La Commission européenne soumet à commentaires jusqu’au 15 avril le projet de Règlement d’exécution définissant la liste des produits importants et essentiels énumérés dans le règlement Cyber Résilience Act (CRA).
Cette description technique permet aux entreprises de se préparer, d’analyser et évaluer leurs produits pour savoir à quelle catégorie ils appartiennent ou s’ils ne sont pas soumis au CRA.
L’annexe fournit une proposition de liste qui permet de définir les produits concernés. Par exemple, les interfaces physiques ou virtuelles permettant la communication entre appareil via IP, inclut les pilotes nécessaires (Wifi, Ethernet, Bluetooth…). Les assistants vocaux domestiques permettant l’interaction en langage naturel sont dans les produits importants.
Les objets portables mesurant des données de santé ou destinés aux enfants sont intégrés.
La liste n’est pas exhaustive. Les exemples sont fournis à titre indicatif. Le projet de Règlement d’exécution indique “un produit peut avoir des fonctions additionnelles à celles décrites dans les annexes, sans pour autant signifier qu’il sort du champ d’une catégorie fixés dans les annexes“.
La liste n’est pas exhaustive. Les exemples sont fournis à titre indicatif. Le projet de Règlement d’exécution indique “un produit peut avoir des fonctions additionnelles à celles décrites dans les annexes, sans pour autant signifier qu’il sort du champ d’une catégorie fixés dans les annexes“.
Par ailleurs, comme l’indique l’entreprise US, Digicert, le projet ne donne pas de “définition suffisamment précise pour savoir si les plateformes SaaS commerciales qui assurent uniquement la gestion des appareils (par exemple, délivrer des certificats numériques, capter des informations jumelées sur l’appareil, surveiller les performances et les activités de l’appareil en cas de vulnérabilité, effectuer des mises à jour” sont-elles concernées ?
Ce projet d’acte est ouvert aux avis. Ils seront publiés sur le site de la Commission.
