Europe. Cyber Resilience Act (CRA). Protection des consommateurs et des entreprises

Dans un monde de plus en plus numérique, les cybermenaces deviennent omniprésentes, mettant en péril la sécurité des utilisateurs et des infrastructures critiques. En réponse à ces défis croissants, l'Union européenne a introduit le Cyber Resilience Act (CRA), un règlement européen novateur visant à renforcer la cybersécurité des produits contenant des éléments numériques.

• Europe. Stratégie cybersécurité. Fiches législatives
• Europe. Cyber Résilience Act (CRA). Protection des consommateurs et des entreprises
• Europe. Comprendre le Data Act, un pilier de la transformation numérique
• Europe. Le Gigabit Infrastructure Act au coeur de la décénnie numérique européenne
• Europe. Le AI Act, une réglementation cruciale pour l'avenir numérique de l'Europe

L'importance de la cybersécurité a été mise en lumière par des incidents récents tels que celui impliquant Microsoft et CrowdStrike en juillet 2024, ce qui a démontré les vulnérabilités des systèmes numériques et la nécessité de normes de sécurité rigoureuses.

La veille en matière de cybersécurité figure parmi les missions de l'Agence du Numérique et plus spécifiquement dans le cadre du programme Cyberwal by Digital Wallonia.

Le CRA a été proposé par la Commission européenne en septembre 2022. Son objectif principal est de créer un cadre cohérent et robuste pour la cybersécurité des produits numériques (Hardware & Software) sur le marché européen.

Ce règlement devrait entrer en vigueur à l'automne 2024, avec une échéance pour les fabricants de mettre sur le marché des produits conformes d'ici 2027. La Commission procédera alors à des évaluations régulières de la loi et publiera des rapports sur son impact.

Des règles harmonisées. Ce règlement établira des normes uniformes pour la mise sur le marché de produits et de logiciels comportant des composants numériques, afin d’assurer que tous les produits respectent des critères de sécurité cohérents à travers l’Union européenne.

Un cadre d’exigences en cybersécurité. Le CRA définira des exigences claires en matière de cybersécurité pour chaque phase du cycle de vie des produits. Cela inclut des obligations spécifiques pour la planification, la conception, le développement et la maintenance des produits numériques garantissant ainsi une approche proactive en matière de protection contre les cyber-menaces.

Une obligation de diligence. Les fabricants seront tenus de démontrer une vigilance continue pour assurer la sécurité des produits tout au long de leur cycle de vie. Cette obligation implique une gestion rigoureuse des vulnérabilités, la mise en œuvre de mises à jour de sécurité régulières, et la réponse rapide aux incidents de cybersécurité afin de minimiser les risques pour les utilisateurs.

Les fabricants de produits contenant des éléments numériques doivent se conformer à plusieurs exigences spécifiques avant et après la mise sur le marché de leurs produits.

Gestion des cyber-risques. Avant la commercialisation, les fabricants doivent effectuer une évaluation des risques cyber et se conformer à des obligations de diligence raisonnable envers les fournisseurs de composants. Cette évaluation comprend la planification de la gestion future des potentielles vulnérabilités et la mise en place de mesures de sécurité adéquates pour les atténuer.

Gestion des vulnérabilités. Pendant le cycle de vie du produit, les fabricants sont tenus de gérer efficacement les vulnérabilités des produits, notamment par des tests réguliers, la gestion des correctifs et une documentation claire. Ils doivent définir une période de support pour les mises à jour de sécurité, qui ne peut être inférieure à cinq ans, sauf pour les produits dont la durée de vie prévue est plus courte.

Documentation technique. Les fabricants doivent créer et maintenir une documentation technique démontrant la conformité aux exigences essentielles de sécurité. Cette documentation doit être élaborée avant la mise sur le marché et mise à jour tout au long de la période de support du produit.

Les importateurs et distributeurs jouent également un rôle crucial dans le cadre du CRA. Avant de mettre un produit sur le marché de l'Union européenne, ils doivent vérifier que le fabricant a respecté les exigences de conformité. En cas de risque significatif, ils doivent informer les autorités de surveillance du marché et prendre les mesures correctives nécessaires, y compris le retrait ou le rappel des produits non conformes.

La réception du Cyber Resilience Act (CRA) parmi les États membres de l'Union européenne et le marché a été globalement positif.

L’ensemble des pays ont exprimé un soutien fort, soulignant l'importance de normes harmonisées en cybersécurité pour protéger les infrastructures critiques et les consommateurs. Toutefois, certains insistent sur la nécessité de flexibilité pour permettre aux entreprises de continuer à innover tout en se conformant aux nouvelles exigences de sécurité. Certaines réserves ont été partagées également concernant les ressources nécessaires pour assurer la conformité et la surveillance.

Du côté des petites et moyennes entreprises (PME), des inquiétudes ont été soulevées concernant les coûts et les efforts requis pour se conformer aux nouvelles régulations. Toutefois, le CRA comprend des dispositions spécifiques pour alléger cette charge, ce qui pourrait aider les PME à s'adapter plus facilement. Ces dispositions comprennent une possibilité pour les PME de publier la documentation technique de leurs produits dans un format simplifié et imposent aux organismes d’évaluation de la conformité de considérer la taille de l’entreprise lors de la fixation des frais d’évaluation de conformité.

Outre l'amélioration significative de la sécurité, le CRA pourrait apporter des bénéfices économiques notables, réduisant potentiellement les coûts des incidents de cybersécurité de 180 à 290 milliards d'euros par an pour les entreprises européennes. En augmentant la transparence des propriétés de sécurité des produits, le CRA pourrait renforcer la confiance des consommateurs, stimulant ainsi le marché des produits numériques.

Cependant, la mise en conformité avec le CRA imposerait des coûts non négligeables aux fabricants, estimés à environ 29 milliards d'euros pour un marché évalué à 1485 milliards d'euros en chiffre d'affaires annuel.

Les PME, bien que confrontées à des défis de mise en conformité malgré l’allégement prévu dans le CRA, bénéficieraient également de produits numériques plus sécurisés, réduisant ainsi leurs propres coûts de gestion des incidents de sécurité. Elles pourront aussi augmenter leur compétitivité à travers la sécurisation de leurs produits.

En cas de non-respect du CRA, les autorités de surveillance peuvent appliquer plusieurs types de sanctions. Ces sanctions sont conçues pour être proportionnelles à la gravité de l'infraction et à son impact potentiel sur la sécurité des utilisateurs et des infrastructures.

Amendes financières. Les entreprises peuvent se voir infliger des amendes substantielles qui peuvent atteindre jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial de l'entreprise, selon le montant le plus élevé.

Retrait du marché. Les produits non conformes peuvent être retirés du marché européen. Les autorités de surveillance peuvent ordonner le rappel des produits déjà vendus et empêcher la vente future de produits non conformes jusqu'à ce que les problèmes de sécurité soient résolus.

Suspension de la mise sur le marché. En plus du retrait, les autorités peuvent suspendre temporairement la mise sur le marché de produits jusqu'à ce que les fabricants prouvent leur conformité aux exigences du CRA. Cela garantit que les produits présentant des risques de sécurité ne sont pas disponibles aux consommateurs jusqu'à leur mise en conformité.

Notifications publiques. Les autorités peuvent exiger que les entreprises publient des notifications publiques concernant les non-conformités détectées afin de garantir que les consommateurs et utilisateurs professionnels soit informés des risques potentiels.

Le CRA et la directive NIS2 visent à renforcer la cybersécurité, mais diffèrent dans leur portée.

• Le Cyber Resilience Act se concentre sur la sécurité des produits numériques, imposant des exigences pour les matériels et logiciels.
• La directive NIS2 vise à protéger les réseaux et systèmes d'information des infrastructures critiques, avec des obligations pour la gestion des risques, la notification des incidents et la coopération entre États membres.

Ensemble, ces initiatives offrent un cadre réglementaire complet pour améliorer la cybersécurité au sein de l'UE.

En tant que règlement de l'UE, le CRA sera directement applicable en Belgique dès son entrée en vigueur, sans nécessiter de transposition dans la législation nationale contrairement à NIS2 qui est une directive

Les entreprises belges devront donc se conformer aux nouvelles exigences de cybersécurité, tout comme leurs homologues dans les autres États membres. Les autorités belges de surveillance du marché seront responsables de veiller à la conformité, d'appliquer les sanctions en cas de non-respect et de collaborer avec les autorités des autres pays de l'UE pour une mise en œuvre uniforme du règlement.

Le Cyber Resilience Act marque une avancée cruciale dans la protection des utilisateurs et des infrastructures critiques en Europe. En harmonisant les normes de cybersécurité et en imposant des exigences strictes aux fabricants, importateurs et distributeurs de produits numériques, le CRA établit un environnement numérique plus sûr et plus résilient.

Des cyberattaques majeures comme Log4j, WannaCry, ou l’incident récent avec CrowdStrike auraient pu potentiellement être atténuées, voire évitées, si le CRA avait été en vigueur. En renforçant les mesures de sécurité dès la conception et en assurant une surveillance continue, le CRA prépare les entreprises à mieux anticiper et répondre aux menaces futures, minimisant ainsi les risques et renforçant la résilience collective.