CAP'TRONIC décrypte les évolutions règlementaires des sytèmes connectés

Le Cyber Résilience Act dit CRA 

Adopté le 10 octobre 2024 par le conseil de l'UE, ce texte impose des exigences minimales à respecter en matière de cybersécurité des produits numériques. Le CRA couvre la partie hardware et software des produits (un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément). Les logiciels libres "non commerciaux" sont exclus sauf ceux distribués à des fins commerciales (intégrés dans des produits). Le CRA concerne tous les fabricants basés dans l'UE ou non. Les distributeurs devront aux aussi veiller au respect du CRA des produits distribués.

À travers la mise en application du CRA, les fabricants doivent :

• Intégrer la cybersécurité dès la conception des produits ;

• Déployer un processus d'analyse des risques cyber ;

• Mettre en place un processus de gestion des vulnérabilités des produits ;

• Selon la criticité des produits, soit procéder à une auto-évaluation ou obtenir une certification par un tiers.
   

Le CRA exige du fabricant :

• que la date de fin d'assistance pour les mises à jour soit clairement indiquée ;

• de signaler les vulnérabilités identifiées de ses produits dans un délai de 72heures (une plateforme européenne de notification sera mise en place).
  Des sanctions sont prévues pour les non-conformités (pas de marquage CE, retrait des produits,...)

Le CRA sera mis en œuvre de manière progressive. Les dates à retenir pour le moment sont les suivantes :

• 11 juin 2026 : application aux organismes en charge de l'évaluation des conformités

• 11 septembre 2026 : entrée en vigueur des obligations de notifications des vulnérabilités des systèmes par les fabricants 

• 11 décembre 2027 : entrée en vigueur du CRA dans sa totalité.

La directive RED 

Avant la mise en application du CRA, il y a l’évolution de la directive RED (qui concerne les produits communicants). Jusqu'ici, ETSI EN 303 645 était la norme de référence pour une conception "cybersécurisée" des objets connectés, se concentrant sur des aspects tels que la protection des données personnelles et la sécurité de la communication. Aujourd'hui, place à l'EN 18031 !

Depuis fin Aout 2024, le paysage évolue avec l'élaboration de la norme harmonisée EN 18031. La norme EN 18031 fournit des exigences de cybersécurité communes pour différents types d'équipements radios. Sont concernés, les dispositifs capables de communiquer sur Internet, soit directement, soit par l'intermédiaire d'autres équipements. Il s'agit notamment des dispositifs susceptibles de traiter des données sensibles, y compris des données personnelles, des données de trafic et des données de localisation.  L'EN 18031 est un élément important pour l'application de la directive RED 2014/53/UE qui fixe les exigences essentielles pour la sécurité, la santé, la CEM et maintenant, la cybersécurité. 
Attention ! La prise en compte des exigences de l'EN 18031 sera obligatoire à partir du 1er août 2025 et tous produits non conformes ne pourront pas se voir attribuer le marquage CE.

Enfin, la directive machine

Une autre révolution est en cours, elle concerne le nouveau règlement machine. Cette dernière directive donne, aux concepteurs de machines, un ensemble d’exigences permettant d’assurer la santé et sécurité des utilisateurs et ainsi de favoriser la libre circulation de ces équipements sur l’ensemble du territoire européen. La prise en compte des évolutions technologiques, sociétales et économiques a conduit, en 2023, à la publication de révisions. Le nouveau règlement entrera en vigueur le 20 janvier 2027. Ce nouveau règlement clarifie le champ d’application et certaines définitions de la réglementation (machines mobiles, rôles du fabricants, utilisateur, importateur,..) mais intègre aussi de nouveaux risques (robots collaboratifs, Cybersécurité, IA,…).
Ce nouveau règlement tient notamment compte du fait que les machines utilisées dans les entreprises sont fréquemment modifiées par les employeurs. Pour cette raison, le règlement prévoit dorénavant que toute personne physique ou morale qui apporte une modification substantielle à une machine ou à un produit connexe doit être considérée comme un fabricant.
 

 - Au niveau ergonomie, les nouvelles dispositions énoncent que dans les conditions prévues d’utilisation de la machine ou des produits connexes, la gêne, la fatigue et les contraintes physiques et psychiques de l’opérateur doivent être éliminées ou réduites au minimum compte tenu de certains principes ergonomiques.
 - Au niveau interactions hommes/machines, il faudra tenir compte et adapter les équipements aux opérateurs afin que ces équipements puissent communiquer de manière adéquate et compréhensible avec ces mêmes opérateurs (sont ciblés les équipements disposants d’un fonctionnement autonome). Il est fait aussi mention de la prise en compte des risques de « contact » avec les éléments mobiles en place au sein de l’entreprise.

 - Au niveau sécurité, ce nouveau règlement fait apparaitre la nécessité d’intégrer les éléments suivants :

• Conception des machines de telle sorte que l’utilisateur puisse tester les fonctions de sécurité ;

• Conception des machines de telle sorte que leur raccordement à un autre dispositif et/ou réseau ne crée pas de situation dangereuse. Il est spécifié que les systèmes et équipements de communications, intégrés dans les machines, doivent être conçus de manière à être protégés contre toute tentative de corruption ou d’usage malveillant. En clair, à partir de 2027, obligation d’intégrer les exigences de cybersécurité dans la conception des machines mais aussi dans les évolutions de ces mêmes équipements.

Une question ? Un besoin d'accompagnement ? N'hésitez pas à contacter notre expert local, José REBEJAC.