Le Cyber Resilience Act (CRA) est le nouveau règlement qui définit les exigences horizontales en matière de cybersécurité pour les produits connectés et leurs composants hardware et software. Il a été publié au Journal officiel de l’UE le 20 novembre 2024.
Objectifs principaux :
- assurer un niveau élevé de cybersécurité des produits comportant des éléments numériques ;
- garantir une meilleure sécurité des produits hardware et software dès leur phase de conception et de développement, ainsi qu’une sécurité des produits liée à leur cycle de vie ;
- rendre les informations sur le niveau de cybersécurité des produits plus accessibles et plus complètes.
Certains produits sont exclus du CRA, comme les dispositifs médicaux, l’aviation civile et les équipements marins, ainsi que les produits de sécurité nationale, de défense ou traitant des informations classifiées. Cette liste est non exhaustive. La liste complète est disponible à l’article 2 du règlement.
Dates importantes :
- à partir du 11 septembre 2026 les fabricants devront notifier les vulnérabilités activement exploitées et les incidents graves ;
- à partir du 11 décembre 2027, les fabricants devront implémenter les exigences de cybersécurité et de gestion des vulnérabilités pour les produits mis sur le marché à partir de cette date. Ceci s’applique également aux produits mis sur le marché avant cette date qui subissent une modification substantielle.
Sanctions :
Les sanctions pour non-respect des obligations et exigences essentielles peuvent s'élever jusqu’à 15 millions d'euros ou à 2,5 % du chiffre d'affaires annuel mondial total.
Le texte complet du règlement peut être consulté sur le site de la Commission européenne.
D’autres informations utiles sont disponibles via le lien : https://www.european-cyber-resilience-act.com/