Depuis les dernières années, le monde digital est en pleine croissance et cela continuera dans les années à venir. Malheureusement, expansion digitale et risques de cyberattaques vont de pair. Avec des milliards d’appareils connectés partout dans le monde, la cybersécurité des systèmes cyberphysiques est de plus en plus critique. Pour répondre à cette préoccupation, l’Union Européenne (UE) a introduit la Loi sur la Cyber-Résilience, un règlement visant à renforcer la sécurité des produits contenant des éléments numériques.
Dans cet article, nous allons couvrir les éléments importants de cette nouvelle réglementation afin de vous aider à comprendre les différents enjeux pour votre entreprise. Pour lire le règlement complet, vous pouvez suivre ce lien :
Qu’est la Loi sur la cyber-résilience?
La Loi sur la cyber-résilience est une nouvelle régulation qui fixe des exigences obligatoires en matière de sécurité pour tous les produits vendus dans l’Union Européenne contenant des éléments numériques. Cela inclut des produits logiciels et hardware connectés à d’autres produits ou au réseau. La loi a pour objectif de réduire les vulnérabilités et améliorer la cybersécurité tout au long du cycle de vie des produits numériques.
Le règlement aborde deux questions majeures :
Les vulnérabilités généralisées dans les produits numériques, qui augmentent le risque de cyberattaques.
Les mises à jour de sécurité incohérentes, qui laissent de nombreux produits exposés trop longtemps à des failles de sécurité connues.
Pourquoi est-ce important?
Les cyberattaques peuvent avoir des conséquences énormes touchant non seulement les utilisateurs, mais aussi les entreprises et infrastructures publiques. En renforçant les standards en cybersécurité au niveau produit, la Loi sur la cyber-résilience cherche à prévenir les attaques et qu’elles ne se produisent. Cet aspect est très important, spécialement pour les secteurs critiques tels que la santé, le transport et les appareils de maisons intelligentes, où les vulnérabilités peuvent mener à d’importants préjudices.
La Loi s’assure que les fabricants incorporent la sécurité dans toutes les étapes du cycle de vie de leur produit, de la conception au développement à la maintenance. Elle permet également aux consommateurs de bénéficier d’une plus grande transparence sur les dispositifs de sécurité et les calendriers de mise à jour des produits qu’ils achètent.
Exigences clés pour les fabricants
Sous la Loi de la cyber-résilience, les fabricants doivent :
Assurer la cybersécurité du produit tout au long du cycle de vie : il s’agit notamment d’identifier et de traiter les vulnérabilités, ainsi que fournir des mises à jour de sécurité pendant une période définie.
Satisfaire à des évaluations de conformité strictes : les produits classés comme importants ou critiques (tels que les systèmes domestiques intelligents ou les appareils médicaux) doivent faire l’objet d’évaluations plus strictes afin de garantir leur conformité aux normes de cybersécurité.
Fournir de la transparence aux consommateurs : les fabricants doivent informer les utilisateurs des propriétés de cybersécurité de leurs produits, y compris de la durée des mises à jour de sécurité.
Ces exigences ne s’appliquent pas seulement aux produits développés dans l’UE, mais aussi ceux importés dans le marché de l’Union Européenne.
Dates à retenir
La Loi fournit un délai clair aux manufacturiers pour ajuster leurs produits. De ces dates, voici les informations importantes à retenir :
Conformité générale : les manufacturiers ont 36 mois à compter de l’entrée en vigueur du règlement pour s’assurer que leurs produits répondent aux normes de cybersécurité nécessaires.
Obligations de déclaration : les fabricants doivent signaler les vulnérabilités et tout incident grave de cybersécurité affectant leurs produits à compter de 21 mois après l’entrée en vigueur du règlement.
Organismes d’évaluation de la conformité : 18 mois après l’entrée en vigueur du règlement, ces organismes doivent être prêts à évaluer et certifier les produits. Les fabricants de produits critiques et importants doivent s’assurer que leurs produits sont évalués à ce moment.
Support pour les petites et moyennes entreprises
La Loi sur la cyber-résilience est bien consciente que les petites et moyennes entreprises feront face à des défis pour l’implantation du règlement au sein de leur entreprise, elle inclut donc des provisions spéciales afin d’aider les PME à se conformer à cette réglementation.
Des conseils allant des risques de cybersécurité à l’application de la loi seront fournis, garantissant que même les petites entreprises peuvent être compétitives sur le marché tout en maintenant des normes élevées en matière de cybersécurité.
Comment se préparer?
Pour assurer la conformité de la Loi sur la cyber-résilience, les fabricants devraient revoir leur processus de développement de produit dès maintenant. Pour ce faire, les fabricants peuvent effectuer les éléments suivants :
Réaliser des évaluations des risques de cybersécurité : identifier et adresser les vulnérabilités potentielles.
Élaborer un plan de mises à jour de sécurité régulières : assurez-vous que vos produits reçoivent des mises à jour en temps opportun tout au long de leur période de support.
Évaluer la conformité : si vos produits sont dans les catégories importants ou critiques, assurez-vous qu’ils sont soumis aux évaluations tierces nécessaires.
Le futur de la cybersécurité dans l’UE
La Loi sur la cyber-résilience représente une avancée majeure dans la sécurisation de l’écosystème digital. En mettant en place des standards de cybersécurité pour les produits dotés d’éléments digitaux, l’UE ouvre la voie pour la protection des consommateurs et entreprises en matière de menaces cyber. Pour les fabricants, cette loi n’est pas seulement un problème de conformité, mais également une opportunité pour bâtir la confiance avec les clients et se différencier dans un marché compétitif.
Comme le délai de conformité de 36 mois approche, il est maintenant temps d’agir. Les fabricants qui adopteront rapidement les exigences de cybersécurité seront bien placés pour prospérer dans ce nouveau paysage numérique sécurisé.
Êtes-vous prêt pour vous conformer à la Loi sur la cyber-résilience? Contactez Vendel pour apprendre comment nous pouvons vous aider à conformer vos produits connectés vendus sur le territoire de l’Union Européenne.