Source: OJ L, 2025/2392, 1.12.2025Current language: FR
Technical description of product categories
RÈGLEMENT D’EXÉCUTION (UE) 2025/2392 DE LA COMMISSION
du 28 novembre 2025
relative à la description technique des catégories de produits importants et critiques comportant des éléments numériques, conformément au règlement (UE) 2024/2847 du Parlement européen et du Conseil
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience)(1)JO L, 2024/2847, 20.11.2024, ELI: http://data.europa.eu/eli/reg/2024/2847/oj., et en particulier son article 7, paragraphe 4, deuxième alinéa,
considérant ce qui suit:
Considérant 1Important and critical products with digital elements
Le règlement (UE) 2024/2847 établit des règles relatives à la cybersécurité des produits comportant des éléments numériques. En particulier, l’annexe III dudit règlement définit des catégories de produits importants comportant des éléments numériques qui, lorsqu’ils sont mis sur le marché, sont soumis à des procédures d’évaluation de la conformité plus strictes que celles applicables aux autres produits comportant des éléments numériques. L’annexe IV du règlement (UE) 2024/2847 définit les catégories de produits critiques comportant des éléments numériques pour lesquels les fabricants pourraient être tenus d’obtenir un certificat de cybersécurité européen dans le cadre d’un schéma européen de certification de cybersécurité conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil(2)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj). ou qui seraient soumis à une évaluation obligatoire de la conformité par un tiers, lors de leur mise sur le marché.
Considérant 2Core functionality determines product category
Conformément à l’article 7, paragraphe 1, et à l’article 8, paragraphe 1, du règlement (UE) 2024/2847, la fonctionnalité de base d’un produit comportant des éléments numériques détermine si ce produit correspond à la description technique d’une catégorie de produits importants ou critiques comportant des éléments numériques et, partant, s’il est soumis aux procédures d’évaluation de la conformité applicables.
Considérant 3Integrated components that are important or critical products
Lors de la mise au point d’un produit comportant des éléments numériques, et afin d’assurer l’ensemble de fonctionnalités visées, les fabricants intègrent généralement dans leurs propres produits comportant des éléments numériques d’autres composants qui sont également des produits comportant des éléments numériques et qui peuvent correspondre à la description technique d’une catégorie de produits importants ou critiques. En vertu du règlement (UE) 2024/2847, un produit comportant des éléments numériques est soumis aux procédures d’évaluation de la conformité applicables aux produits importants ou critiques comportant des éléments numériques, si ce produit dans son ensemble est un produit important ou critique conformément aux annexes III et IV dudit règlement. Par exemple, l’intégration d’un navigateur intégré en tant que composant d’une application d’information destinée à être utilisée dans des smartphones ne rend pas en soi cette application soumise à la procédure d’évaluation de la conformité applicable aux produits comportant des éléments numériques qui ont la fonctionnalité principale de «navigateurs autonomes et intégrés». Néanmoins, conformément au règlement (UE) 2024/2847, le fabricant doit veiller à ce que le produit comportant des éléments numériques dans son ensemble satisfasse aux exigences essentielles de cybersécurité. Par conséquent, le fabricant doit évaluer la sécurité de l’ensemble du produit, en tenant compte, le cas échéant, de la sécurité des composants ou fonctionnalités qui y sont intégrés. Par exemple, pour que le fabricant d’une application d’actualités démontre que son produit comportant des éléments numériques est conforme au règlement (UE) 2024/2847, il doit démontrer que cette application d’actualités dans son ensemble satisfait aux exigences applicables, en tenant compte, le cas échéant, de la sécurité du navigateur intégré qui est intégré dans son application.
Considérant 4Additional functions do not negate core functionality
Le fait qu’un produit comportant des éléments numériques remplisse des fonctions autres que celles détaillées dans les descriptions techniques énoncées dans le présent règlement ou en complément de celles-ci ne signifie pas en soi que le produit comportant des éléments numériques n’a pas la fonctionnalité de base d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847. Par exemple, les produits comportant des éléments numériques qui ont la fonctionnalité de base des «systèmes d’exploitation» comprennent souvent des logiciels qui remplissent des fonctions auxiliaires qui ne figurent pas dans la description technique de cette catégorie de produits, telles que des calculateurs ou des éditeurs graphiques simples. Les produits comportant des éléments numériques comprennent souvent également des composants qui ont la fonctionnalité d’un autre produit important ou critique comportant des éléments numériques, tels qu’un système d’exploitation intégrant une fonctionnalité de navigateur ou un routeur intégrant une fonctionnalité de pare-feu. Cela ne signifie toutefois pas en soi que ces produits comportant des éléments numériques n’ont pas la fonctionnalité de base des «systèmes d’exploitation» ou des «routeurs, modems destinés à la connexion à l’internet et commutateurs», respectivement.
Considérant 5Ability to perform functions does not determine category
D’autre part, un produit comportant des éléments numériques qui est capable de remplir les fonctions d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847 mais dont la fonctionnalité de base est elle-même différente de celle d’une telle catégorie de produits ne doit pas être considéré comme correspondant à la description technique de cette catégorie de produits. Par exemple, un logiciel SOAR (orchestration, automatisation et réponse en matière de sécurité) a souvent la capacité d’exécuter les fonctions de produits comportant des éléments numériques dans la catégorie des «systèmes de gestion des informations et des événements de sécurité (SIEM)», c’est-à-dire de recueillir des données, de les analyser et de les présenter comme des informations exploitables à des fins de sécurité. Toutefois, étant donné que sa fonctionnalité principale n’est pas celle d’un SIEM, un logiciel SOAR ne doit généralement pas être considéré comme correspondant à la description technique des «systèmes de gestion des informations et des événements de sécurité (SIEM)». De même, un smartphone intègre habituellement des composants qui remplissent les fonctions de plusieurs catégories de produits énoncées aux annexes III e IV du règlement (UE) 2024/2847, telles qu’un système d’exploitation ou un gestionnaire de mot de passe intégré. Toutefois, étant donné que la fonctionnalité principale d’un smartphone n’est pas celle d’un système d’exploitation ou d’un gestionnaire de mot de passe, il ne doit généralement pas être considéré comme correspondant à la description technique de ces catégories de produits.
Considérant 6Risk-based implementation of cybersecurity requirements
Conformément à l’article 13, paragraphes 2 et 3 du règlement (UE) 2024/2847, les fabricants de produits comportant des éléments numériques doivent mettre en œuvre les exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, du règlement (UE) 2024/2847 d’une manière proportionnée aux risques du produit comportant des éléments numériques, en fonction de la destination et de l’utilisation raisonnablement prévisible, ainsi que des conditions d’utilisation du produit comportant des éléments numériques, compte tenu de la durée d’utilisation prévue du produit. Conformément à l’article 13, paragraphes 2 et 3 dudit règlement, et indépendamment de la question de savoir si le produit comportant des éléments numériques est considéré comme un produit important ou critique comportant des éléments numériques, les fabricants doivent procéder à une évaluation complète des risques de cybersécurité et indiquer comment les exigences essentielles de cybersécurité sont mises en œuvre sur la base de l’évaluation des risques, y compris les essais et l’assurance y afférents. Lorsque la fonctionnalité de base de leur produit comportant des éléments numériques correspond à la description technique d’un produit comportant des éléments numériques importants ou critiques, les fabricants doivent démontrer la conformité selon les procédures spécifiques d’évaluation de la conformité établies par l’article 32, paragraphes 2, 3, 4 et 5, du règlement (UE) 2024/2847.
Considérant 7Examples are illustrative and non-exhaustive
Le présent règlement comprend des exemples de produits comportant des éléments numériques dont la fonctionnalité de base correspond à la description technique de certains produits importants ou critiques comportant des éléments numériques. Ces exemples ne sont fournis qu’à titre indicatif et ne constituent pas une liste exhaustive.
Considérant 8AVA_VAN levels distinguish tamper-resistant hardware categories
Afin d’apporter une sécurité juridique aux fabricants, il convient de distinguer les catégories de produits comportant des éléments numériques qui sont des microprocesseurs inviolables, des microcontrôleurs inviolables et des cartes à puce et dispositifs similaires, y compris des éléments sécurisés, en fonction du niveau de résistance à l’exploitabilité potentielle des défauts ou faiblesses pour lequel ils ont été conçus. Le niveau AVA_VAN est un moyen largement utilisé et normalisé d’exprimer un tel niveau de résistance. Les niveaux AVA_VAN sont définis dans les critères communs et les normes de la méthodologie commune d’évaluation accessibles au public, qui sont à la base de cadres de certification existants largement adoptés sur le marché, tels que le règlement d’exécution (UE) 2024/482 de la Commission(3)Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Le règlement d’exécution (UE) 2024/482 établit un schéma européen de certification de cybersécurité qui peut être utilisé pour certifier un produit à un niveau d’assurance spécifique. S’appuyant sur les pratiques mondiales, le règlement d’exécution (UE) 2024/482 prévoit la possibilité de délivrer des certificats pour des versions plus anciennes des normes jusqu’à la fin de 2027. De ce fait, dans le contexte du règlement (UE) 2024/2847, il est approprié de permettre l’expression de niveaux AVA_VAN en référence à la version la plus récente ou à des versions plus anciennes de ces normes.
Considérant 9Committee opinion
Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 62, paragraphe 1, du règlement (UE) 2024/2847,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 28 novembre 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN