Pilz informe et fournit des conseils pour la mise en œuvre – obligation légale : comment les entreprises peuvent se préparer dès maintenant au Cyber Resilience Act

Le Cyber Resilience Act (CRA) a été récemment publié au Journal officiel de l’UE. Le règlement contient des prescriptions relatives à la cybersécurité des produits contenant des éléments numériques. Les entreprises concernées disposent désormais de 36 mois pour mettre en œuvre les exigences contenues dans le CRA. Certaines obligations de déclaration doivent déjà être remplies dans les 21 prochains mois. Qui est précisément concerné par cette obligation ? Et quelles sont les exigences du CRA ?

Acte législatif européen sur la cyberrésilience : l’objectif du CRA est de mieux protéger les consommateurs et les entreprises contre les cyberattaques. Le CRA comprend à cet effet un grand nombre de prescriptions pour les fabricants, importateurs et distributeurs de produits comportant des éléments numériques capables de communiquer avec d’autres produits. Cela inclut les produits matériels et logiciels. Sont donc concernés les produits du secteur B2C, tels que les smartphones ou les robots-aspirateurs, ainsi que ceux du secteur B2B, tels que les systèmes de commande et les capteurs, mais aussi les produits purement logiciels tels que les systèmes d’exploitation. Le CRA a été publié au Journal officiel de l’Union européenne le 20.11.2024. En tant que règlement, cette législation est directement applicable dans les États membres de l’UE.

Les principales exigences pour les fabricants de machines

• Évaluation et garantie des risques : les fabricants doivent concevoir et développer des produits de manière à garantir un niveau de cybersécurité adéquat tout au long du cycle de vie des produits.
• Gestion des vulnérabilités : les vulnérabilités connues doivent être corrigées par le fabricant au moyen de mises à jour de sécurité gratuites, sauf accord contraire entre le fabricant et l’utilisateur professionnel.
• Documentation : les fabricants doivent identifier et documenter les vulnérabilités et les composants de leurs produits.
• Obligations de signalement : dans les 24 heures suivant sa découverte, le fabricant doit déclarer une vulnérabilité exploitée via la plateforme de notification de l’ENISA (European Union Agency for Cybersecurity).

Ce que les fabricants de machines peuvent faire maintenant

En tant qu’expert en automatismes de sécurité, Pilz recommande à tous les fabricants de machines de se préoccuper rapidement des exigences du CRA et de développer des concepts de travail en partenariat avec les fabricants de composants et les exploitants. Dans quelle zone du réseau une machine doit-elle fonctionner ? Comment les mises à jour logicielles doivent-elles être gérées ? Si de telles questions sont clarifiées au préalable, chaque acteur économique peut se conformer à ses nouvelles obligations organisationnelles et techniques. Depuis des décennies, Pilz assiste les constructeurs de machines et les utilisateurs dans le domaine de la sécurité de leurs machines et installations – y compris en ce qui concerne les nouvelles exigences sur le thème de la cybersécurité industrielle. En effet, sans cybersécurité, une machine, y compris les mesures de sécurité prises, est vulnérable et non protégée. Il faut donc prendre des mesures préventives.

2 conseils pratiques pour la mise en œuvre des prescriptions du CRA

1. Se tenir informé en permanence : les abonnements aux newsletters et aux RSS-Feeds sur eur-lex.europa.eu permettent d’être informé sur les changements législatifs au niveau de l’UE.
2. Le Common Security Advisory Framework (CSAF) est un cadre standardisé et ouvert à la source pour la communication et la distribution automatisée d’informations sur les vulnérabilités et l’atténuation pouvant être traitées par des machines, appelées Security Advisories (avis sur la cybersécurité).

• Vous trouverez de plus amples informations sur le thème de la cybersécurité industrielle en cliquant ici