Cyber Resilience Act (CRA) : définition, obligations et sanctions

Cyber Resilience Act (CRA) : définition, obligations et sanctions
⏱ Lecture 4 min

Par Gérard Haas et Romain Delangle

Une organisation est victime d’un rançongiciel toutes les 11 secondes dans le monde, et on estime qu’en 2021 le coût annuel de la cybercriminalité à l’échelle planétaire s’élevait à 5.500 milliards d’euros[1].

Ces chiffres alarmants ont conduit la Commission européenne à saisir le problème à bras le corps et à inscrire la cybersécurité sur la liste de ses actions prioritaires. En parallèle de la refonte de la directive « Network and Information Security » (NIS)[2], la présidente de la commission européenne avait annoncé en septembre 2021 la préparation d’un nouvel acte législatif sur la cyber-résilience, le « Cyber Resilience Act » (CRA).

Définition du Cyber Resilience Act (CRA)

Elaboré sur la base de la stratégie de cybersécurité de l’UE de 2020, le CRA introduit des règles communes en matière de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques, couvrant à la fois le matériel et les logiciels. L’objectif de ce texte est de protéger les consommateurs et les entreprises des risques en matière de cybersécurité dans leur utilisation des matériels filaires et connectés, ainsi que des logiciels.

Le 15 septembre 2022, la Commission a présenté un premier projet qui sera soumis à l’examen du Parlement européen et du Conseil.

Cette première mouture est l’occasion de se pencher sur les futures obligations qui encadreront la vente de produits comportant des éléments numériques selon le projet de la Commission.

Quels sont les produits visés par le Cyber Resilience Act ?

Le Cyber Resilience Act vise large, la proposition de la Commission visant à établir des règles communes pour l’ensemble des « produits comportant des éléments numériques », notion définie à l’article 3 du projet comme « tout produit logiciel ou matériel et ses solutions de traitement des données à distance, y compris les composants logiciels ou matériels qui seront mis sur le marché séparément ». Seront inclus dans cette définition l’ensemble des matériels connectés (ordinateurs, téléphones, appareils ménagers, voitures, jouets, dispositifs d’assistance virtuels…) ainsi que les systèmes tels que les VPN, les antivirus, les gestionnaires de mots de passe, les logiciels essentiels à la gestion des services cloud, ou encore les systèmes d’exploitation des matériels précédemment cités. Dans un souci de clarté, le projet de CRA prévoit une liste des produits et logiciels concernés.

Il convient de préciser que le législateur européen entend opérer une distinction entre une catégorie générale de produits comportant des éléments numériques, et ceux considérés comme « critiques », cette seconde catégorie représentant 10 % des objets concernés par la régulation. Cette seconde catégorie se subdiviserait elle-même en deux classes selon le niveau de criticité des risques. Selon la classe à laquelle il est rattaché, le logiciel ou le matériel sera soumis à un encadrement et à des obligations plus ou moins strictes.

Quelles sont les nouvelles obligations des constructeurs et distributeurs ?

La Commission annonce une série de mesures qui s’articulent autour de deux axes : le renforcement du niveau de cybersécurité des produits, et le renforcement du niveau d’information à destination des consommateurs et des entreprises.

Les mesures proposées dans le cadre du projet de CRA définiront :

  • Les règles à respecter lors de la mise sur le marché des produits visés par la réglementation en matière de cybersécurité ;

  • Les obligations des fabricants lors de la conception, du développement et de la production de ces produits ;

  • Les exigences essentielles applicables aux fabricants durant l’intégralité du cycle de vie du produit. Les constructeurs diffuseront notamment des correctifs de sécurité et mettront en place des procédures de gestion des vulnérabilités.

  • Les informations concernant la sécurité des produits à faire figurer sur l’ensemble de la documentation accompagnant les produits. Ces informations seront relatives à la sécurité, au support technique proposé par le fournisseur ou encore à l’installation des mises à jour de sécurité.

Quelles sont les exclusions du régime du Cyber Resilience Act ?

Bien que la portée du projet de Cyber Resilience Act soit relativement étendue, certaines exclusions sont à prévoir.

Tout d’abord, la Commission indique que les logiciels fournis en tant que services (telles que les messageries instantanées) et non en tant que produits ne seront pas couverts par la proposition de loi. Cette dernière ne couvre en effet que les produits contenant des éléments numériques vendus sur le marché européen. Ces logiciels fournis en tant que services seront en revanche encadrés dans la directive NIS 2 ainsi que par d’autres législations sectorielles. Il n’en demeure pas moins que ces réglementations prévoient des exigences techniques et offrent un niveau de protection équivalent en matière de cybersécurité que celles prévues par le CRA.

Pour la même raison, le projet de CRA ne concernera pas non plus les logiciels développés en interne tels que les systèmes de dossiers de santé électroniques.

Enfin, des exceptions sont prévues concernant certaines catégories de produits pour lesquels il existe déjà une législation européenne fixant des exigences en matière de cybersécurité. C’est notamment le cas des dispositifs médicaux, ou encore des appareils du secteur de l’aviation et de l’automobile.

Quelles sont les obligations qui sont contrôlées et sanctionnées ?

Bien entendu, le législateur entend contrôler l’application de ces nouvelles obligations. Il est ainsi prévu que les Etats membres nommeront des autorités de surveillance du marché responsables de l’application des obligations prévues par le CRA.

Ces autorités pourront prendre plusieurs mesures. Ils pourront notamment exiger des opérateurs qu’ils mettent fin à la non-conformité, qu’ils restreignent la mise à disposition d’un produit, qu’ils éliminent un risque. Elles pourront également exiger le rappel d’un produit ou encore son retrait de la vente.

Ces prérogatives seront assorties d’un pouvoir de sanction avec des amendes qui pourront atteindre 2,5 % du chiffre d’affaires ou encore 15 millions d’euros.

***

Le département cybersécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Nos équipes se tiennent à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour en savoir plus, rendez-vous ici.

 

[1] Rapport du EU Science Hub, « Cybersecurity – our digital anchor – a European perspective »

[2] Voir notre article sur le sujet : « La cybersécurité est renforcée par l'UE avec la refonte de la directive NIS »

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin