Annexe II INFORMATIONS ET INSTRUCTIONS DESTINÉES À L’UTILISATEUR

Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

Les fabricants de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil(²⁴)Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil (JO L 165 du 29.6.2023, p. 1). qui sont également des produits comportant des éléments numériques au sens du présent règlement devraient satisfaire à la fois aux exigences essentielles de cybersécurité énoncées dans le présent règlement et aux exigences essentielles de santé et de sécurité énoncées dans le règlement (UE) 2023/1230. Les exigences essentielles de cybersécurité énoncées dans le présent règlement et certaines exigences essentielles énoncées dans le règlement (UE) 2023/1230 pourraient porter sur des risques similaires en matière de cybersécurité. Par conséquent, le respect des exigences essentielles de cybersécurité énoncées dans le présent règlement pourrait faciliter le respect des exigences essentielles qui s’appliquent également à certains risques de cybersécurité énoncés dans le règlement (UE) 2023/1230, et en particulier celles concernant la protection contre la corruption et la sécurité et la fiabilité des systèmes de contrôle énoncées aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. Ces synergies doivent être démontrées par le fabricant, qui doit par exemple appliquer, le cas échéant, des normes harmonisées ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité pertinentes, à la suite d’une évaluation des risques liés à la cybersécurité. Le fabricant doit également suivre les procédures d’évaluation de la conformité applicables définies dans le présent règlement et dans le règlement (UE) 2023/1230. La Commission et les organisations européennes de normalisation, dans le cadre des travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230, ainsi que des processus de normalisation connexes, devraient promouvoir la cohérence dans la manière d’évaluer les risques liés à la cybersécurité et dans la manière de couvrir ces risques par des normes harmonisées en ce qui concerne les exigences essentielles pertinentes. En particulier, la Commission et les organisations européennes de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration de normes harmonisées visant à faciliter la mise en œuvre du règlement (UE) 2023/1230 en ce qui concerne notamment les aspects de la cybersécurité liés à la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle énoncés aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. La Commission devrait fournir des orientations pour aider les fabricants relevant du présent règlement mais aussi du règlement (UE) 2023/1230, en particulier pour leur permettre de démontrer plus facilement qu’ils respectent les exigences essentielles pertinentes énoncées dans le présent règlement et dans le règlement (UE) 2023/1230.

L’une des mesures les plus importantes que les utilisateurs doivent prendre pour protéger leurs produits comportant des éléments numériques contre les cyberattaques est d’installer les dernières mises à jour de sécurité disponibles dès que possible. Les fabricants doivent donc concevoir leurs produits et mettre en place des procédures de sorte que les produits comportant des éléments numériques comprennent des fonctions automatiques de notification, de distribution, de téléchargement et d’installation des mises à jour de sécurité, en particulier dans le cas des produits de consommation. Ils devraient également offrir la possibilité d’approuver le téléchargement et l’installation des mises à jour de sécurité en tant qu’étape finale. Les utilisateurs doivent garder la possibilité de désactiver les mises à jour automatiques, grâce à un dispositif clair et facile à utiliser, accompagné d’instructions claires sur la manière dont les utilisateurs peuvent renoncer à ces mises à jour. Les exigences relatives aux mises à jour automatiques énoncées dans une annexe du présent règlement ne s’appliquent pas aux produits dont les éléments numériques sont principalement destinés à être intégrés en tant que composants dans d’autres produits. Elles ne s’appliquent pas non plus aux produits comportant des éléments numériques pour lesquels les utilisateurs ne s’attendent pas raisonnablement à des mises à jour automatiques, y compris les produits comportant des éléments numériques destinés à être utilisés dans des réseaux TIC professionnels, et en particulier dans des environnements critiques et industriels où une mise à jour automatique pourrait perturber les opérations. Qu’un produit comportant des éléments numériques soit conçu pour recevoir des mises à jour automatiques ou non, son fabricant doit informer les utilisateurs des vulnérabilités et mettre à disposition des mises à jour de sécurité sans retard. Lorsqu’un produit comportant des éléments numériques est doté d’une interface utilisateur ou de moyens techniques similaires permettant une interaction directe avec ses utilisateurs, le fabricant doit utiliser ces caractéristiques pour informer les utilisateurs que leur produit comportant des éléments numériques est arrivé au terme de la période d’assistance. Les notifications doivent être limitées à ce qui est nécessaire pour garantir la réception effective de ces informations et ne doivent pas avoir de répercussions négatives sur l’expérience de l’utilisateur du produit comportant des éléments numériques.

Afin d’améliorer la transparence des processus de traitement des vulnérabilités et de garantir que les utilisateurs ne sont pas obligés d’installer de nouvelles mises à jour de fonctionnalités dans le seul but de recevoir les dernières mises à jour de sécurité, les fabricants doivent veiller, lorsque cela est techniquement possible, à ce que les nouvelles mises à jour de sécurité soient fournies séparément des mises à jour de fonctionnalités.

Afin de faciliter l’analyse de la vulnérabilité, les fabricants devraient répertorier et documenter les composants contenus dans les produits comportant des éléments numériques, notamment en établissant une nomenclature des logiciels. Une telle nomenclature peut fournir à ceux qui fabriquent, achètent et exploitent des logiciels des informations de nature à améliorer leur compréhension de la chaîne d’approvisionnement, ce qui présente de multiples avantages. Elle peut en particulier aider les fabricants et les utilisateurs à suivre les vulnérabilités et les risques émergents nouvellement apparus en matière de cybersécurité. Il est particulièrement important pour les fabricants de s’assurer que leurs produits comportant des éléments numériques ne contiennent pas de composants vulnérables développés par des tiers. Les fabricants ne devraient pas être tenus de rendre publique la nomenclature des logiciels.