DÉVELOPPEURS DE LOGICIELS

The Cyber Resilience Act’s main focus in on companies developing and commercializing non-embedded software.

On the other hand, free and open-source software, as well as pure SaaS software is not targeted by the CRA, unless, for the latter, it is used to remote process the data generated by a hardware product retailed in the European market.

Further, software already targeted by other EU legislations (such as medical and civil aviation software) do not need to also comply with the act for (and only for) requirements already covered by other legislation.

Pour les éditeurs de logiciels visés par la loi, celle-ci vise à renforcer leur dispositif de sécurité et à remédier aux vulnérabilités, en veillant à ce que les applications logicielles soient mieux équipées pour résister aux cybermenaces.

Suivez notre guide complet pour en savoir plus !

Liens rapides

Prérequis
la documentation
Notifications

Prérequis

Les développeurs de logiciels sont tenus de garantir un niveau approprié de cybersécurité et de se conformer à la loi sur la cyber-résilience. Ces conditions préalables sont les suivantes :

  • Les logiciels doivent être développés de manière à garantir un niveau de cybersécurité en mettant en œuvre des mesures de sécurité et des bonnes pratiques tout au long du cycle de développement des logiciels.
  • Les produits doivent être livrés avec une configuration sécurisée par défaut et les utilisateurs doivent pouvoir réinitialiser le produit à son état sécurisé d'origine si nécessaire.
  • Les logiciels doivent intégrer des mécanismes de contrôle pour empêcher tout accès non autorisé.
  • Le logiciel ne doit traiter que les données nécessaires et pertinentes pour l'utilisation prévue du produit.
  • Les logiciels doivent être conçus pour protéger la disponibilité des fonctions essentielles et pour minimiser tout impact négatif sur la disponibilité des services fournis par d'autres dispositifs ou réseaux.
  • Les vulnérabilités doivent être corrigées par des mises à jour de sécurité. Les utilisateurs doivent être informés des mises à jour disponibles afin de garantir la sécurité continue du produit logiciel.

Base juridique

(1) Les produits comportant des éléments numériques sont conçus, développés et produits de manière à garantir un niveau approprié de cybersécurité en fonction des risques ;

(2) Sur la base de l'évaluation du risque de cybersécurité visée à l'article 13, paragraphe 2, et le cas échéant, les produits comportant des éléments numériques doivent :

(a) être mis à disposition sur le marché sans vulnérabilité exploitable connue ;

(b) être mis à disposition sur le marché avec une configuration sécurisée par défaut, sauf accord contraire entre le fabricant et l'utilisateur professionnel en ce qui concerne un produit sur mesure comportant des éléments numériques, y compris la possibilité de réinitialiser le produit à son état d'origine ;

(c) veiller à ce que les vulnérabilités puissent être corrigées par des mises à jour de sécurité, y compris, le cas échéant, par des mises à jour de sécurité automatiques installées dans un délai approprié, activées par défaut, avec un mécanisme d'exclusion clair et facile à utiliser, par la notification des mises à jour disponibles aux utilisateurs et par la possibilité de les reporter temporairement ;

(d) assurer la protection contre l'accès non autorisé par des mécanismes de contrôle appropriés, y compris, mais sans s'y limiter, des systèmes d'authentification, de gestion de l'identité ou de l'accès, et signaler tout accès non autorisé éventuel ;

(e) protéger la confidentialité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, notamment en cryptant les données pertinentes au repos ou en transit au moyen de mécanismes conformes à l'état de l'art, et en utilisant d'autres moyens techniques ;

(f) protéger l'intégrité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l'utilisateur, et signaler les altérations ;

(g) traiter uniquement des données, personnelles ou autres, qui sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du produit contenant des éléments numériques (minimisation des données) ;

(h) protéger la disponibilité des fonctions essentielles et de base, y compris après un incident, notamment par des mesures de résilience ▌ et d'atténuation des attaques par déni de service ;

(i) minimiser l'impact négatif des produits eux-mêmes ou des dispositifs connectés sur la disponibilité des services fournis par d'autres dispositifs ou réseaux ;

(j) être conçus, développés et produits de manière à limiter les surfaces d'attaque, y compris les interfaces externes ;

(k) être conçus, développés et produits de manière à réduire l'impact d'un incident à l'aide de mécanismes et de techniques appropriés d'atténuation de l'exploitation ;

(l) fournir des informations relatives à la sécurité en enregistrant et en surveillant les activités internes pertinentes, y compris l'accès aux données, services ou fonctions ou leur modification, avec un mécanisme d'exclusion pour l'utilisateur ;

(m) donner aux utilisateurs la possibilité de supprimer de façon permanente, sûre et facile, toutes les données et tous les paramètres et, lorsque ces données peuvent être transférées à d'autres produits ou systèmes, veiller à ce que cela se fasse de façon sûre.

Documentation

Les développeurs de logiciels sont tenus de conserver certains documents obligatoires conformément à la loi sur la cyber-résilience. Cette documentation comprend

  • La nomenclature du logiciel, si elle est accessible, doit être fournie avec le produit.
  • La déclaration de conformité de l'UE doit être accessible aux utilisateurs et contenir des informations pertinentes concernant la conformité du produit avec l'ARC. Elle doit contenir des informations telles que l'adresse internet à laquelle la déclaration peut être consultée et le type d'assistance technique en matière de sécurité offert par le fabricant.

Base juridique

(1) identifier et documenter les vulnérabilités et les composants contenus dans les produits
avec des éléments numériques, y compris en établissant une nomenclature logicielle dans un logiciel de gestion de l'information.
format communément utilisé et lisible par machine, couvrant au moins les éléments suivants
les dépendances de premier niveau des produits ;

La déclaration de conformité UE visée à l'article 28 contient toutes les informations suivantes :

1. Nom et type et toute information supplémentaire permettant l'identification unique du produit à l'aide d'éléments numériques ;

2. Nom et adresse du fabricant ou de son mandataire ;

3. Une déclaration indiquant que la déclaration de conformité UE est délivrée sous la seule responsabilité du fournisseur ;

4. Objet de la déclaration (identification du produit avec des éléments numériques permettant la traçabilité, pouvant inclure une photographie, le cas échéant) ;

5. Une déclaration selon laquelle l'objet de la déclaration décrite ci-dessus est conforme à la législation d'harmonisation pertinente de l'Union ;

6. Références à toute norme harmonisée pertinente utilisée ou à toute autre spécification commune ou certification en matière de cybersécurité par rapport à laquelle la conformité est déclarée ;

7. Le cas échéant, le nom et le numéro de l'organisme notifié, une description de la procédure d'évaluation de la conformité effectuée et l'identification du certificat délivré ;

8. Informations complémentaires : Signé au nom et pour le compte de : .......................................

(lieu et date de délivrance) :

(nom, fonction)

(signature) :

Notifications

En vertu de la loi sur la cyber-résilience, les développeurs de logiciels sont soumis à certaines obligations de déclaration. Ces obligations sont les suivantes :

  • coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes en fournissant les informations nécessaires, en coopérant aux enquêtes et en veillant au respect des exigences réglementaires
  • Fournir aux autorités de surveillance du marché, sur demande, le nom et l'adresse de tout opérateur économique auquel ils ont fourni un produit contenant des éléments numériques.
  • Conserver les informations visées au point précédent pendant une période de dix ans après la fourniture du produit et pendant dix ans après la fourniture du produit avec des éléments numériques.

Base juridique

1. Le contrôle interne est la procédure d'évaluation de la conformité par laquelle le fabricant remplit les obligations définies aux points 2, 3 et 4, et assure et déclare sous sa seule responsabilité que les produits comportant des éléments numériques satisfont à toutes les exigences essentielles définies à l'annexe I, partie I, et que le fabricant satisfait aux exigences essentielles définies à l'annexe I, partie II.

European flag

Nouveautés et événements sur la cybersécurité

Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.

Accéder au calendrier des événements