Le Cyber Resilience Act entre en vigueur, mais le vrai rendez-vous sera en 2027
Publié par Clément Bohic le - mis à jour à
Entré en vigueur le 10 décembre 2024, le règlement européen sur la cyberrésilience ne s'appliquera, pour l'essentiel, que trois ans plus tard.
Vers des produits numériques plus sécurisés ? C'est, dans les grandes lignes, l'objectif du Cyber Resilience Act (règlement sur la cyberrésilience).
Entré en vigueur le 10 décembre 2024, le texte établit plus précisément un cadre réglementaire horizontal pour les produits "comportant des éléments numériques". Il s'inscrit dans une logique d'harmonisation, face à la "mosaïque législative" qui s'applique déjà à certains de ces produits.
L'essentiel des dispositions n'entreront en application que le 11 décembre 2027. Les produits concernés mis sur le marché avant cette date ne seront pas soumis au règlement, sauf s'ils font l'objet d'une modification "substantielle". La Commission européenne est invitée à publier des orientations à ce sujet. En l'état, les considérants du Cyber Resilience Act qualifient de substantielle une modification effectuée par des moyens physiques ou numériques d'une manière que le fabricant n'a pas prévue dans l'évaluation initiale des risques. Il est également ainsi des mises à jour logicielles qui modifient l'utilisation prévue du produit de sorte que la nature du danger change ou que le niveau de risque de cybersécurité augmente.
L'annexe I du règlement liste les exigences essentielles de cybersécurité applicables auxdits produits. Les annexes III et IV répertorient respectivement des produits "importants" (une vingtaine de types, répartis en deux classes) et "critiques" (essentiellement les hyperviseurs, les pare-feu et les microprocesseurs "résistants aux manipulations). Les premiers sont soumis à une procédure d'évaluation de conformité. La mise sur le marché des seconds peut également être conditionnée à l'obtention d'une certification européenne de cybersécurité, au minimum au niveau d'assurance "substantiel".
Les notifications de vulnérabilités et d'incidents n'attendront pas 2027
L'article 13 du Cyber Resilience Act établit les principales obligations faites aux fabricants. L'article 14 en comprend d'autres, relatives à la communication d'informations. Il fait partie des quelques éléments du règlement qui entreront en application avant 2027. L'échéance est en l'occurence fixée au 11 septembre 2026. Les fabricants devront alors alerter l'ENISA et le CSIRT de leur État membre de toute vulnérabilité activement exploitée. Ils devront le faire au plus tard 24 heures après en avoir eu connaissance. Une notification plus détaillée (nature de la vulnérabilité, mesures prises...) devra être envoyée sous 72 heures. Un rapport final suivra au plus tard 14 jours après la mise à disposition d'un correctif ou d'une atténuation. Une chronologie similaire s'applique pour le signalement d'incidents graves (avec toutefois, pour le rapport final, un délai d'un mois après notification).
La désignation des organismes d'évaluation de conformité également réglementée "par avance"
Autre partie du règlement qui entrera en application "par avance" : le chapitre IV (articles 35 à 51), consacré aux organismes d'évaluation de la conformité. Date prévue : le 11 juin 2026. Six mois plus tard, les États membres de l'UE devront, en particulier, pouvoir assurer qu'il existe un nombre suffisant de ces organismes.
Du côté de la Commission européenne, divers actes d'exécution sont attendus en 2025. Entre autres, pour préciser la description technique des catégories de produits "importants" et "critiques". Bruxelles aura ensuite à présenter un rapport d'évaluation du règlement au plus tard le 11 décembre 2023. En amont (pour le 11 septembre 2028), elle en aura présenté un autre, relatfi à la plate-forme unique prévue pour signaler les vulnérabilités et les incidents.
Illustration © vladimircaribb - Adobe Stock