Remarque : la série EN 40000-1-x n’a pas encore été publiée au JOUE (Journal officiel de l’Union européenne). La plupart des normes EN 40000-1-x sont encore à l’état de projet.
Un contexte en évolution
Le Cyber Resilience Act (CRA) est en bonne voie ! Afin d’aider les fabricants, l’Union européenne (UE) met en place un cadre harmonisé de cybersécurité avec pour objectif d’augmenter le niveau global de cybersécurité.
La Commission européenne a défini un ensemble de 41 normes en soutien au CRA ! Cela inclut à la fois des normes horizontales et verticales, destinées à aider les fabricants à mettre en œuvre les exigences essentielles de cybersécurité.
Verticales vs horizontales – quelle différence ?
Les normes verticales sont souvent dites « spécifiques aux produits » et visent à fournir un ensemble d’exigences pour les produits « importants » et « critiques » tels que définis dans le CRA (Annexes III & IV). En complément, les normes verticales peuvent apporter une présomption de conformité pour certains types de produits en tenant compte des risques liés à leur finalité prévue ou à leur utilisation raisonnablement prévisible.
Figure 1 – Exemple de futures normes verticales pour le CRA – Source : vulnir.com/
À l’inverse, les normes horizontales fournissent un cadre commun favorisant la cohérence et proposant des processus transverses pour la conformité au CRA. Les normes horizontales sont donc considérées comme plus « génériques », ce qui signifie qu’elles peuvent s’appliquer à une grande majorité de produits, et plus particulièrement aux produits classés comme « par défaut » dans le CRA.
Cette approche peut être utile grâce à sa « flexibilité » permettant de couvrir différentes technologies et industries de manière plus « neutre vis-à-vis des secteurs ». Cependant, cela peut laisser place à l’interprétation, ce qui peut rendre l’application concrète des exigences plus difficile.
C’est précisément là que la série EN 40000-1-x devient utile pour les fabricants !
Série horizontale EN 40000-1-x – La bonne boîte à outils pour vos produits par défaut
La série EN 40000-1-x a été spécifiquement développée afin de combler les lacunes d’implémentation et de fournir des orientations appropriées pour une interprétation cohérente des exigences réglementaires, notamment lorsque votre produit relève de la catégorie « par défaut ».
Quatre parties particulièrement utiles pour les fabricants :
- EN 40000-1-1 : Vocabulaire et définitions
- (Projet) EN 40000-1-2 : Principes de résilience en cybersécurité, lignes directrices pour l’analyse de risques et activités génériques de développement et de maintenance produit
- (Projet) EN 40000-1-3 : Processus de gestion des vulnérabilités dans le cycle de vie du produit
- (Pas encore de projet) EN 40000-1-4 : Exigences de sécurité génériques, contrôles concrets et critères d’évaluation
Un ensemble d’outils aidant les fabricants à couvrir les obligations du CRA :
Figure 2 – EN 40000-1-x vs CRA
Un cadre qui ne part pas de zéro
La série EN 40000-1-x s’inspire de plusieurs référentiels bien établis.
Par exemple, l’EN 40000-1-2 applique la même logique de cycle de vie que celle décrite dans l’EN IEC 62443-4-1 (cycle de développement sécurisé – SDLC) pour les composants d’automatisation industrielle, couvrant également l’analyse des menaces, la conception sécurisée, l’implémentation, la vérification et la maintenance.
L’EN 40000-1-3 reprend les bonnes pratiques de l’ISO/IEC 31000 utilisées pour la gestion des vulnérabilités ainsi que de l’ISO/IEC 29147 pour la divulgation des vulnérabilités.
L’EN 40000-1-4 hérite à la fois de la série EN 18031-x (développée spécifiquement dans le cadre de la réglementation RED-DA) et de l’EN IEC 62443-4-2. L’EN 40000-1-4 reprend la même structure et la transpose au cadre du CRA, créant ainsi un catalogue horizontal utile de mécanismes de cybersécurité applicables à une large variété de produits.
Tous ces référentiels sont bien connus de SERMA, ce qui fait de nous votre interlocuteur privilégié !
Que peut apporter SERMA Safety and Security ?
Grâce à sa solide expérience dans l’accompagnement de ses clients dans le cadre de la réglementation RED-DA et de référentiels complexes tels que l’EN IEC 62443 ou l’ISO 21434, SERMA Safety and Security est idéalement positionné pour vous accompagner.
Voici un exemple de support que nous pouvons fournir dans le cas d’un produit classé « par défaut » :
Figure 3 – Services SERMA Safety and Security
Calendrier de la série EN 40000-1-x
Le développement de la série EN 40000-1-x est un processus en cours :
- Août 2026 : livraison attendue des normes EN 40000-1-2 et EN 40000-1-3.
- 30 octobre 2027 : date cible de publication de l’EN 40000-1-4.
