Article 6 Exigences applicables aux produits comportant des éléments numériques

Pour accroître le niveau global de cybersécurité de tous les produits comportant des éléments numériques mis sur le marché intérieur, il est nécessaire d’introduire des exigences essentielles de cybersécurité, axées sur l’objectif et technologiquement neutres pour ces produits, qui s’appliquent horizontalement.

Conformément à l’objectif du présent règlement consistant à éliminer les obstacles à la libre circulation des produits comportant des éléments numériques, les États membres ne devraient pas empêcher, pour les aspects relevant du présent règlement, la mise à disposition sur le marché de produits comportant des éléments numériques conformes au présent règlement. Par conséquent, en ce qui concerne les questions harmonisées par le présent règlement, les États membres ne peuvent pas imposer d’exigences de cybersécurité supplémentaires pour la mise à disposition sur le marché de produits comportant des éléments numériques. Cependant, toute entité, qu’elle soit publique ou privée, peut imposer des exigences, en plus de celles prévues par le présent règlement, pour l’achat de produits comportant des éléments numériques ou leur utilisation à des fins qui lui sont propres, et peut donc choisir d’utiliser des produits comportant des éléments numériques répondant à des exigences de cybersécurité plus strictes ou plus spécifiques que celles qui s’appliquent à la mise à disposition sur le marché en vertu du présent règlement. Sans préjudice des directives 2014/24/UE(⁷)Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE (JO L 94 du 28.3.2014, p. 65). et 2014/25/UE(⁸)Directive 2014/25/UE du Parlement européen et du Conseil du 26 février 2014 relative à la passation de marchés par des entités opérant dans les secteurs de l’eau, de l’énergie, des transports et des services postaux et abrogeant la directive 2004/17/CE (JO L 94 du 28.3.2014, p. 243). du Parlement européen et du Conseil, les États membres devraient veiller, lorsqu’ils achètent des produits comportant des éléments numériques qui doivent respecter les exigences essentielles de cybersécurité prévues par le présent règlement, y compris celles relatives à la gestion des vulnérabilités, à ce qu’il soit tenu compte de ces exigences, ainsi que de la capacité du fabricant à appliquer des mesures de cybersécurité et à gérer les cybermenaces de façon efficace, lors des procédures de passation de marchés. En outre, la directive (UE) 2022/2555 établit des mesures de gestion des risques en matière de cybersécurité applicables aux entités essentielles et importantes visées à l’article 3 de ladite directive. Ces mesures pourraient entraîner des mesures de sécurité de la chaîne d’approvisionnement nécessitant l’utilisation, par ces entités, de produits comportant des éléments numériques qui répondent à des exigences de cybersécurité plus strictes que celles prévues par le présent règlement. Conformément à la directive (UE) 2022/2555 et dans le respect de son principe d’harmonisation minimale, les États membres peuvent donc imposer des exigences de cybersécurité supplémentaires applicables à l’utilisation de produits des technologies de l’information et de la communication (TIC) par des entités essentielles ou importantes au titre de ladite directive afin d’assurer un niveau plus élevé de cybersécurité, à condition que ces exigences soient compatibles avec les obligations des États membres prévues par le droit de l’Union. Les facteurs non techniques liés aux produits comportant des éléments numériques et aux fabricants de ces derniers peuvent compter parmi les questions qui ne sont pas régies par le présent règlement. Les États membres peuvent donc adopter des mesures nationales, y compris des restrictions applicables aux produits comportant des éléments numériques ou aux fournisseurs de ces produits, qui tiennent compte de facteurs non techniques. Les mesures nationales liées à ces facteurs sont nécessaires pour respecter le droit de l’Union.

Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

Les fabricants de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil(²⁴)Règlement (UE) 2023/1230 du Parlement européen et du Conseil du 14 juin 2023 sur les machines, abrogeant la directive 2006/42/CE du Parlement européen et du Conseil et la directive 73/361/CEE du Conseil (JO L 165 du 29.6.2023, p. 1). qui sont également des produits comportant des éléments numériques au sens du présent règlement devraient satisfaire à la fois aux exigences essentielles de cybersécurité énoncées dans le présent règlement et aux exigences essentielles de santé et de sécurité énoncées dans le règlement (UE) 2023/1230. Les exigences essentielles de cybersécurité énoncées dans le présent règlement et certaines exigences essentielles énoncées dans le règlement (UE) 2023/1230 pourraient porter sur des risques similaires en matière de cybersécurité. Par conséquent, le respect des exigences essentielles de cybersécurité énoncées dans le présent règlement pourrait faciliter le respect des exigences essentielles qui s’appliquent également à certains risques de cybersécurité énoncés dans le règlement (UE) 2023/1230, et en particulier celles concernant la protection contre la corruption et la sécurité et la fiabilité des systèmes de contrôle énoncées aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. Ces synergies doivent être démontrées par le fabricant, qui doit par exemple appliquer, le cas échéant, des normes harmonisées ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité pertinentes, à la suite d’une évaluation des risques liés à la cybersécurité. Le fabricant doit également suivre les procédures d’évaluation de la conformité applicables définies dans le présent règlement et dans le règlement (UE) 2023/1230. La Commission et les organisations européennes de normalisation, dans le cadre des travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230, ainsi que des processus de normalisation connexes, devraient promouvoir la cohérence dans la manière d’évaluer les risques liés à la cybersécurité et dans la manière de couvrir ces risques par des normes harmonisées en ce qui concerne les exigences essentielles pertinentes. En particulier, la Commission et les organisations européennes de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration de normes harmonisées visant à faciliter la mise en œuvre du règlement (UE) 2023/1230 en ce qui concerne notamment les aspects de la cybersécurité liés à la protection contre la corruption ainsi que la sécurité et la fiabilité des systèmes de contrôle énoncés aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement. La Commission devrait fournir des orientations pour aider les fabricants relevant du présent règlement mais aussi du règlement (UE) 2023/1230, en particulier pour leur permettre de démontrer plus facilement qu’ils respectent les exigences essentielles pertinentes énoncées dans le présent règlement et dans le règlement (UE) 2023/1230.

Lorsque certaines exigences essentielles de cybersécurité ne sont pas applicables à un produit comportant des éléments numériques, le fabricant doit faire figurer une justification claire dans l’évaluation des risques de cybersécurité figurant dans la documentation technique. Cela pourrait être le cas lorsqu’une exigence essentielle de cybersécurité est incompatible avec la nature d’un produit comportant des éléments numériques. Par exemple, la destination d’un produit comportant des éléments numériques peut exiger du fabricant qu’il respecte des normes d’interopérabilité largement reconnues, même si ses dispositifs de sécurité ne sont plus considérés comme étant à la pointe de la technologie. De même, d’autres législations de l’Union exigent des fabricants qu’ils appliquent des exigences spécifiques en matière d’interopérabilité. Lorsqu’une exigence essentielle de cybersécurité ne s’applique pas à un produit comportant des éléments numériques, mais que le fabricant a détecté des risques de cybersécurité en rapport avec ladite exigence essentielle de cybersécurité, il doit prendre des mesures pour faire face à ces risques par d’autres moyens, par exemple en limitant la destination du produit à des environnements de confiance ou en informant les utilisateurs de ces risques.