DÉVELOPPEURS DE LOGICIELS

The Cyber Resilience Act’s main focus in on companies developing and commercializing non-embedded software.

On the other hand, free and open-source software, as well as pure SaaS software is not targeted by the CRA, unless, for the latter, it is used to remote process the data generated by a hardware product retailed in the European market.

Further, software already targeted by other EU legislations (such as medical and civil aviation software) do not need to also comply with the act for (and only for) requirements already covered by other legislation.

Pour les éditeurs de logiciels visés par la loi, celle-ci vise à renforcer leur dispositif de sécurité et à remédier aux vulnérabilités, en veillant à ce que les applications logicielles soient mieux équipées pour résister aux cybermenaces.

Suivez notre guide complet pour en savoir plus !

Liens rapides

Prérequis
la documentation
Notifications

Prérequis

Software developers must ensure cybersecurity compliance by:

  1. Risk-Based Design: Implement state-of-the-art security measures and best practices throughout development to address identified risks.
  2. Secure Configuration: Deliver products with secure default settings, allowing users to reset to a secure state if needed.
  3. Exploitation Mitigation: Eliminate known vulnerabilities and limit attack surfaces to reduce incident impact.
  4. Timely Security Updates: Address vulnerabilities through automatic or user-notified updates, with opt-out options.
  5. Access Control: Prevent unauthorized access via authentication and identity management systems, and report breaches.
  6. Data Minimization and Security: Process only necessary data, safeguarding confidentiality with encryption and secure mechanisms.
  7. Integrity and Monitoring: Protect data integrity, monitor internal activities, and enable user opt-outs for monitoring.
  8. Availability and Resilience: Ensure essential functions remain operational after incidents, mitigating risks like denial-of-service attacks.
  9. Data Removal and Portability: Provide secure options for data deletion and transfer between products or systems.

 

These measures enhance security throughout the product lifecycle and supply chain.

Base juridique

(1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks.

(2) Sur la base de l'évaluation du risque de cybersécurité visée à l'article 13, paragraphe 2, et le cas échéant, les produits comportant des éléments numériques doivent :

(a) être mis à disposition sur le marché sans vulnérabilité exploitable connue ;

(b) être mis à disposition sur le marché avec une configuration sécurisée par défaut, sauf accord contraire entre le fabricant et l'utilisateur professionnel en ce qui concerne un produit sur mesure comportant des éléments numériques, y compris la possibilité de réinitialiser le produit à son état d'origine ;

(c) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic security updates that are installed within an appropriate timeframe enabled as a default setting, with a clear and easy-to-use optout mechanism, through the notification of available updates to users, and the option to temporarily postpone them;

(d) assurer la protection contre l'accès non autorisé par des mécanismes de contrôle appropriés, y compris, mais sans s'y limiter, des systèmes d'authentification, de gestion de l'identité ou de l'accès, et signaler tout accès non autorisé éventuel ;

(e) protéger la confidentialité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, notamment en cryptant les données pertinentes au repos ou en transit au moyen de mécanismes conformes à l'état de l'art, et en utilisant d'autres moyens techniques ;

(f) protéger l'intégrité des données stockées, transmises ou traitées d'une autre manière, qu'elles soient personnelles ou autres, des commandes, des programmes et de la configuration contre toute manipulation ou modification non autorisée par l'utilisateur, et signaler les altérations ;

(g) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended purpose of the product with digital elements (data minimisation);

(h) protect the availability of essential and basic functions, also after an incident, including through resilience and mitigation measures against denial-of-service attacks;

(i) minimiser l'impact négatif des produits eux-mêmes ou des dispositifs connectés sur la disponibilité des services fournis par d'autres dispositifs ou réseaux ;

(j) être conçus, développés et produits de manière à limiter les surfaces d'attaque, y compris les interfaces externes ;

(k) être conçus, développés et produits de manière à réduire l'impact d'un incident à l'aide de mécanismes et de techniques appropriés d'atténuation de l'exploitation ;

(l) fournir des informations relatives à la sécurité en enregistrant et en surveillant les activités internes pertinentes, y compris l'accès aux données, services ou fonctions ou leur modification, avec un mécanisme d'exclusion pour l'utilisateur ;

(m) donner aux utilisateurs la possibilité de supprimer de façon permanente, sûre et facile, toutes les données et tous les paramètres et, lorsque ces données peuvent être transférées à d'autres produits ou systèmes, veiller à ce que cela se fasse de façon sûre.

Documentation

Les développeurs de logiciels sont tenus de conserver certains documents obligatoires conformément à la loi sur la cyber-résilience. Cette documentation comprend

  • La nomenclature du logiciel, si elle est accessible, doit être fournie avec le produit.
  • La déclaration de conformité de l'UE doit être accessible aux utilisateurs et contenir des informations pertinentes concernant la conformité du produit avec l'ARC. Elle doit contenir des informations telles que l'adresse internet à laquelle la déclaration peut être consultée et le type d'assistance technique en matière de sécurité offert par le fabricant.

Base juridique

(1) identifier et documenter les vulnérabilités et les composants contenus dans les produits
avec des éléments numériques, y compris en établissant une nomenclature logicielle dans un logiciel de gestion de l'information.
format communément utilisé et lisible par machine, couvrant au moins les éléments suivants
les dépendances de premier niveau des produits ;

La déclaration de conformité UE visée à l'article 28 contient toutes les informations suivantes :

1. Nom et type et toute information supplémentaire permettant l'identification unique du produit à l'aide d'éléments numériques ;

2. Nom et adresse du fabricant ou de son mandataire ;

3. Une déclaration indiquant que la déclaration de conformité UE est délivrée sous la seule responsabilité du fournisseur ;

4. Objet de la déclaration (identification du produit avec des éléments numériques permettant la traçabilité, pouvant inclure une photographie, le cas échéant) ;

5. Une déclaration selon laquelle l'objet de la déclaration décrite ci-dessus est conforme à la législation d'harmonisation pertinente de l'Union ;

6. Références à toute norme harmonisée pertinente utilisée ou à toute autre spécification commune ou certification en matière de cybersécurité par rapport à laquelle la conformité est déclarée ;

7. Le cas échéant, le nom et le numéro de l'organisme notifié, une description de la procédure d'évaluation de la conformité effectuée et l'identification du certificat délivré ;

8. Informations complémentaires : Signé au nom et pour le compte de : .......................................

(lieu et date de délivrance) :

(nom, fonction)

(signature) :

Notifications

En vertu de la loi sur la cyber-résilience, les développeurs de logiciels sont soumis à certaines obligations de déclaration. Ces obligations sont les suivantes :

  • coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes en fournissant les informations nécessaires, en coopérant aux enquêtes et en veillant au respect des exigences réglementaires
  • Fournir aux autorités de surveillance du marché, sur demande, le nom et l'adresse de tout opérateur économique auquel ils ont fourni un produit contenant des éléments numériques.
  • Retain the information referred to in the previous point for a period of ten years after being supplied with the product and for ten years after supplying the product with digital elements.

 

Although the CRA has been adopted in October 2024, there will be a transitional period until 2027 before the reporting requirements become mandatory and subject to penalties for non-compliance.

Base juridique

1. Internal control is the conformity assessment procedure whereby the manufacturer fulfils the obligations set out in points 2, 3 and 4 of this Part, and ensures and declares on its sole responsibility that the products with digital elements satisfy all the essential cybersecurity requirements set out in Part I of Annex I and the manufacturer meets the essential cybersecurity requirements set out in Part II of Annex I.

European flag

Nouveautés et événements sur la cybersécurité

Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.

Accéder au calendrier des événements