Aujourd’hui, plus de 15 milliards d’appareils sont connectés dans le monde, et ce chiffre pourrait atteindre entre 29 et 42 milliards d’ici 2034. Cette expansion rapide du numérique s’accompagne d’une multiplication des vulnérabilités et des menaces de cyberattaque.

Pour répondre à ces défis et protéger les consommateurs et les entreprises face à ces menaces croissantes, la Commission européenne a adopté en octobre 2024 le « Cyber Resilience Act - CRA » (Règlement UE n°2024/2847).

Ce règlement, directement applicable à tous les état membres de l'UE, vient compléter la directive NIS2 et le règlement DORA en instaurant des exigences transversales de cybersécurité applicables à tous les produits comportant des éléments numériques, et ce, tout au long de leur cycle de vie.

Calendrier d’application

  • 10/12/2024 : Entrée en vigueur du CRA
  • 11/09/2026 : Obligations de notification des vulnérabilités pour les fabricants
  • 11/12/2027 : Application complète pour les produits mis sur le marché de l'UE

Les enjeux de la Cyber résilience 

la cyber-résilience désigne la capacité d’un système d’information à résister aux cyberattaques et aux pannes accidentelles, puis à retrouver un fonctionnement satisfaisant. La directive (UE) nº2022/2557 enrichit cette définition en y intégrant les notions de prévention, réaction, atténuation et récupération après incident.

Les principaux objectifs 

  • La responsabilisation des professionnels 
  • L'harmonisation européenne 
  • La transparence pour les utilisateurs/consommateurs

Ce règlement impose ainsi aux fabricants, importateurs et distributeurs de se conformer à un ensemble d’obligations techniques et organisationnelles

Quels produits sont concernés ?

Le CRA vise tous les « produits comportant des éléments numériques », matériels ou logiciels.

Sont notamment concernés :

  • les produits purement matériels (hardware) intégrant des fonctions numériques ; 
  • les produits purement logiciels (software), y compris lorsqu’ils sont fournis séparément ; 
  • les solutions de traitement de données à distance associées à ces produits (par exemple services cloud nécessaires à leur fonctionnement) 
  • les composants logiciels ou matériels commercialisés isolément lorsqu’ils sont destinés à être intégrés dans un produit comportant des éléments numériques.

Sont visés notamment : Ordinateurs, téléphones, voitures connectées, électroménagers intelligents, objets/jouets connectés, Systèmes essentiels tels que VPN, antivirus, gestionnaires de mots de passe, logiciels cloud et systèmes d’exploitation...

Sont exclus :

  • Logiciels fournis uniquement en tant que service (SaaS)
  • Les produits qui restent encadrés par NIS2 ou d’autres législations sectorielles (tels que pour les dispositifs médicaux et véhicules)
  • Produits liés au domaine militaire ou régalien

Quelles sont les obligations majeures ?

Les exigences clés pour tous les acteurs impliqués sont les suivantes :

  • Cybersécurité intégrée dès la conception (« security by design »)
  • Documentation claire sur la sécurité accompagnant chaque produit
  • Notification obligatoire de toute vulnérabilité activement exploitée et de tout incident grave, accompagnée de l’émission de rapports détaillés.
  • Surveillance post-commercialisation en continue
  • Fourniture de correctifs pendant au moins cinq ans et dix ans pour les mises à jour de sécurité
  • Limitation stricte de la collecte et de l’utilisation des données et possibilité pour l’utilisateur de supprimer facilement ses données

Quelles sanctions ?

Les autorités nationales (en France, l’ANSSI) peuvent imposer des amendes pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.

Ces sanctions s’appliquent en particulier en cas de manquement aux exigences essentielles de cybersécurité prévues par le règlement.

Outre les amendes, les autorités peuvent aussi exiger la cessation de la non-conformité, restreindre la mise à disposition d’un produit, imposer son retrait du marché ou son rappel.

                                                                                      ***

Pour anticiper efficacement le Cyber Resilience Act (CRA), adoptez une démarche condensée et ciblée :

  • Identifiez précisément votre rôle (fabricant, importateur, distributeur…) pour cerner vos obligations.
  • Commercialisez uniquement des produits portant le marquage CE afin de bénéficier de la présomption de conformité.
  • Mettez en place un dispositif de détection et de signalement systématique des vulnérabilités, ainsi qu’une gestion renforcée de celles-ci.
  • Fournissez à vos clients une documentation claire et complète sur la sécurité du produit.
  • Prévoyez des mises à jour de sécurité pendant au moins dix ans après la mise sur le marché.
  • Assurez-vous du respect des exigences CRA tout en veillant à la conformité avec le RGPD et les réglementations sur les données personnelles.
  • Ne négliger pas vos sous-traitants dans le process de conformité.
  • Auditez vos actuels contrats et faites les mises à jour juridiques et opérationnelles nécessaires.

Votre avocat vous conseille dans l’identification de vos obligations réglementaires en droit des nouvelles technologies, y compris celles relatives à la protection des données personnelles, et dans la gestion préventive comme réactive du risque cyber afin de sécuriser la mise à disposition de vos produits numériques.

                                                                                    ***

Public concerné par cet article : Dirigeant/DAF/DSI/CTO/DPO/Responsables juridiques/Equipe IT et développement/Responsable conformité

contact : aoffroy@avocats.deloitte.fr