Traduit automatiquement par IA, lire l'original
CECE : « L'UE ignore les avertissements de l'industrie concernant la complexité de l'architecture des machines »
26 février 2024
Après seulement deux mois de négociations interinstitutionnelles, les décideurs politiques de l'UE, de la présidence espagnole du Conseil et du Parlement européen, sont parvenus à un accord sur les principales dispositions de la nouvelle loi européenne sur la cybersécurité des appareils connectés, le Cyber Resilience Act (CRA).

L'accord sur le texte final a été trouvé en un temps record, malgré les avertissements de l'industrie sur la nécessité d'éviter l'adoption précipitée de ce texte législatif crucial.
Elle ne prend pas en compte les exigences des fabricants de produits durables en matière de délai de mise en œuvre adéquat.
En tant que représentant de l’industrie européenne des équipements de construction, le CECE critique vivement le manque d’attention accordée à cette question.
En tant que première mesure législative de ce type au monde, une fois en application, la CRA introduira un ensemble d’exigences de sécurité pour les produits connectés, allant des jouets intelligents aux machines industrielles.
Avec son champ d'application très large, couvrant tous les produits comportant des éléments numériques (tant matériels que logiciels, à l'exception des pièces de rechange) mis à disposition sur le marché et capables de se connecter soit à un appareil, soit à un réseau, le CRA imposera de nouvelles obligations aux fabricants tout au long du cycle de vie des produits, depuis la phase de conception et de développement, et également au-delà de la mise sur le marché de l'UE.
Les produits comportant des éléments numériques entrant dans le champ d'application du CRA sont classés en catégories par défaut, importantes ou critiques avec une approche basée sur les risques.
Les fabricants seront donc tenus de procéder à une évaluation de la conformité en fonction du risque de menaces à la sécurité qui leur est attribué.
En d’autres termes, différentes classifications de produits nécessiteront différentes procédures d’évaluation de la conformité.
Il convient néanmoins de noter que l’intégration de produits critiques ne rend pas en soi le produit intégré soumis à la même procédure d’évaluation de la conformité.
L'approche de la période de soutien
La nouvelle loi sur la cybersécurité des produits connectés constitue un dossier prioritaire pour les membres du CECE en raison de l'impact attendu une fois en application.
À partir de la mi-2027, les fabricants d’équipements de construction seront tenus de respecter un certain nombre d’exigences de sécurité essentielles lors de la mise sur le marché de produits comportant des éléments numériques.
De plus, les obligations liées au traitement des vulnérabilités suivront l'approche de la « période de support », qui fait désormais référence à la durée pendant laquelle un produit est censé être utilisé (durée d'utilisation prévue plutôt que durée de vie prévue) et reflétera les attentes des utilisateurs et la nature du produit.
Un aspect positif réside dans le fait que les fabricants peuvent prendre en compte d’autres éléments lors de la détermination de la durée de la période de support, tels que les périodes de support des composants intégrés (fonctions principales) provenant de tiers, d’une manière qui garantit la proportionnalité.
La durée minimale de la période de support est de 5 ans et toutes les mises à jour de sécurité mises à la disposition de l'utilisateur doivent rester disponibles pendant au moins 10 ans ou pendant le reste de la période de support, selon la période la plus longue.
Que se passe-t-il ensuite ?
Le texte de l’accord politique provisoire conclu en trilogue doit être formellement approuvé par le Parlement et le Conseil.
Le texte sera ensuite publié au Journal officiel de l’UE (publication prévue mi-2024) et entrera en vigueur le 20e jour après sa publication.
La période de transition avant que la LRC ne devienne applicable a été légèrement prolongée de seulement 12 mois.
Les nouvelles règles de cybersécurité pour les produits connectés s'appliqueront ainsi 36 mois, soit 3 ans, après l'entrée en vigueur du nouveau règlement.
Cela donnera aux fabricants d’équipements de construction un délai très limité (jusqu’� mi-2027) pour se conformer aux nouvelles exigences de cybersécurité.
Ce court délai ne tient absolument pas compte des avertissements de l’industrie et de la complexité des produits de machines, qui nécessiteront désormais des changements importants dans l’ensemble de l’architecture des machines.
Restez connecté




Recevez les informations dont vous avez besoin, au moment où vous en avez besoin, grâce à nos magazines, newsletters et briefings quotidiens de renommée mondiale.
ENTREZ EN CONTACT AVEC L'ÉQUIPE



