Beta

Source: OJ L 2024/2847, 20.11.2024

Current language: FR

Recital 39 Guidance on substantial modifications

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; modifie l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ce produit et que ces modifications n’ont pas été prévues par le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; a augmenté en raison de la mise à jour du logiciel: la partie d’un système d’information électronique qui consiste en un code informatique;, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ne modifie pas l’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; de ce produit n’est pas considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité: une faiblesse, une susceptibilité ou une faille d’un produit comportant des éléments numériques qui peut être exploitée par une cybermenace; connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans le seul but de réduire le niveau de risque de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise;. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle: une modification apportée au produit comportant des éléments numériques à la suite de sa mise sur le marché, qui a une incidence sur la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ou qui entraîne une modification de l’utilisation prévue pour laquelle le produit comportant des éléments numériques a été évalué;.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod