Qu’est-ce que le Cyber Resilience Act ?
Adoptée le 12 mars 2024, la Cyber Resilience Act, ou loi sur la cyber-résilience (CRA), vise à renforcer la cybersécurité au sein de l’Union européenne. Ce cadre juridique a pour objectif d’améliorer la résilience des systèmes numériques en imposant des normes de sécurité strictes pour les produits et services numériques commercialisés en Europe. Les fabricants devront mettre sur le marché de l’Union Européenne des produits conformes d’ici 2027. En réponse à la multiplication des cyberattaques, cette réglementation entend protéger les consommateurs et les entreprises contre les risques numériques croissants.
Contrairement à certaines autres réglementations comme la NIS2, la Cyber Resilience Act s’applique directement aux États membres de l’UE, de la même manière que le RGPD, ne nécessitant donc pas de transposition en droit national.
Le Cyber Resilience Act et la directive NIS 2 sont complémentaires. Alors que la directive NIS 2 se concentre sur la sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels et des fournisseurs de services numériques, la Cyber Resilience Act vise spécifiquement la sécurité des produits numériques. Ensemble, ces réglementations forment un cadre robuste pour la sécurité numérique dans l’UE.
Qui est concerné par le Cyber Resilience Act ?
Cette réglementation s’applique à de nombreux acteurs de l’écosystème numérique, notamment :
- Les fabricants de produits numériques : Tous les produits matériels et logiciels, qu’ils soient destinés aux consommateurs ou aux entreprises.
- Les fournisseurs de services numériques : Incluant les services cloud, les plateformes en ligne, et les infrastructures critiques.
- Les développeurs de logiciels : Qui doivent s’assurer que leurs applications respectent les normes de sécurité dès leur conception et tout au long de leur cycle de vie.
- Les distributeurs et les revendeurs : Qui doivent vérifier la conformité des produits numériques qu’ils mettent sur le marché européen.
Obligations du Cyber Resilience Act
Le Cyber Resilience Act impose plusieurs obligations aux entreprises pour garantir une cybersécurité renforcée :
- Disponibilité des mises à jour de sécurité : Les mises à jour de sécurité doivent être disponibles pendant une période minimale de cinq ans après la mise sur le marché du produit.
- Classification des produits : Les produits sont classés en trois catégories (classe 0, 1 et 2 ou élémentaire, substantiel et élevé) avec des exigences proportionnelles selon la classe du produit.
- Évaluation des risques : Les entreprises doivent effectuer des évaluations régulières des risques de sécurité pour leurs produits et services numériques.
- Intégration de la sécurité dès la conception : Les mesures de sécurité doivent être intégrées dès le début du développement des produits et services (security by design).
- Gestion des vulnérabilités : Les entreprises sont tenues de mettre en place des processus pour identifier, corriger et communiquer les vulnérabilités de sécurité tout au long du cycle de vie du produit.
- Transparence : Fournir des informations claires et accessibles aux consommateurs et aux utilisateurs sur les mesures de sécurité mises en place et les mises à jour disponibles.
- Conformité continue : Maintenir une conformité continue avec les normes et réglementations de cybersécurité, en effectuant des audits et des tests de sécurité réguliers.
Sanctions en cas de non-conformité
Le non-respect du Cyber Resilience Act peut entraîner des sanctions sévères. Les entreprises qui ne se conforment pas à ces nouvelles obligations s’exposent à des amendes administratives pouvant atteindre jusqu’à 2,5% du chiffre d’affaires annuel mondial total de l’entreprise ou un montant de 15 millions d’euros, le montant le plus élevé étant retenu. Cequi souligne l’importance de la conformité pour éviter des répercussions financières et juridiques importantes.
L’accompagnement de SERMA Safety and Security
Chez SERMA Safety and Security, nous comprenons les défis que représente la mise en conformité avec le Cyber Resilience Act. Nous offrons une gamme complète de services pour aider les entreprises à naviguer dans ce nouveau cadre réglementaire et à renforcer leur posture de cybersécurité :
- Audit de sécurité : Nous évaluons vos produits et services numériques pour identifier les vulnérabilités et vous conseiller sur les mesures correctives à prendre.
- Conseil en conformité : Nos experts vous guident à travers les exigences spécifiques du Cyber Resilience Act et vous aident à mettre en place les processus nécessaires pour assurer votre conformité.
- Formation et sensibilisation : Nous proposons des sessions de formation pour vos équipes afin qu’elles comprennent les implications de la réglementation et adoptent les meilleures pratiques en matière de cybersécurité.
- Support technique et maintenance : Nous assurons un suivi continu pour maintenir votre conformité et répondre à toute nouvelle exigence réglementaire.
Le Cyber Resilience Act représente un pas important vers une meilleure protection des infrastructures numériques en Europe. Pour les entreprises, cela signifie une vigilance accrue et un engagement à adopter des normes de sécurité rigoureuses.
Avec l’aide de SERMA Safety and Security, vous pouvez non seulement vous conformer à cette réglementation, mais aussi renforcer la résilience de vos systèmes contre les cybermenaces.
Découvrez comment nous pouvons vous accompagner dans cette transition importante.