Article premier Objet

La cybersécurité est l’un des grands enjeux de l’Union. Le nombre et la diversité des dispositifs connectés ne cesseront d’augmenter dans les prochaines années. Les cyberattaques sont une question d’intérêt public, car elles ont des conséquences très importantes non seulement sur l’économie de l’Union, mais également sur la démocratie ainsi que sur la sécurité des consommateurs et sur la santé. Il est dès lors nécessaire de renforcer l’approche de l’Union en matière de cybersécurité, d’aborder la cyberrésilience au niveau de l’Union et d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme concernant les exigences essentielles de cybersécurité aux fins de la mise sur le marché de l’Union de produits comportant des éléments numériques. Deux problèmes majeurs représentant des coûts supplémentaires pour les utilisateurs et la société devraient être réglés: d’une part, le niveau de cybersécurité des produits comportant des éléments numériques est faible, comme en témoignent les vulnérabilités généralisées et le manque de mises à jour de sécurité déployées de manière cohérente pour y remédier, et, d’autre part, les utilisateurs n’ont pas suffisamment accès aux informations et ne les comprennent pas bien, ce qui les empêche de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.

Le présent règlement vise à définir les conditions aux limites pour le développement de produits sécurisés comportant des éléments numériques en faisant en sorte que les produits matériels et logiciels mis sur le marché présentent moins de vulnérabilités et que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit. Il a également pour but de créer des conditions permettant aux utilisateurs de prendre en considération la cybersécurité lorsqu’ils sélectionnent et utilisent des produits comportant des éléments numériques, en améliorant par exemple la transparence concernant la période d’assistance pour les produits comportant des éléments numériques mis à disposition sur le marché.

Le droit pertinent de l’Union en vigueur comprend plusieurs ensembles de règles horizontales qui traitent de certains aspects liés à la cybersécurité sous différents angles, y compris des mesures destinées à améliorer la sécurité de la chaîne d’approvisionnement numérique. Toutefois, le droit existant de l’Union relatif à la cybersécurité, dont le règlement (UE) 2019/881 du Parlement européen et du Conseil(³)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15). et la directive (UE) 2022/2555 du Parlement européen et du Conseil(⁴)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80)., ne couvre pas directement les exigences contraignantes en matière de sécurité des produits comportant des éléments numériques.

Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits comportant des éléments numériques soient conçus et développés conformément aux exigences essentielles de cybersécurité prévues par le présent règlement. Cette obligation concerne à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les cybermenaces peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits comportant des éléments numériques qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

Le présent règlement ne s’applique aux opérateurs économiques qu’en ce qui concerne les produits comportant des éléments numériques mis à disposition sur le marché, donc fournis pour être distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale. La fourniture dans le cadre d’une activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit comportant des éléments numériques, mais également par le prix des services d’assistance technique lorsqu’il ne sert pas uniquement à récupérer les coûts réels, par une intention de monétisation, par exemple par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, par l’exigence, comme condition à l’utilisation, du traitement des données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel, ou par l’acceptation de dons supérieurs aux coûts associés à la conception, au développement et à la fourniture d’un produit comportant des éléments numériques. Le fait d’accepter des dons sans intention lucrative ne devrait pas être considéré comme constitutif d’une activité commerciale.

Aux fins du présent règlement, les produits comportant des éléments numériques fournis dans le cadre d’une prestation de service pour laquelle une rétribution est perçue à la seule fin de récupérer les coûts réels directement liés au fonctionnement de ce service, comme ce peut être le cas de certains produits comportant des éléments numériques fournis par des entités de l’administration publique, ne devraient pas être considérés pour cette seule raison comme constituant une activité commerciale. En outre, les produits comportant des éléments numériques qui sont développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ne devraient pas être considérés comme mis à disposition sur le marché au sens du présent règlement.

Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques sous la forme de logiciels se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles de cybersécurité énoncées dans le présent règlement au cours des phases de conception, de développement et de production.