Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Annexe I EXIGENCES ESSENTIELLES DE CYBERSÉCURITÉ
Partie I Exigences de cybersécurité relatives aux propriétés des produits comportant des éléments numériques
Les produits comportant des éléments numériques sont conçus, développés et fabriqués de manière à garantir un niveau de cybersécurité approprié en fonction des risques.
Sur la base de l’évaluation des risques de cybersécurité visée à l’article 13, paragraphe 2, les produits comportant des éléments numériques doivent, le cas échéant:
être mis à disposition sur le marché sans vulnérabilité exploitable connue;
être mis à disposition sur le marché avec une configuration de sécurité par défaut, sauf accord contraire entre le fabricant et l’entreprise utilisatrice en ce qui concerne un produit sur mesure comportant des éléments numériques, y compris la possibilité de réinitialiser le produit à son état d’origine;
être conçus de façon à ce leurs vulnérabilités puissent être corrigées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour automatiques de sécurité régulières activées par défaut, mais faciles à désactiver, par la communication aux utilisateurs des mises à jour disponibles et par la possibilité de les différer temporairement;
assurer la protection contre les accès non autorisés par des mécanismes de contrôle appropriés, y compris, mais sans s’y limiter, par des systèmes d’authentification, d’identité ou de gestion des accès et signaler tout accès non autorisé;
protéger la confidentialité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, par exemple en chiffrant les données pertinentes au repos ou en transit au moyen de mécanismes de pointe et par d’autres moyens techniques;
protéger l’intégrité des données stockées, transmises ou traitées de toute autre manière, à caractère personnel ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l’utilisateur et signaler les corruptions;
ne traiter que les données, à caractère personnel ou autres, qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité prévue du produit comportant des éléments numériques (minimisation des données);
protéger la disponibilité des fonctions essentielles et de base, notamment après un incident, y compris par des mesures de résilience et d’atténuation face aux attaques par déni de service;
réduire au maximum les répercussions négatives générées par les produits eux-mêmes ou par les appareils connectés sur la disponibilité des services fournis par d’autres dispositifs ou réseaux;
être conçus, développés et fabriqués de manière à limiter les surfaces d’attaque, y compris les interfaces externes;
être conçus, développés et fabriqués de manière à réduire les répercussions d’un incident, en utilisant des mécanismes et des techniques appropriés de limitation de l’exploitation de failles;
fournir des informations relatives à la sécurité en enregistrant et en surveillant les activités internes pertinentes, y compris l’accès ou la modification des données, des services ou des fonctions, tout en laissant à l’utilisateur la possibilité de désactiver le mécanisme;
donner aux utilisateurs la possibilité de supprimer facilement, en toute sécurité et de manière permanente toutes les données et tous les paramètres et, lorsque ces données peuvent être transférées vers d’autres produits ou systèmes, veiller à ce que cela puisse se faire de manière sécurisée.
Partie II Exigences relatives à la gestion des vulnérabilités
Les fabricants des produits comportant des éléments numériques:
recensent et documentent les vulnérabilités et les composants des produits, notamment par l’établissement d’une nomenclature des logiciels dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de niveau supérieur des produits;
gèrent et corrigent sans retard les vulnérabilités qui touchent les produits comportant des éléments numériques, y compris par des mises à jour de sécurité; lorsque cela est techniquement possible, de nouvelles mises à jour de sécurité sont fournies séparément des mises à jour de fonctionnalité;
soumettent régulièrement les produits comportant des éléments numériques à des tests et examens de sécurité efficaces;
dès la publication d’une mise à jour de sécurité, communiquent sur les vulnérabilités corrigées, en publiant notamment une description des vulnérabilités, des informations permettant aux utilisateurs d’identifier le produit comportant des éléments numérique concerné, les conséquences de ces vulnérabilités, leur gravité et des informations claires et accessibles aidant les utilisateurs à y remédier; dans des cas dûment justifiés, lorsque les fabricants considèrent que les risques pour la sécurité liés à la publication l’emportent sur les avantages en matière de sécurité, ils peuvent retarder la publication des informations relatives à une vulnérabilité corrigée jusqu’à ce que les utilisateurs aient eu la possibilité d’appliquer le correctif adapté;
mettent en place et appliquent une politique de divulgation coordonnée des vulnérabilités;
prennent des mesures pour faciliter le partage d’informations sur les vulnérabilités potentielles de leurs produits comportant des éléments numériques ainsi que des composants tiers contenus dans ces produits, y compris en fournissant une adresse de contact pour le signalement des vulnérabilités découvertes dans les produits concernés;
prévoient des mécanismes de distribution sécurisée des mises à jour pour les produits comportant des éléments numériques afin de garantir que les vulnérabilités soient corrigées ou atténuées rapidement et, le cas échéant, automatisent les mises à jour de sécurité;
veillent à ce que, lorsque des correctifs ou des mises à jour de sécurité sont disponibles pour remédier à des problèmes de sécurité constatés, ils soient diffusés sans retard et, sauf accord contraire entre un fabricant et un utilisateur professionnel en ce qui concerne un produit sur mesure comportant des éléments numériques, gratuitement et accompagnées de messages consultatifs fournissant aux utilisateurs les informations pertinentes, y compris sur les éventuelles mesures à prendre.
Relevant recitals
Considérant 40 Support period and security updates
Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.
Considérant 53 Overlap with the machinery regulation
Les fabricants de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil(24)Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil (JO L 165 du 29.6.2023, p. 1). qui sont également des produits comportant des éléments numériques au sens du présent règlement devraient satisfaire à la fois aux exigences essentielles de cybersécurité énoncées dans le présent règlement et aux exigences essentielles de santé et de sécurité énoncées dans le règlement (UE) 2023/1230. Les exigences essentielles de cybersécurité énoncées dans le présent règlement et certaines exigences essentielles énoncées dans le règlement (UE) 2023/1230 pourraient porter sur des risques similaires en matière de cybersécurité. Par conséquent, le respect des exigences essentielles de cybersécurité énoncées dans le présent règlement pourrait faciliter le respect des exigences essentielles qui s’appliquent également à certains risques de cybersécurité énoncés dans le règlement (UE) 2023/1230, et en particulier celles concernant la protection contre la corruption et la sécurité et la fiabilité des systèmes de contrôle énoncées aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. Ces synergies doivent être démontrées par le fabricant, qui doit par exemple appliquer, le cas échéant, des normes harmonisées ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité pertinentes, à la suite d’une évaluation des risques liés à la cybersécurité. Le fabricant doit également suivre les procédures d’évaluation de la conformité applicables définies dans le présent règlement et dans le règlement (UE) 2023/1230. La Commission et les organisations européennes de normalisation, dans le cadre des travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230, ainsi que des processus de normalisation connexes, devraient promouvoir la cohérence dans la manière d’évaluer les risques liés à la cybersécurité et dans la manière de couvrir ces risques par des normes harmonisées en ce qui concerne les exigences essentielles pertinentes. En particulier, la Commission et les organisations européennes de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration de normes harmonisées visant à faciliter la mise en œuvre du règlement (UE) 2023/1230 en ce qui concerne notamment les aspects de la cybersécurité liés à la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle énoncés aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. La Commission devrait fournir des orientations pour aider les fabricants relevant du présent règlement mais aussi du règlement (UE) 2023/1230, en particulier pour leur permettre de démontrer plus facilement qu’ils respectent les exigences essentielles pertinentes énoncées dans le présent règlement et dans le règlement (UE) 2023/1230.
Considérant 54 Assessment of cybersecurity risks
Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et pendant la période d’utilisation prévue du produit comportant des éléments numériques, il est nécessaire de définir des exigences essentielles de cybersécurité relatives à la gestion de la vulnérabilité et des exigences essentielles de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles de cybersécurité relatives à la gestion des vulnérabilités tout au long de la période d’assistance, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit comportant des éléments numériques concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques pertinents et les exigences essentielles de cybersécurité pertinentes, de mettre à disposition leurs produits comportant des éléments numériques sans vulnérabilité exploitable connue susceptible d’avoir des répercussions sur la sécurité de ces produits et d’appliquer de manière appropriée des normes harmonisées, des spécifications communes ou des normes européennes ou internationales appropriées.
Considérant 56 Automatic security updates
L’une des mesures les plus importantes que les utilisateurs doivent prendre pour protéger leurs produits comportant des éléments numériques contre les cyberattaques est d’installer les dernières mises à jour de sécurité disponibles dès que possible. Les fabricants doivent donc concevoir leurs produits et mettre en place des procédures de sorte que les produits comportant des éléments numériques comprennent des fonctions automatiques de notification, de distribution, de téléchargement et d’installation des mises à jour de sécurité, en particulier dans le cas des produits de consommation. Ils devraient également offrir la possibilité d’approuver le téléchargement et l’installation des mises à jour de sécurité en tant qu’étape finale. Les utilisateurs doivent garder la possibilité de désactiver les mises à jour automatiques, grâce à un dispositif clair et facile à utiliser, accompagné d’instructions claires sur la manière dont les utilisateurs peuvent renoncer à ces mises à jour. Les exigences relatives aux mises à jour automatiques énoncées dans une annexe du présent règlement ne s’appliquent pas aux produits dont les éléments numériques sont principalement destinés à être intégrés en tant que composants dans d’autres produits. Elles ne s’appliquent pas non plus aux produits comportant des éléments numériques pour lesquels les utilisateurs ne s’attendent pas raisonnablement à des mises à jour automatiques, y compris les produits comportant des éléments numériques destinés à être utilisés dans des réseaux TIC professionnels, et en particulier dans des environnements critiques et industriels où une mise à jour automatique pourrait perturber les opérations. Qu’un produit comportant des éléments numériques soit conçu pour recevoir des mises à jour automatiques ou non, son fabricant doit informer les utilisateurs des vulnérabilités et mettre à disposition des mises à jour de sécurité sans retard. Lorsqu’un produit comportant des éléments numériques est doté d’une interface utilisateur ou de moyens techniques similaires permettant une interaction directe avec ses utilisateurs, le fabricant doit utiliser ces caractéristiques pour informer les utilisateurs que leur produit comportant des éléments numériques est arrivé au terme de la période d’assistance. Les notifications doivent être limitées à ce qui est nécessaire pour garantir la réception effective de ces informations et ne doivent pas avoir de répercussions négatives sur l’expérience de l’utilisateur du produit comportant des éléments numériques.
Considérant 57 Separation of security and functionality updates
Afin d’améliorer la transparence des processus de traitement des vulnérabilités et de garantir que les utilisateurs ne sont pas obligés d’installer de nouvelles mises à jour de fonctionnalités dans le seul but de recevoir les dernières mises à jour de sécurité, les fabricants doivent veiller, lorsque cela est techniquement possible, à ce que les nouvelles mises à jour de sécurité soient fournies séparément des mises à jour de fonctionnalités.
Considérant 64 Secure by default and free security updates
Les fabricants devraient mettre à disposition sur le marché leurs produits comportant des éléments numériques dans une configuration sécurisée par défaut et fournir gratuitement des mises à jour de sécurité aux utilisateurs. Les fabricants ne devraient pouvoir s’écarter des exigences essentielles de cybersécurité qu’en ce qui concerne les produits sur mesure adaptés à un usage particulier et destinés à un utilisateur professionnel particulier, et lorsque le fabricant et l’utilisateur sont explicitement convenus d’un autre éventail de conditions contractuelles.
Considérant 77 Software bill of materials
Afin de faciliter l’analyse de la vulnérabilité, les fabricants devraient répertorier et documenter les composants contenus dans les produits comportant des éléments numériques, notamment en établissant une nomenclature des logiciels. Une telle nomenclature peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut en particulier aider les fabricants et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus en matière de cybersécurité. Il est particulièrement important pour les fabricants de s’assurer que leurs produits comportant des éléments numériques ne contiennent pas de composants vulnérables développés par des tiers. Les fabricants ne devraient pas être tenus de rendre publique la nomenclature des logiciels.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.