obligations de déclaration des vulnérabilités et des incidents.
  • Enfin, 3 ans après l'entrée en vigueur du CRA, toutes les exigences du CRA seront applicables, y compris les exigences essentielles de cybersécurité avant qu'un produit ne soit mis sur le marché, la gestion des vulnérabilités tout au long du cycle de vie du produit et la transparence à l'égard de l'utilisateur.

Questions and answers on the Cyber Resilience Act (CRA)

Frequently Asked Questions

 

La réglementation sur la cyberrésilience ou Cyber Resilience Act (CRA) a été adoptée le 20/11/2024. Voici quelques réponses préliminaires aux questions les plus fréquemment posées sur cette nouvelle réglementation européenne et sur son application en Belgique. Veuillez garder à l'esprit que les conseils fournis ici sont donnés à titre d'information uniquement et ne constituent pas un avis juridique. Le texte juridique de la CRA, une fois publié, prévaudra sur toutes les explications fournies ici. 

  • Qu'est-ce que le CRA?

    Le CRA est le premier règlement européen qui impose des exigences minimales en matière de cybersécurité à tous les produits connectés mis sur le marché européen. Son objectif : rendre l'internet des objets plus sûr. Les nouvelles règles s'appliqueront à tous les pays de l'UE et seront mises en œuvre progressivement. Le CRA devrait contribuer à la vision du CCB consistant à rendre la Belgique moins vulnérable dans le domaine cyber en veillant à ce que les citoyens et les organisations, publiques comme privées, soient mieux protégés contre les cyberattaques.

    Les citoyens et les organisations utilisent de plus en plus de produits connectés dans leur vie quotidienne. Dans le même temps, de nombreux produits connectés mis sur le marché présentent encore des standards de cybersécurité faibles (par exemple, des mots de passe par défaut peu sécurisés, des mécanismes de transfert ou de stockage de données non chiffrés, des processus de mise à jour difficiles...), ce qui en fait des cibles idéales pour les cyberattaques. Étant donné que les utilisateurs ne sont souvent pas conscients des risques et ne sont pas suffisamment équipés pour se protéger, le CRA vise à s’assurer que les fabricants contribuent à sécuriser leurs produits et à faciliter le maintien d’un haut niveau de cybersécurité tout au long du cycle de vie des produits.

  • Quels sont les "produits connectés" couverts par le CRA?

    Les produits couverts par le CRA vont des produits de consommation bon marché aux logiciels d’entreprises en passant par des systèmes industriels complexes. Plus précisément, les "produits comportant des éléments numériques" sont définis comme des produits pouvant être connectés à un dispositif ou à un réseau quelconque et comprennent :

    • les produits physiques (hardware) dotés de fonctions connectées, tels que les smartphones, les ordinateurs portables, les caméras domestiques, les montres connectées, les jouets connectés, mais aussi les modems, les pare-feu et les compteurs intelligents, 
    • les logiciels (software) non intégrés dans un produit et vendus de manière distincte, par exemple les logiciels de comptabilité, les jeux en ligne ou encore les applications mobiles.

    Les produits NON soumis aux exigences du CRA comprennent les logiciels libres non commerciaux, les services cloud et Software as a Service (SaaS), ces deux derniers étant déjà réglementés par la directive NIS2.

  • À qui s’appliquent les nouvelles règles?

    Tous les fabricants qui mettent des produits sur le marché européen devront se mettre en conformité avec le CRA, même s'ils sont établis en dehors de l'UE. Par exemple, la CRA s'applique à un développeur américain qui vend une application mobile sur des téléphones européens ou à un fabricant chinois qui vend des panneaux solaires en Belgique. En outre, les distributeurs et les importateurs de produits connectés devront également s'y conformer.

  • Quelles sont les nouvelles exigences?

    La grande nouveauté du CRA est la mise en place d’un niveau minimum de cybersécurité pour tous les produits connectés disponibles sur le marché européen, ce qui n'existait pas auparavant. Par exemple :

    • Conformément au principe de "cybersecurity by design", les produits connectés devront être conçus en tenant compte de la cybersécurité, par exemple en veillant à ce que les données sensibles stockées ou transmises via le produit soient chiffrées et que la surface d'attaque soit aussi limitée que possible. 
    • Conformément au principe de "cybersecurity by default", les paramètres par défaut des produits connectés devront, dans la mesure du possible, contribuer à réduire les vulnérabilités, par exemple en interdisant les mots de passe faibles par défaut, en prévoyant l'installation automatique des mises à jour de sécurité, etc.
    • Afin d'aider les utilisateurs à prendre des décisions d'achat en connaissance de cause, c'est-à-dire non seulement en fonction du prix et des fonctionnalités, mais aussi en fonction du niveau de cybersécurité, le CRA renforce la transparence envers les utilisateurs. Le règlement exige, entre autres, que la date de fin de la période d'assistance - c'est-à-dire la date jusqu'à laquelle le fabricant s'engage à fournir des mises à jour de sécurité – soit la clairement mentionnée sur le produit ou sur son emballage.
    • Afin de favoriser l'échange d'informations sur les vulnérabilités et leur remédiation rapide, le CRA exige que toutes les vulnérabilités activement exploitées, ainsi que les incidents graves ayant une incidence sur la sécurité des produits connectés, soient signalés aux autorités publiques dans un délai de 72 heures (avec une alerte rapide dans un délai de 24 heures). Pour faciliter le processus de notification pour les fabricants et pour garantir un partage sûr et efficace des données entre les équipes européennes de réponse aux incidents de sécurité informatique (CSIRT) et l'ENISA, le CRA prévoit la création d'une nouvelle plateforme unique de notification avec différents "points finaux" nationaux.
  • Les règles seront-elles identiques pour tous les produits?

    Oui, et non. D'un côté, le CRA contient un ensemble unique d'exigences en matière de cybersécurité qui s'appliqueront à tous les produits connectés, qu'ils soient bon marché ou coûteux, qu'ils soient utilisés par des consommateurs individuels ou par des utilisateurs professionnels avertis. L'obligation de signaler les vulnérabilités et d'indiquer clairement la fin de la période d'assistance sur le produit, par exemple, s'appliquera à tous les types de produits.

    D’un autre côté, la procédure d'évaluation de la conformité des produits dans le cadre du CRA sera différente pour les produits « standards » et pour les produits jugés plus sensibles du point de vue de la cybersécurité. Ces derniers sont appelés produits "importants" ou "critiques" et sont énumérés dans les annexes III et IV du règlement (par exemple, les gestionnaires de mots de passe, les pare-feu, les cartes à puce, les compteurs intelligents...). Ces produits serons soumis à des procédures d'évaluation de la conformité plus strictes, par exemple via l’obtention d’une certification de cybersécurité européenne (ou une certification nationale correspondante), via une évaluation de conformité par un auditeur externe dans le cadre de la législation existante sur les produits (NLF), ou - dans des cas limités – via la mise en place de normes harmonisées reconnues au niveau européen pour couvrir les exigences du CRA. L'UE travaille actuellement à l'élaboration des normes nécessaires pour ces différents types de produits. 

  • Qu'en est-il des logiciels libres ?

    Les logiciels libres non commerciaux ne sont pas soumis aux obligations du CRA, compte tenu du fait que de nombreux projets open source reposent sur la contribution de bénévoles. L'imposition d'obligations juridiques strictes à de tels projets risquerait d'en compromettre l'existence.

    Toutefois, les logiciels libres distribués à des fins commerciales seront traités de la même manière que les autres logiciels soumis aux exigences du CRA. À titre d'exception, au sein de cette catégorie, le CRA prévoit un régime spécial pour les logiciels libres à vocation commerciale gérés dans le cadre d'un modèle de fondation, compte tenu du fait que les fondations agissent généralement en tant que « coordonnatrices » de projets open source et ne peuvent donc être tenues pour responsables du travail des développeurs individuels.

    Pour tenir compte du fait que de nombreux produits commerciaux reposent en grande partie sur des logiciels libres, le CRA oblige les fabricants (ou les distributeurs ou les importateurs) de ces produits à s'assurer que les logiciels libres qu'ils utilisent sont suffisamment sécurisés. De cette manière, la possibilité d'attaques de la chaîne d'approvisionnement est limitée. 

  • Les petites entreprises et entrepreneurs ne risquent-ils pas d’être désavantagés par le coût de la mise en conformité avec le CRA?

    Afin de s'assurer que les microentreprises et les petites entreprises ne sont pas désavantagées par rapport aux grandes entreprises, le CRA comprend plusieurs dispositions visant à réduire la charge de conformité pour les PME. Parmi ces mesures figurent la possibilité pour les PME d'utiliser un format simplifié pour la publication de la documentation technique de leurs produits et l'obligation pour les organismes d'évaluation de la conformité de tenir compte de la taille de l'entreprise lorsqu'ils déterminent le montant des frais à payer pour les évaluations de conformité.

    Les autorités publiques ont également un rôle clé à jouer pour soutenir les petites entreprises dans leurs efforts de mise en conformité. La Commission européenne s'est engagée à publier des orientations sur le CRA spécialement destinées aux PME, tandis que chaque pays de l'UE doit mettre en place un canal de communication dédié aux micro et petites entreprises afin de répondre à leurs questions et demandes de conseils sur la mise en œuvre du CRA.

  • Le CRA prévoit la création d'une plateforme unique pour le signalement des vulnérabilités au niveau européen. Cela ne va-t-il pas permettre à des acteurs malveillants de trouver et d'exploiter plus facilement ces vulnérabilités?

    Tout d'abord, il est important de souligner que les fabricants ne devront signaler à la plateforme unique que les failles activement exploitées. Cela signifie que les vulnérabilités notifiées dans le cadre de l'ARC auront déjà été utilisées par des acteurs malveillants pour mener des cyberattaques. 

    Deuxièmement, l'objectif de la plateforme unique de signalement est d'assurer une transmission fluide et efficace des informations sur les vulnérabilités et les incidents entre les agences nationales de cybersécurité (Computer Security Computer Security Incident Response Teams), et avec l'ENISA. La plateforme ne stockera pas d'informations sensibles concernant, par exemple, des vulnérabilités non corrigées. Plusieurs garanties techniques, opérationnelles et organisationnelles seront mises en place pour s'assurer que la plateforme est développée et fonctionne de manière totalement sécurisée, en accordant une attention particulière à la confidentialité des données transmises.

    Enfin, il ne faut pas confondre la plateforme unique de signalement établie par l'ARC avec la base de données européenne sur les vulnérabilités établie par la directive NIS2.

  • Que signifiera le CRA pour les consommateurs et les utilisateurs professionnels de produits connectés?

    Aujourd'hui, il est difficile pour les consommateurs de savoir si un produit connecté est suffisamment sécurisé ou s'il peut être facilement piraté par des tiers. Grâce au CRA, les consommateurs européens auront la garantie que les produits qu'ils achètent dans l'UE sont conformes à des normes de cybersécurité minimales et ne présentent pas, de vulnérabilité majeure connue, ou de paramètres par défaut avec un faible niveau de cybersécurité.

    Le CRA permettra également aux consommateurs de faire des choix plus éclairés en exigeant des fabricants qu'ils fassent preuve de transparence quant à la période d’assistance des produits connectés, à savoir la date jusqu’à laquelle ils s’engagent à fournir des mises à jour de sécurité. En d'autres termes, les utilisateurs pourront comparer les produits non seulement en fonction de leur prix et de leurs caractéristiques, mais aussi en fonction de la durée de la période d’assistance - un indicateur important pour garantir que les produits peuvent être utilisés en toute sécurité pendant leur durée de vie prévue.

  • Quand le CRA va-t-il entrer en vigueur?

    Le CRA étant un règlement européen et non une directive, il sera directement applicable dans tous les pays de l'UE sans qu'il soit nécessaire de le transposer au niveau national. Une période de transition est toutefois prévue pour permettre aux opérateurs de disposer de suffisamment de temps pour s'adapter aux nouvelles exigences. Le Parlement européen a déjà voté sur une version préliminaire du texte. Après une révision juridico-linguistique, la législation devrait être officiellement votée par le Parlement européen nouvellement élu et par le Conseil de l'UE d’ici la fin de l'été 2024. Le texte final sera alors publié au Journal officiel de l'UE et entrera en vigueur 20 jours plus tard. La mise en œuvre du CRA se fera ensuite en plusieurs étapes entre la fin de l'année 2024 et l'année 2027 : 

    • 18 mois après l'entrée en vigueur du CRA, donc probablement vers le printemps 2026, les organismes d'évaluation de la conformité seront autorisés à évaluer la conformité des produits aux exigences du CRA.
    • 3 mois plus tard, donc probablement vers l'été 2026, les fabricants de produits connectés seront soumis aux obligations de déclaration des vulnérabilités et des incidents.
    • Enfin, 3 ans après l'entrée en vigueur du CRA, donc pas avant l'automne 2027, toutes les exigences légales s'appliqueront, y compris les normes minimales de cybersécurité avant la mise sur le marché d'un produit, la gestion des vulnérabilités pendant tout le cycle de vie du produit, et la transparence vis-à-vis des utilisateurs.