Preamble Recitals

Le règlement (UE) 2024/2847 établit des règles relatives à la cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. En particulier, l’annexe III dudit règlement définit des catégories de produits importants comportant des éléments numériques qui, lorsqu’ils sont mis sur le marché, sont soumis à des procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; plus strictes que celles applicables aux autres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;. L’annexe IV du règlement (UE) 2024/2847 définit les catégories de produits critiques comportant des éléments numériques pour lesquels les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; pourraient être tenus d’obtenir un certificat de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; européen dans le cadre d’un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil(²)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15, ELI: http://data.europa.eu/eli/reg/2019/881/oj). ou qui seraient soumis à une évaluation obligatoire de la conformité par un tiers, lors de leur mise sur le marché: la première mise à disposition d’un produit comportant des éléments numériques sur le marché de l’Union;.

Conformément à l’article 7, paragraphe 1, et à l’article 8, paragraphe 1, du règlement (UE) 2024/2847, la fonctionnalité de base d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; détermine si ce produit correspond à la description technique d’une catégorie de produits importants ou critiques comportant des éléments numériques et, partant, s’il est soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; applicables.

Lors de la mise au point d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, et afin d’assurer l’ensemble de fonctionnalités visées, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; intègrent généralement dans leurs propres produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; d’autres composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; qui sont également des produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; et qui peuvent correspondre à la description technique d’une catégorie de produits importants ou critiques. En vertu du règlement (UE) 2024/2847, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est soumis aux procédures d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; applicables aux produits importants ou critiques comportant des éléments numériques, si ce produit dans son ensemble est un produit important ou critique conformément aux annexes III et IV dudit règlement. Par exemple, l’intégration d’un navigateur intégré en tant que composant: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; d’une application d’information destinée à être utilisée dans des smartphones ne rend pas en soi cette application soumise à la procédure d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; applicable aux produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont la fonctionnalité principale de «navigateurs autonomes et intégrés». Néanmoins, conformément au règlement (UE) 2024/2847, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit veiller à ce que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans son ensemble satisfasse aux exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881;. Par conséquent, le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doit évaluer la sécurité de l’ensemble du produit, en tenant compte, le cas échéant, de la sécurité des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; ou fonctionnalités qui y sont intégrés. Par exemple, pour que le fabricant: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; d’une application d’actualités démontre que son produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est conforme au règlement (UE) 2024/2847, il doit démontrer que cette application d’actualités dans son ensemble satisfait aux exigences applicables, en tenant compte, le cas échéant, de la sécurité du navigateur intégré qui est intégré dans son application.

Le fait qu’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; remplisse des fonctions autres que celles détaillées dans les descriptions techniques énoncées dans le présent règlement ou en complément de celles-ci ne signifie pas en soi que le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; n’a pas la fonctionnalité de base d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847. Par exemple, les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui ont la fonctionnalité de base des «systèmes d’exploitation» comprennent souvent des logiciels: la partie d’un système d’information électronique qui consiste en un code informatique; qui remplissent des fonctions auxiliaires qui ne figurent pas dans la description technique de cette catégorie de produits, telles que des calculateurs ou des éditeurs graphiques simples. Les produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; comprennent souvent également des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; qui ont la fonctionnalité d’un autre produit important ou critique comportant des éléments numériques, tels qu’un système d’exploitation intégrant une fonctionnalité de navigateur ou un routeur intégrant une fonctionnalité de pare-feu. Cela ne signifie toutefois pas en soi que ces produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; n’ont pas la fonctionnalité de base des «systèmes d’exploitation» ou des «routeurs, modems destinés à la connexion à l’internet et commutateurs», respectivement.

D’autre part, un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui est capable de remplir les fonctions d’une catégorie de produits figurant aux annexes III et IV du règlement (UE) 2024/2847 mais dont la fonctionnalité de base est elle-même différente de celle d’une telle catégorie de produits ne doit pas être considéré comme correspondant à la description technique de cette catégorie de produits. Par exemple, un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; SOAR (orchestration, automatisation et réponse en matière de sécurité) a souvent la capacité d’exécuter les fonctions de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dans la catégorie des «systèmes de gestion des informations et des événements de sécurité (SIEM)», c’est-à-dire de recueillir des données, de les analyser et de les présenter comme des informations exploitables à des fins de sécurité. Toutefois, étant donné que sa fonctionnalité principale n’est pas celle d’un SIEM, un logiciel: la partie d’un système d’information électronique qui consiste en un code informatique; SOAR ne doit généralement pas être considéré comme correspondant à la description technique des «systèmes de gestion des informations et des événements de sécurité (SIEM)». De même, un smartphone intègre habituellement des composants: un logiciel ou du matériel destiné à être intégré dans un système d’information électronique; qui remplissent les fonctions de plusieurs catégories de produits énoncées aux annexes III e IV du règlement (UE) 2024/2847, telles qu’un système d’exploitation ou un gestionnaire de mot de passe intégré. Toutefois, étant donné que la fonctionnalité principale d’un smartphone n’est pas celle d’un système d’exploitation ou d’un gestionnaire de mot de passe, il ne doit généralement pas être considéré comme correspondant à la description technique de ces catégories de produits.

Conformément à l’article 13, paragraphes 2 et 3 du règlement (UE) 2024/2847, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; doivent mettre en œuvre les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; énoncées à l’annexe I, partie I, du règlement (UE) 2024/2847 d’une manière proportionnée aux risques du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, en fonction de la destination et de l’utilisation raisonnablement prévisible: une utilisation qui n’est pas nécessairement celle qui est prévue par le fabricant et qui figure dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique, mais qui est susceptible de résulter d’un comportement humain, d’opérations techniques ou d’interactions raisonnablement prévisibles;, ainsi que des conditions d’utilisation du produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément;, compte tenu de la durée d’utilisation prévue: l’utilisation à laquelle un produit comportant des éléments numériques est destiné par le fabricant, y compris le contexte et les conditions spécifiques d’utilisation, telles que précisées dans les informations communiquées par le fabricant dans la notice d’utilisation, dans les indications publicitaires ou de vente, ainsi que dans la documentation technique; du produit. Conformément à l’article 13, paragraphes 2 et 3 dudit règlement, et indépendamment de la question de savoir si le produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; est considéré comme un produit important ou critique comportant des éléments numériques, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent procéder à une évaluation complète des risques de cybersécurité: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise; et indiquer comment les exigences essentielles de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; sont mises en œuvre sur la base de l’évaluation des risques, y compris les essais et l’assurance y afférents. Lorsque la fonctionnalité de base de leur produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; correspond à la description technique d’un produit comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; importants ou critiques, les fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit; doivent démontrer la conformité selon les procédures spécifiques d’évaluation de la conformité: le processus qui permet de vérifier si les exigences essentielles de cybersécurité énoncées à l’annexe I ont été respectées; établies par l’article 32, paragraphes 2, 3, 4 et 5, du règlement (UE) 2024/2847.

Le présent règlement comprend des exemples de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; dont la fonctionnalité de base correspond à la description technique de certains produits importants ou critiques comportant des éléments numériques. Ces exemples ne sont fournis qu’à titre indicatif et ne constituent pas une liste exhaustive.

Afin d’apporter une sécurité juridique aux fabricants: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit;, il convient de distinguer les catégories de produits comportant des éléments numériques: un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément; qui sont des microprocesseurs inviolables, des microcontrôleurs inviolables et des cartes à puce et dispositifs similaires, y compris des éléments sécurisés, en fonction du niveau de résistance à l’exploitabilité potentielle des défauts ou faiblesses pour lequel ils ont été conçus. Le niveau AVA_VAN est un moyen largement utilisé et normalisé d’exprimer un tel niveau de résistance. Les niveaux AVA_VAN sont définis dans les critères communs: les critères communs d’évaluation de la sécurité des technologies de l’information définis à l’article 2, paragraphe 1, du règlement d’exécution (UE) 2024/482 ou définis dans les normes visées à l’article 3, paragraphe 2, points a) et b), dudit règlement d’exécution; et les normes de la méthodologie commune d’évaluation accessibles au public, qui sont à la base de cadres de certification existants largement adoptés sur le marché, tels que le règlement d’exécution (UE) 2024/482 de la Commission(³)Règlement d’exécution (UE) 2024/482 de la Commission du 31 janvier 2024 portant modalités d’application du règlement (UE) 2019/881 du Parlement européen et du Conseil en ce qui concerne l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) (JO L, 2024/482, 7.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/482/oj).. Le règlement d’exécution (UE) 2024/482 établit un schéma européen de certification de cybersécurité: la cybersécurité au sens de l’article 2, point 1), du règlement (UE) 2019/881; qui peut être utilisé pour certifier un produit à un niveau d’assurance spécifique. S’appuyant sur les pratiques mondiales, le règlement d’exécution (UE) 2024/482 prévoit la possibilité de délivrer des certificats pour des versions plus anciennes des normes jusqu’à la fin de 2027. De ce fait, dans le contexte du règlement (UE) 2024/2847, il est approprié de permettre l’expression de niveaux AVA_VAN en référence à la version la plus récente ou à des versions plus anciennes de ces normes.

Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 62, paragraphe 1, du règlement (UE) 2024/2847,