Article 21 Cas dans lesquels les obligations des fabricants s’appliquent aux importateurs et aux distributeurs

Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles de cybersécurité pour ces produits. Ces exigences, y compris celles qui ont trait à la gestion des vulnérabilités, s’appliquent à chaque produit comportant des éléments numériques lors de sa mise sur le marché, qu’il ait été fabriqué individuellement ou produit en série. Par exemple, pour un type de produit, chaque produit comportant des éléments numériques devrait, lors de sa mise sur le marché, avoir reçu individuellement tous les correctifs et mises à jour de sécurité qui existent pour remédier aux problèmes de sécurité pertinents. Lorsque des produits comportant des éléments numériques sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant dans l’évaluation initiale des risques et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles de cybersécurité pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit comportant des éléments numériques déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué.

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie l’utilisation prévue de ce produit et que ces modifications n’ont pas été prévues par le fabricant dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité a augmenté en raison de la mise à jour du logiciel, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité d’un produit comportant des éléments numériques qui ne modifie pas l’utilisation prévue de ce produit n’est pas considérée comme une modification substantielle. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle.

Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, lorsque se produit une modification substantielle de nature à affecter la conformité d’un produit comportant des éléments numériques au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle devrait être notifiée à ce dernier.

Lorsqu’un produit comportant des éléments numériques fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil(¹⁹)Règlement (UE) 2024/1781 du Parlement européen et du Conseil du 13 juin 2024 établissant un cadre pour la fixation d’exigences en matière d’écoconception pour des produits durables, modifiant la directive (UE) 2020/1828 et le règlement (UE) 2023/1542 et abrogeant la directive 2009/125/CE (JO L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)., cela n’entraîne pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques par le fabricant pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.