Article 7 Produits importants comportant des éléments numériques

L’établissement d’exigences de cybersécurité des produits comportant des éléments numériques aux fins de leur mise sur le marché vise à renforcer la cybersécurité de ces produits, tant pour les consommateurs que pour les entreprises. Ces exigences garantiront, en outre, que la cybersécurité est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques et leurs composants. Parmi ces exigences figurent également des exigences de mise sur le marché applicables aux produits de consommation destinés aux consommateurs vulnérables, tels que les jouets ou les systèmes de surveillance pour bébé. Les produits de consommation comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme des produits importants comportant des éléments numériques présentent un risque de cybersécurité plus élevé car leur fonction comporte un risque important d’effets néfastes du fait de leur intensité et de leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs; aussi ces produits devraient-ils faire l’objet d’une procédure plus stricte d’évaluation de la conformité. Cela s’applique aux produits tels que les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes, les systèmes de surveillances pour bébés et les systèmes d’alarme, les jouets connectés ou les dispositifs portables personnels de santé. En outre, les procédures d’évaluation de la conformité plus strictes auxquelles sont soumis les produits comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme produits critiques ou importants comportant des éléments numériques contribueront à prévenir les répercussions négatives que l’exploitation de vulnérabilités pourrait avoir sur les consommateurs.

Les produits comportant des éléments numériques devraient être considérés comme importants si l’exploitation de vulnérabilités potentielles dans ces produits peut avoir de graves répercussions en raison, entre autres, de la fonctionnalité liée à la cybersécurité ou d’une fonction qui comporte un risque important d’effets néfastes du fait de leur intensité et leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs par une manipulation directe, par exemple une fonction du système central, notamment la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel. En particulier, les vulnérabilités de produits comportant des éléments numériques qui ont une fonctionnalité liée à la cybersécurité, tels que les gestionnaires de démarrage, peuvent provoquer une propagation des problèmes de sécurité tout au long de la chaîne d’approvisionnement. La gravité des répercussions d’un incident peut également augmenter lorsque le produit assure principalement une fonction du système central, y compris la gestion du réseau, le contrôle de la configuration, la virtualisation ou le traitement des données à caractère personnel.

Certaines catégories de produits comportant des éléments numériques devraient être soumises à des procédures d’évaluation de la conformité plus strictes, tout en conservant une approche proportionnée. À cette fin, les produits importants comportant des éléments numériques devraient être divisés en deux catégories, reflétant le niveau de risque de cybersécurité lié à ces catégories de produits. Un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe II pourrait avoir des répercussions négatives plus importantes qu’un incident impliquant des produits importants comportant des éléments numériques qui relèvent de la classe I, par exemple en raison de la nature de leur fonction liée à la cybersécurité ou de l’exécution d’une autre fonction qui comporte un risque important d’effets néfastes. À titre indicatif, les produits comportant des éléments numériques qui relèvent de la classe II pourraient assurer soit une fonctionnalité liée à la cybersécurité, soit une autre fonction comportant un risque important d’effets néfastes plus élevé que pour les produits relevant de la classe I, soit ces deux types de fonctions. Par conséquent, les produits importants comportant des éléments numériques qui relèvent de la classe II devraient faire l’objet d’une procédure plus stricte d’évaluation de la conformité.

Par «produits importants comportant des éléments numériques visés dans le présent règlement», on devrait entendre les produits possédant les fonctionnalités essentielles d’une catégorie de produits importants comportant des éléments numériques recensée dans le présent règlement. Par exemple, le présent règlement établit des catégories de produit importants comportant des éléments numériques qui sont définis par leur fonctionnalité de base comme pare-feu ou des systèmes de détection ou de prévention des intrusions de classe II. Par conséquent, les pare-feu et systèmes de détection ou de prévention des intrusions sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits comportant des éléments numériques qui ne sont pas catégorisés comme des produits importants comportant des éléments numériques mais qui peuvent intégrer des pare-feu ou des systèmes de détection ou de prévention des intrusions. La Commission devrait adopter un acte d’exécution pour préciser la description technique des catégories de produits importants comportant des éléments numériques qui relèvent des classes I et II, telles qu’elles figurent dans le présent règlement.