Un guide complet de l'ARC à l'intention des importateurs, des distributeurs et des tiers pour faire face aux risques et aux vulnérabilités en matière de cybersécurité.
Afin de se conformer à l'ARC à venir, ils partagent certaines obligations avec les fabricants dont ils importent, distribuent ou revendent les appareils.
Dans certains cas, ils peuvent même être considérés comme des fabricants.
1- CRA Conditions préalables à l'importation de dispositifs IoT
Tout d'abord, en remplissant les conditions préalables suivantes, les importateurs peuvent garantir la conformité et la sécurité de l'ARC lors de l'importation de produits IdO dans l'UE :
2- Documentation obligatoire
Ensuite, pour importer des produits IdO dans l'UE, les importateurs doivent se conformer à des exigences spécifiques en matière de documentation, notamment :
3- Exigences en matière de rapports de l'ARC
Si un importateur soupçonne qu'un IoT ou les processus mis en œuvre ne sont pas conformes aux exigences essentielles énoncées (cf. annexe I), il doit s'abstenir de mettre le produit sur le marché et prendre les mesures nécessaires pour le mettre en conformité.
En outre, si le produit IoT présente un risque de cybersécurité, il doit en informer le fabricant et les autorités de surveillance du marché par le biais d'une notification détaillée.
En outre, les importateurs ont l'obligation d'informer rapidement le fabricant s'ils identifient des vulnérabilités.
Lorsque le fabricant d'un produit IdO ne peut pas remplir ses obligations, les importateurs doivent signaler cette situation aux autorités de surveillance du marché compétentes et aux utilisateurs concernés.
Enfin, les importateurs doivent conserver les documents pendant dix ans.
Les importateurs ne mettent sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles énoncées à l'annexe I, partie I, et pour lesquels les processus mis en œuvre dans le cadre de la mise en œuvre de la présente directive sont conformes aux exigences essentielles énoncées à l'annexe I, partie I.
mises en place par le fabricant sont conformes aux exigences essentielles énoncées à l'annexe I, partie II.
Avant de mettre sur le marché un produit contenant des éléments numériques, les importateurs doivent s'assurer que
(a) les procédures appropriées d'évaluation de la conformité visées à l'article 32 ont été effectuées par le fabricant ;
(b) le fabricant a établi la documentation technique ;
(c) le produit contenant des éléments numériques porte le marquage CE visé à l'article 30 et est accompagné de la déclaration UE de conformité visée à l'article 13, paragraphe 20, et des informations et instructions à l'intention de l'utilisateur visées à l'annexe II, dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché ;
(d) Le fabricant a respecté les exigences énoncées à l'article 13, paragraphes 15, 16 et 19.
Aux fins du présent paragraphe, les importateurs doivent être en mesure de fournir les documents nécessaires prouvant le respect des exigences énoncées dans le présent article.
Lorsqu'un importateur considère ou a des raisons de croire qu'un produit contenant des éléments numériques ou que les processus mis en place par le fabricant ne sont pas conformes au présent règlement, l'importateur ne met pas le produit sur le marché jusqu'à ce que
le produit ou les procédés mis en place par le fabricant ont été mis en conformité avec le présent règlement.
En outre, si le produit contenant des éléments numériques présente un risque important pour la cybersécurité, l'importateur en informe le fabricant et les autorités de surveillance du marché.
Lorsqu'un importateur a des raisons de croire qu'un produit comportant des éléments numériques peut présenter un risque important pour la cybersécurité à la lumière de facteurs de risque non techniques, il en informe les autorités de surveillance du marché.
Dès réception de ces informations, les autorités de surveillance du marché suivent les procédures visées à l'article 54, paragraphe 2.
Les importateurs indiquent leur nom, leur nom commercial enregistré ou leur marque déposée, leur adresse postale, leur adresse électronique ou tout autre contact numérique ainsi que, le cas échéant, le site web sur lequel ils peuvent être contactés sur le produit avec des données numériques.
sur son emballage ou dans un document accompagnant le produit avec des éléments numériques. Les coordonnées sont rédigées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.
▌
Les importateurs qui savent ou ont des raisons de croire qu'un produit contenant des éléments numériques qu'ils ont mis sur le marché n'est pas conforme au présent règlement prennent immédiatement les mesures correctives nécessaires pour garantir que le produit contenant des éléments numériques est mis en conformité avec le présent règlement, ou pour retirer ou rappeler le produit, le cas échéant.
Dès qu'ils ont connaissance d'une vulnérabilité du produit contenant des éléments numériques, les importateurs en informent le fabricant dans les meilleurs délais. En outre, lorsque le produit contenant des éléments numériques présente un risque important pour la cybersécurité, les importateurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis le produit contenant des éléments numériques à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et sur toute mesure corrective prise.
Les importateurs doivent, pendant au moins 10 ans après que le produit contenant des éléments numériques a été
mis sur le marché ou pendant la période de soutien, la durée la plus longue étant retenue, tenir une copie de la déclaration de conformité UE à la disposition du service de surveillance du marché.
et veiller à ce que la documentation technique puisse être mise à la disposition de ces autorités, sur demande.
À la suite d'une demande motivée d'une autorité de surveillance du marché, les importateurs lui fournissent toutes les informations et tous les documents, sur papier ou sous forme électronique, nécessaires pour démontrer la conformité du produit contenant des éléments numériques aux exigences essentielles énoncées à l'annexe I, partie I, ainsi que la conformité des processus mis en place par le fabricant aux exigences essentielles énoncées à l'annexe I, partie II,
dans une langue facilement compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, sur toute mesure prise pour éliminer les risques de cybersécurité posés par un produit comportant des éléments numériques qu'ils ont mis sur le marché.
Lorsque l'importateur d'un produit contenant des éléments numériques apprend que le fabricant de ce produit a cessé ses activités et n'est donc pas en mesure de respecter les obligations prévues par le présent règlement, il en informe
les autorités de surveillance du marché concernées par cette situation, ainsi que, par tous les moyens disponibles et dans la mesure du possible, les utilisateurs des produits contenant des éléments numériques mis sur le marché.
1- CRA Conditions préalables à la distribution de dispositifs IoT
Tout d'abord, en remplissant ces conditions préalables, les distributeurs jouent un rôle crucial en garantissant la conformité à l'ARC, la sécurité et la cybersécurité des produits contenant des éléments numériques dans l'UE :
2- Documentation obligatoire
Selon l'ARC, la documentation obligatoire que les distributeurs doivent avoir pour les produits contenant des éléments numériques au sein de l'Union européenne (UE) comprend :
3- Exigences en matière de rapports de l'ARC
Enfin, les distributeurs ont plusieurs responsabilités concernant la conformité des produits et les risques de cybersécurité.
En effet, ils doivent s'abstenir de mettre sur le marché des produits non conformes et informer le fabricant et les autorités de tout risque en matière de cybersécurité. Si un produit ou ses processus ne répondent pas aux exigences essentielles, les distributeurs doivent veiller à ce que des mesures correctives soient prises. En outre, ils doivent informer rapidement le fabricant de toute vulnérabilité et notifier aux autorités les risques liés à la cybersécurité.
En outre, l'ARC demande aux distributeurs de fournir des informations et des documents démontrant la conformité des produits et de coopérer avec les autorités pour éliminer les risques liés à la cybersécurité. Si un fabricant cesse ses activités, les distributeurs doivent en informer les autorités et, si possible, les utilisateurs concernés.
Lorsqu'ils mettent à disposition sur le marché un produit contenant des éléments numériques, les distributeurs agissent avec la diligence requise en ce qui concerne les exigences énoncées dans le présent règlement.
Avant de mettre sur le marché un produit contenant des éléments numériques, les distributeurs doivent vérifier que
(a) le produit comportant des éléments numériques porte le marquage CE ;
(b) le fabricant et l'importateur ont respecté les obligations énoncées à l'article 13, paragraphes 15, 16, 18, 19 et 20, et à l'article 19, paragraphe 4, et ont fourni tous les documents nécessaires au distributeur.
Lorsqu'un distributeur considère ou a des raisons de croire, sur la base des informations en sa possession, qu'un produit comportant des éléments numériques ou que les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles énoncées à l'annexe I, le distributeur ne met pas le produit comportant des éléments numériques à disposition sur
le marché tant que ce produit ou les processus mis en place par le fabricant n'ont pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque important pour la cybersécurité, le distributeur doit
en informer, dans les meilleurs délais, le fabricant et les autorités de surveillance du marché.
Les distributeurs qui savent ou ont des raisons de croire, sur la base d'informations dans
qu'un produit contenant des éléments numériques, qu'ils ont mis à disposition sur le marché, ou que les processus mis en place par son fabricant ne sont pas conformes à la législation européenne.
Conformément au présent règlement, il s'assure que les mesures correctives nécessaires à la mise en conformité de ce produit avec les éléments numériques ou les processus mis en place par l'autorité compétente de l'État membre d'origine sont mis en œuvre.
Le cas échéant, des mesures sont prises pour remettre le produit en conformité avec son fabricant, ou pour le retirer ou le rappeler.
Dès qu'ils ont connaissance d'une vulnérabilité du produit contenant des éléments numériques, les distributeurs en informent le fabricant dans les meilleurs délais. En outre, lorsque le produit contenant des éléments numériques présente un risque significatif pour la cybersécurité, les distributeurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis le produit contenant des éléments numériques à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et sur toute mesure corrective prise.
Sur requête motivée d'une autorité de surveillance du marché, les distributeurs fournissent toutes les informations et tous les documents, sur support papier ou électronique, nécessaires pour démontrer la conformité du produit à éléments numériques et des processus mis en place par son fabricant avec le présent règlement, dans une langue aisément compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, sur toute mesure prise pour éliminer les risques de cybersécurité posés par un produit comportant des éléments numériques qu'ils ont mis à disposition sur le marché.
Lorsque le distributeur d'un produit contenant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et n'est donc pas en mesure de respecter les obligations prévues par le présent règlement, il en informe, sans retard injustifié, les autorités de surveillance du marché concernées, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits contenant des éléments numériques qui ont été mis sur le marché.
L'opérateur économique devient responsable du respect de la loi sur la cybersécurité lorsqu'il apporte des modifications significatives à un dispositif connecté. Ce tiers doit alors respecter les mêmes exigences que celles imposées aux fabricants.
Néanmoins, cette responsabilité ne s'applique pas aux correctifs de sécurité qui ne modifient pas la fonction prévue de l'appareil. En outre, les produits incorporant des éléments numériques développés ou modifiés exclusivement pour l'usage des administrations publiques sont également exemptés de cette responsabilité.
Une personne physique ou morale, autre que le fabricant, l'importateur ou le distributeur, qui effectue une modification substantielle du produit avec des éléments numériques et le met à disposition sur le marché, est considérée comme un fabricant aux fins du présent règlement.
Cette personne est soumise ▌ aux obligations énoncées aux articles 13 et 14 pour la partie du produit comportant des éléments numériques qui est affectée par la modification substantielle ou, si la modification substantielle a une incidence sur la cybersécurité de l'ensemble du produit comportant des éléments numériques, pour l'ensemble du produit.
Nouveautés et événements sur la cybersécurité
Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.