L’Agence de l’Union européenne pour la cybersécurité (ENISA) a récemment publié un rapport proposant une méthode et des éléments techniques pour la mise en œuvre du Cyber resilience act (CRA). Le document vise à aider les entreprises et les organisations à se conformer aux exigences de sécurité des produits et services numériques.
Entré en vigueur le 10 décembre 2024, le CRA vise à répondre aux risques croissants en imposant des exigences essentielles garantissant que les produits sont conçus, développés et maintenus avec la cybersécurité comme priorité.
Le document explique les exigences essentielles de cybersécurité et les obligations d’évaluation de la conformité via une certification.
Les exigences essentielles
Pour rappel, le CRA s’applique à tous les produits comportant des éléments numériques. Le texte les classe par niveau de risque, y compris les produits « importants » et « critiques » qui sont soumis à des obligations de cybersécurité plus strictes.
La réglementation propose plusieurs possibilités pour démontrer le respect des exigences essentielles notamment des systèmes européens de certification de cybersécurité, tels que les critères communs de EUCC de l’UE, ainsi que des normes harmonisées et des procédures d’évaluation de la conformité reconnues.
Le CRA établit une “présomption de conformité” pour les produits qui ont été certifiés dans le cadre d’un système européen de certification de cybersécurité reconnu, tel que l’EUCC sous réserve que la certification réponde au moins à un niveau d’assurance « substantiel », comme spécifié à l’article 27 de la CRA.
Néanmoins l’obtention d’une certification EUCC n’est pas obligatoire pour obtenir la conformité au CRA, même pour les produits classés comme importants ou critiques.
Il s’agit d’une possibilité à la disposition des entreprises. Le rapport est à télécharger ici.
