Source: OJ L, 2025/2392, 1.12.2025Current language: FR
- Cyber resilience for products with digital elements
Implementing acts
- Technical description of product categories
Annexe II PRODUITS CRITIQUES COMPORTANT DES ÉLÉMENTS NUMÉRIQUES
Catégorie de produits | Description technique |
|---|---|
| Les produits matériels comportant des éléments numériques qui stockent, traitent ou gèrent des données sensibles en toute sécurité ou effectuent des opérations cryptographiques, et qui consistent en plusieurs composants discrets, comprenant une enveloppe physique matérielle fournissant en cas de manipulation des preuves, une résistance ou une réaction, contre-mesures face aux attaques physiques. Cette catégorie comprend, sans s’y limiter, les terminaux de paiement physiques, les modules de sécurité matériels qui génèrent et gèrent des éléments cryptographiques et les tachygraphes qui répondent à la description ci-dessus. |
| Les passerelles des compteurs intelligents sont des produits comportant des éléments numériques qui contrôlent la communication entre les composants des systèmes intelligents de mesure ou connectés à ceux-ci, tels que définis à l’article 2, paragraphe 23, de la directive (UE) 2019/944, et les tiers autorisés, tels que les fournisseurs de services d’utilité publique. Les passerelles des compteurs intelligents collectent, traitent et stockent des données de compteurs ou des données à caractère personnel, protègent les données et les flux d’informations en répondant à des besoins cryptographiques spécifiques, tels que le cryptage et le décryptage de données, intègrent des fonctionnalités de pare-feu et fournissent les moyens de contrôler d’autres dispositifs. Cette catégorie comprend, sans s’y limiter, les passerelles de compteurs intelligents liées aux systèmes intelligents de mesure de l’électricité tels que définis à l’article 2, paragraphe 23, de la directive (UE) 2019/944. Elle peut également inclure des passerelles de compteur intelligent utilisées dans d’autres systèmes intelligents de mesure de la consommation d’autres sources d’énergie telles que le gaz ou la chaleur, à condition que la passerelle réponde à cette description. |
| Les éléments sécurisés sont des microcontrôleurs ou des microprocesseurs dotés de fonctionnalités liées à la sécurité, notamment les preuves de manipulation ou la résistance/réponse aux manipulations. Ils stockent, traitent ou gèrent généralement des opérations cryptographiques ou des données sensibles, telles que des identifiants d’identité ou des identifiants de paiement. Les éléments sécurisés sont conçus pour assurer une protection d’au moins AVA_VAN.4, comme indiqué dans les critères communs ou la méthodologie d’évaluation commune. Ils peuvent être de silicium discret ou être intégrés dans des systèmes sur puce (SoC). Les éléments sécurisés peuvent intégrer un environnement d’application ou un système d’exploitation et peuvent comprendre une ou plusieurs applications. Cette catégorie comprend, sans s’y limiter, les modules de plateforme de confiance et les cartes à circuit intégré universelles embarquées (UICC). |
Les cartes à puce ou dispositifs similaires sont des éléments sécurisés intégrés dans un matériau porteur, tels que le plastique ou le bois, sous la forme d’une carte, ou des éléments sécurisés intégrés dans des matériaux porteurs prenant d’autres formes. Cette catégorie comprend, sans s’y limiter, les documents d’identité et de voyage, les cartes de signature qualifiées, les cartes à circuit intégré universelle embarquées (UICC) remplaçables, les cartes de paiement physiques, les cartes d’accès physiques, les cartes tachygraphiques numériques ou les bandes de poignet comportant des éléments intégrés sécurisés pour les paiements. |
Relevant recitals
Considérant 2 Core functionality determines product category
Conformément à l’article 7, paragraphe 1, et à l’article 8, paragraphe 1, du règlement (UE) 2024/2847, la fonctionnalité de base d’un produit comportant des éléments numériques détermine si ce produit correspond à la description technique d’une catégorie de produits importants ou critiques comportant des éléments numériques et, partant, s’il est soumis aux procédures d’évaluation de la conformité applicables.
Considérant 7 Examples are illustrative and non-exhaustive
Le présent règlement comprend des exemples de produits comportant des éléments numériques dont la fonctionnalité de base correspond à la description technique de certains produits importants ou critiques comportant des éléments numériques. Ces exemples ne sont fournis qu’à titre indicatif et ne constituent pas une liste exhaustive.
Considérant 8 AVA_VAN levels distinguish tamper-resistant hardware categories
Afin d’apporter une sécurité juridique aux fabricants, il convient de distinguer les catégories de produits comportant des éléments numériques qui sont des microprocesseurs inviolables, des microcontrôleurs inviolables et des cartes à puce et dispositifs similaires, y compris des éléments sécurisés, en fonction du niveau de résistance à l’exploitabilité potentielle des défauts ou faiblesses pour lequel ils ont été conçus. Le niveau AVA_VAN est un moyen largement utilisé et normalisé d’exprimer un tel niveau de résistance. Les niveaux AVA_VAN sont définis dans les critères communs et les normes de la méthodologie commune d’évaluation accessibles au public, qui sont à la base de cadres de certification existants largement adoptés sur le marché, tels que le règlement d’exécution (UE) 2024/482 de la Commission(3)Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Le règlement d’exécution (UE) 2024/482 établit un schéma européen de certification de cybersécurité qui peut être utilisé pour certifier un produit à un niveau d’assurance spécifique. S’appuyant sur les pratiques mondiales, le règlement d’exécution (UE) 2024/482 prévoit la possibilité de délivrer des certificats pour des versions plus anciennes des normes jusqu’à la fin de 2027. De ce fait, dans le contexte du règlement (UE) 2024/2847, il est approprié de permettre l’expression de niveaux AVA_VAN en référence à la version la plus récente ou à des versions plus anciennes de ces normes.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.