Le Cyber Resilience Act (CRA), nouvelles règles de cybersécurité de l'Union européenne, est entré en vigueur

Les nouvelles règles de cybersécurité de l'Union européenne, connues sous le nom de Cyber Resilience Act (CRA), sont désormais en application, imposant des exigences strictes pour les appareils connectés.

Le Cyber Resilience Act (CRA) de l'UE, qui vise à renforcer la sécurité des produits avec des éléments numériques (PDE), est entré en vigueur ce 10 décembre 2024. Les fabricants et distributeurs de PDE utilisés dans l'UE ont jusqu'à décembre 2027 pour se conformer aux nouvelles exigences. Cela concerne les logiciels, l'Internet des objets, comme les réfrigérateurs intelligents ou les jouets connectés.

Ce règlement s'inscrit dans la stratégie globale de cybersécurité de l'UE et complète d'autres législations européennes en vigueur. Le CRA couvre une large gamme de dispositifs connectés et impose des obligations tout au long du cycle de vie des produits, y compris des exigences en matière de signalement des vulnérabilités et des incidents. Les sanctions pour non-conformité peuvent atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial. Les autorités de surveillance du marché des États membres de l'UE seront chargées de l'application du CRA.

Implications et obligations du CRA

Les fabricants de PDE doivent assurer un niveau de cybersécurité adapté aux risques potentiels associés à l'utilisation prévue des appareils. Ils devront suivre diverses obligations liées à la cybersécurité, y compris la notification aux régulateurs compétents des vulnérabilités exploitées activement et des incidents graves à partir du 11 septembre 2026.

Les importateurs et distributeurs dans l'UE devrons également vérifier que les appareils respectent les procédures d'évaluation de la conformité et que les informations nécessaires sont fournies par les fabricants. Les autorités de surveillance du marché contrôleront la conformité et pourront inspecter les dispositifs connectés et demander l'accès à toutes les informations pertinentes. Les fabricants devront coopérer avec ces autorités et mettre en œuvre de nouvelles mesures pour gérer les risques de cybersécurité identifiés. La collaboration avec d'autres régulateurs locaux et de l'UE, tels que les autorités de protection des données, l'Agence de l'Union européenne pour la cybersécurité (ENISA) et les équipes de réponse aux incidents de sécurité informatique (CSIRTs), est prévue.

Interaction avec d'autres lois numériques de l'UE

Le CRA réglemente les PDE impliquant le traitement à distance des données, personnelles et non personnelles. Les entreprises concernées devront également se conformer aux dispositions du RGPD si le PDE est utilisé pour traiter des données personnelles. De plus, depuis janvier 2024, le Data Act impose de nouvelles exigences importantes sur le partage des données, en particulier lorsque les utilisateurs de produits connectés souhaitent accéder à leurs données (non personnelles) ou changer de fournisseur de services.

Les entreprises développant des PDE alimentés par des systèmes d'IA devront également se conformer aux exigences supplémentaires imposées par la récente loi sur l'IA. Elles devront examiner leur qualification de produit en vertu du CRA et du RGPD pour déterminer comment mener correctement les évaluations de conformité et de risque. Les fabricants basés hors de l'UE, y compris aux États-Unis, qui commercialisent des PDE pour une utilisation dans l'UE, devront collaborer avec les importateurs et distributeurs de l'UE pour répondre aux exigences du CRA.