Technical description of product categories

Le fait qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; remplisse des fonctions autres que celles détaillées dans les descriptions techniques énoncées dans le présent règlement ou en complément de celles-ci ne signifie pas en soi que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; n’a pas la fonctionnalité de base d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847. Par exemple, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont la fonctionnalité de base des «systèmes d’exploitation» comprennent souvent des logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; qui remplissent des fonctions auxiliaires qui ne figurent pas dans la description technique de cette catégorie de produits, telles que des calculateurs ou des éditeurs graphiques simples. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; comprennent souvent également des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; qui ont la fonctionnalité d’un autre produit important ou critique comportant des éléments numériques, tels qu’un système d’exploitation intégrant une fonctionnalité de navigateur ou un routeur intégrant une fonctionnalité de pare-feu. Cela ne signifie toutefois pas en soi que ces produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; n’ont pas la fonctionnalité de base des «systèmes d’exploitation» ou des «routeurs, modems destinés à la connexion à l’internet et commutateurs», respectivement.

D’autre part, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui est capable de remplir les fonctions d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847 mais dont la fonctionnalité de base est elle-même différente de celle d’une telle catégorie de produits ne doit pas être considéré comme correspondant à la description technique de cette catégorie de produits. Par exemple, un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; SOAR (orchestration, automatisation et réponse en matière de sécurité) a souvent la capacité d’exécuter les fonctions de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans la catégorie des «systèmes de gestion des informations et des événements de sécurité (SIEM)», c’est-à-dire de recueillir des données, de les analyser et de les présenter comme des informations exploitables à des fins de sécurité. Toutefois, étant donné que sa fonctionnalité principale n’est pas celle d’un SIEM, un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; SOAR ne doit généralement pas être considéré comme correspondant à la description technique des «systèmes de gestion des informations et des événements de sécurité (SIEM)». De même, un smartphone intègre habituellement des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; qui remplissent les fonctions de plusieurs catégories de produits énoncées aux annexes III e IV du règlement (UE) 2024/2847, telles qu’un système d’exploitation ou un gestionnaire de mot de passe intégré. Toutefois, étant donné que la fonctionnalité principale d’un smartphone n’est pas celle d’un système d’exploitation ou d’un gestionnaire de mot de passe, il ne doit généralement pas être considéré comme correspondant à la description technique de ces catégories de produits.

Conformément à l’article 13, paragraphes 2 et 3 du règlement (UE) 2024/2847, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; doivent mettre en œuvre les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I, partie I, du règlement (UE) 2024/2847 d’une manière proportionnée aux risques du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, en fonction de la destination et de l’utilisation raisonnablement prévisible: une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles;, ainsi que des conditions d’utilisation du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, compte tenu de la durée d’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; du produit. Conformément à l’article 13, paragraphes 2 et 3 dudit règlement, et indépendamment de la question de savoir si le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est considéré comme un produit important ou critique comportant des éléments numériques, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent procéder à une évaluation complète des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; et indiquer comment les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sont mises en œuvre sur la base de l’évaluation des risques, y compris les essais et l’assurance y afférents. Lorsque la fonctionnalité de base de leur produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; correspond à la description technique d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; importants ou critiques, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent démontrer la conformité selon les procédures spécifiques d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; établies par l’article 32, paragraphes 2, 3, 4 et 5, du règlement (UE) 2024/2847.

Le présent règlement comprend des exemples de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base correspond à la description technique de certains produits importants ou critiques comportant des éléments numériques. Ces exemples ne sont fournis qu’à titre indicatif et ne constituent pas une liste exhaustive.

Afin d’apporter une sécurité juridique aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, il convient de distinguer les catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont des microprocesseurs inviolables, des microcontrôleurs inviolables et des cartes à puce et dispositifs similaires, y compris des éléments sécurisés, en fonction du niveau de résistance à l’exploitabilité potentielle des défauts ou faiblesses pour lequel ils ont été conçus. Le niveau AVA_VAN est un moyen largement utilisé et normalisé d’exprimer un tel niveau de résistance. Les niveaux AVA_VAN sont définis dans les critères communs: les critères communs d’évaluation de la sécurité des technologies de l’information définis à l’article 2, paragraphe 1, du règlement d’exécution (UE) 2024/482 ou définis dans les normes visées à l’article 3, paragraphe 2, points a) et b), dudit règlement d’exécution; et les normes de la méthodologie commune d’évaluation accessibles au public, qui sont à la base de cadres de certification existants largement adoptés sur le marché, tels que le règlement d’exécution (UE) 2024/482 de la Commission(³)Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Le règlement d’exécution (UE) 2024/482 établit un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui peut être utilisé pour certifier un produit à un niveau d’assurance spécifique. S’appuyant sur les pratiques mondiales, le règlement d’exécution (UE) 2024/482 prévoit la possibilité de délivrer des certificats pour des versions plus anciennes des normes jusqu’à la fin de 2027. De ce fait, dans le contexte du règlement (UE) 2024/2847, il est approprié de permettre l’expression de niveaux AVA_VAN en référence à la version la plus récente ou à des versions plus anciennes de ces normes.

Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 62, paragraphe 1, du règlement (UE) 2024/2847,