La loi, expliquée

Aimed at manufacturers, software developers, importers, distributors, and resellers, the Cyber Resilience Act sets out to ensure that products with digital components are secure throughout their lifecycle. 

La Cyber Resilience Act was signed into law on October 10, 2024, and entered into force on December 10, 2024. Most provisions will become applicable 36 months later, while reporting requirements will take effect 21 months after the entry into force.

La loi place la cyber-résilience au cœur de l'objet connecté

Pourquoi la loi sur la cyber-résilience est-elle importante ?

Les avantages pour les entreprises et les consommateurs

Harmonie

La loi sur la cyber- résilience va simplifier la vie des fabricants d'appareils connectés et logiciels en instaurant des règles de sécurité harmonisées pour toute l'Union européenne. Les fabricants n'auront plus qu'à se conformer à un seul ensemble d'exigences, celui de la loi sur la cyber-résilience, ce qui facilitera leurs démarches et réduira les coûts liés à la conformité.

Sécurité

La loi sur la cyber- résilience devrait contribuer à réduire de manière significative le risque de cyberattaques, protégeant ainsi les entreprises et les consommateurs contre un large éventail de menaces, telles que les violations de données, les pertes financières et les atteintes à la réputation.

L'économie

L'adoption de mesures de cybersécurité robustes permet de prévenir efficacement les violations de données, dont les coûts de gestion peuvent s'avérer considérables, atteignant parfois plusieurs millions d'euros.

FIABILITÉ

Le renforcement de la cybersécurité induit par la loi sur la cyber- résilience contribuera à accroître la confiance des consommateurs, stimulant ainsi la demande pour les produits connectés et logiciels informatiques.

PROFITABILITÉ

L'essor de la demande, stimulé par la confiance accrue des consommateurs, devrait générer une augmentation de la clientèle et des bénéfices pour les fabricants, les importateurs, les distributeurs et les revendeurs de produits connectés.

TRANSPARENCE

La loi sur la cyber-résilience renforcera la transparence en permettant aux consommateurs d'accéder aisément à des informations claires sur les données collectées par leurs objets connectés, favorisant ainsi des choix d'achat éclairés et une plus grande satisfaction client.

VIE PRIVÉE

La loi sur la cyber- résilience renforcera la protection des droits des consommateurs, tels que la protection des données et de la vie privée, en garantissant que les données collectées par les appareils connectés soient sécurisées et protégées contre de potentielles attaques.

The CRA in video

À qui s'applique la légsilationsur la cyber-résilience ?

The Cyber Resilience Act applies to economic operators such as manufacturers, software developers, distributors, importers and other economic actors (such as resellers) who supply digital products to the European market.

Il existe quelques exceptions importantes :

  • Les logiciels libres de droit ne sont pas concernés par la loi sur la cyber- résilience . However, open-source software from which its developers derive some sort of commercial activity are subject to the Act’s requirements. Examples of commercial activities include:
    Charging for the software itself or technical support beyond actual costs.
    Monetization through platforms or services linked to the software.
    Requiring personal data processing for purposes other than security, compatibility, or interoperability.
    Accepting donations exceeding development and provision costs

    ⚠️ According to Article 64(10)(b), even if the free and open-source software falls under the purview of the CRA (because of commercial activities) fines for non compliance DO NOT apply to them.

  • Commercial cloud solutions fall within the CRA’s purview only if they are necessary for a product with digital elements to perform its functions and are developed under the manufacturer’s responsibility. For instance, a mobile application requiring access to a manufacturer-developed service via an API or database would be considered a remote data processing solution under the CRA. In other words, if a software product is used to remotely process data generated by a hardware product distributed in the EU, it would fall under the CRA’s scope.
    ⚠️ As such, pure SaaS and PaaS do not fall under the purview of the CRA.

     

  • Products that are covered by the following EU legislations do not fall under the purview by the CRA: 
    ○ Regulation (EU) 2017/745 (medical devices)
    ○ Regulation (EU) 2017/746 (medical devices)
    ○ Regulation (EU) 2019/2144 (motor vehicles)
    ○ Regulation (EU) 2018/1139 (civil aviation) 
    ○ Directive 2014/90/EU (marine equipment)

  • This CRA does not apply to products  developed or modified exclusively for national security or defense purposes

Exigences et obligations

La loi sur la cyber-résilience établit une suite d'exigences et d'obligations spécifiques pour les fabricants, les importateurs, les distributeurs et les prestataires de services tiers qui distribuent des produits connectés et logiciels informatiques sur le marché européen. 

La première obligation impose aux fabricants et développeurs de logiciels de prendre en compte dès la conception et le développement de leurs produits, les aspects de cybersécurité. Cela implique l'intégration de considérations de cybersécurité tout au long du processus de développement.

Plus précisément, les fabricants doivent garantir la conformité de leurs produits aux exigences de sécurité définies dans les annexes de la loi sur la cyber- résilience , en particulier celles concernant la sécurité par conception et par défaut ("security by design and by default"), la gestion des risques, la gestion des incidents et la protection des données à caractère personnel (lié au RGPD). 

Les fabricants doivent mettre en œuvre des mécanismes de mise à jour de leurs produits afin de pallier aux vulnérabilités éventuelles. En outre, des informations claires et complètes sur les caractéristiques de cybersécurité des produits doivent être mises à la disposition des utilisateurs.

If a manufacturer becomes aware of a cybersecurity risk, they must take immediate action to address it, including notifying users and the CSIRTs. They must also cooperate with national authorities in investigating and resolving cybersecurity incidents related to their products.

Le non-respect de la loi sur la cyber-résilience peut entraîner des pénalités et des sanctions, telles qu'une amende de 15 millions d'euros ou de 2,5% du chiffre d'affaires annuel, le montant le plus élevé étant retenu.

⚠️ A 36-month transition period follows the entry into force of Cyber Resilience Act, however, reporting obligations concerning actively exploited vulnerabilities and severe incidents impacting the security of products with digital elements will apply from 21 months after the entry into force of the Act.

Nouveautés et événements sur la cybersécurité

Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.