Dans un contexte européen marqué par un durcissement de la réglementation en matière de cybersécurité, la sécurisation des produits comportant des éléments numériques (PEN) est désormais au cœur d’un texte entré en vigueur en décembre 2024 : le Cyber Resilience Act (CRA). Ce règlement impose des exigences de sécurité aux fabricants, importateurs et distributeurs, couvrant l’ensemble de la chaîne de valeur, ainsi que tout le cycle de vie des produits. Dossier publié initialement dans le numéro 237 de l'INFOCR.
Entrée en vigueur le 10 décembre 2024, la loi sur la résilience cybernétique (CRA) s’appuie sur la Stratégie européenne de cybersécurité de 2020 et sur la Stratégie de l'Union européenne pour la sécurité. Elle vient compléter d’autres législations, telles que la directive européenne NIS2 (sécurité des réseaux et de l’information), DORA qui couvre la résilience opérationnelle numérique des entités financières, ou encore le Cybersecurity Act (CSA).
« L’objectif, en réalité, est d’éliminer tout maillon faible dans la chaîne. On peut sécuriser les systèmes d’information, instaurer une gouvernance efficace, etc. Mais si des vulnérabilités subsistent – par exemple dans les mises à jour des objets connectés –, comment les corriger ? Ce texte vise justement à renforcer la sécurité des produits et des logiciels pour garantir une protection globale et cohérente », développe Eva Aspe, responsable Affaires publiques - Relations européennes - Communication au cabinet Mathias Avocats.
Le Cyber Resilience Act (CRA) porte ainsi l’ambition de renforcer les exigences de cybersécurité pour tous les produits contenant un composant numérique commercialisés sur le Vieux Continent, et de s’assurer qu’ils respectent les normes de cybersécurité en vigueur sur le marché de l’Union européenne. Il s’applique à l’ensemble des produits numériques qui interagissent, directement ou indirectement, avec un aut...
[Courte citation de 8% de l'article original]