Article 32 Procédures d’évaluation de la conformité pour les produits comportant des éléments numériques

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.

Afin de permettre aux opérateurs économiques de démontrer qu’ils respectent les exigences essentielles de cybersécurité énoncées dans le présent règlement et aux autorités de surveillance du marché de s’assurer que les produits comportant des éléments numériques mis à disposition sur le marché sont conformes à ces exigences, il est nécessaire de prévoir des procédures d’évaluation de la conformité. La décision n^o 768/2008/CE du Parlement européen et du Conseil(³⁰)Décision n^o 768/2008/CE du Parlement européen et du Conseil du 9 juillet 2008 relative à un cadre commun pour la commercialisation des produits et abrogeant la décision 93/465/CEE du Conseil (JO L 218 du 13.8.2008, p. 82). établit des modules pour l’évaluation de la conformité, dont les procédures sont proportionnées au risque encouru et au niveau de sécurité requis. Afin d’assurer la cohérence entre les secteurs et d’éviter une multiplication de variantes ad hoc, des procédures adéquates devraient être fondées sur ces modules afin de vérifier la conformité des produits comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Les procédures d’évaluation de la conformité devraient examiner et vérifier les exigences relatives aux produits et aux processus couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques, y compris la planification, la conception, le développement ou la production, les essais et l’entretien du produit comportant des éléments numériques.

L’évaluation de la conformité des produits comportant des éléments numériques qui ne sont pas répertoriés dans le présent règlement en tant que produits importants ou critiques comportant des éléments numériques peut être effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure de contrôle interne fondée sur le module A de la décision 768/2008/CE, conformément au présent règlement. Cela s’applique également aux cas où un fabricant choisit de ne pas appliquer, en tout ou en partie, une norme harmonisée, une spécification commune ou un schéma européen de certification de cybersécurité applicable. Le fabricant conserve la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Dans le cadre de la procédure d’évaluation de la conformité par contrôle interne, le fabricant assure et déclare sous sa seule responsabilité que le produit comportant des éléments numériques et les procédés du fabricant satisfont aux exigences essentielles de cybersécurité applicables définies dans le présent règlement. Si un produit important comportant des éléments numériques relève de la classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité adoptés conformément au règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si le fabricant n’applique pas ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité, il devrait se soumettre à une évaluation de la conformité par un tiers (sur la base des modules B et C ou du module H). Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B et C ou du module H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits importants comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits importants comportant des éléments numériques qui relèvent de la classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers, même lorsque le produit est conforme, en tout ou en partie, à des normes harmonisées, à des spécifications communes ou à des schémas européens de certification de cybersécurité. Les fabricants de produits importants comportant des éléments numériques répondant aux critères de logiciels libres et ouverts devraient pouvoir suivre la procédure de contrôle interne basée sur le module A, à condition de mettre la documentation technique à la disposition du public.

Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques sous la forme de logiciels se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles de cybersécurité énoncées dans le présent règlement au cours des phases de conception, de développement et de production.

Afin de garantir la proportionnalité, il convient que les organismes d’évaluation de la conformité, lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, tiennent compte des intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses. En particulier, il convient que les organismes d’évaluation de la conformité n’appliquent la procédure d’examen et les essais pertinents prévus dans le présent règlement que lorsqu’il y a lieu et suivant une approche fondée sur les risques.