L’importance de réglementer les produits numériques critiques
Les produits comportant des éléments numériques sont présents dans une grande variété de secteurs industriels, commerciaux et grand public. Leur utilisation est devenue tellement essentielle que certains produits dont la fonctionnalité de base entre dans les catégories définies à l’annexe IV du nouveau règlement européen seront soumis à des mesures de certification spécifiques pour garantir leur cybersécurité. Le règlement habilite la Commission européenne à adopter des actes délégués pour déterminer quels produits comportant des éléments numériques doivent obtenir un certificat européen de cybersécurité avec un niveau d’assurance au moins « substantiel ».
Cette certification est effectuée dans le cadre d’un système européen de certification en matière de cybersécurité adopté conformément au règlement (UE) 2019/881. Elle ne s’applique qu’aux produits dont la catégorie figure à l’annexe IV et qui disposent d’un schéma de certification en place et mis à la disposition des fabricants. L’objectif est de garantir la conformité aux exigences essentielles de cybersécurité définies à l’annexe I du nouveau règlement.
Analyse d’impact et consultation des parties prenantes
Avant de mettre en œuvre ces actes délégués, la Commission devrait procéder à une évaluation détaillée de l’impact potentiel sur le marché. Cette évaluation devrait inclure la consultation des principales parties prenantes, telles que le groupe européen de certification en matière de cybersécurité, également établi par le règlement (UE) 2019/881. La Commission examinera également le niveau de préparation et la capacité des États membres à mettre en œuvre efficacement le système de certification concerné.
Si ces actes délégués n’ont pas été adoptés, les produits concernés continueront à être soumis aux procédures d’évaluation de la conformité spécifiées à l’article 32, paragraphe 3, du règlement. Cette situation transitoire vise à éviter les lacunes et à garantir un minimum de contrôle pendant que des mesures de certification complètes sont en cours d’élaboration.
Périodes de transition pour l’adaptation du marché
Afin de faciliter l’adaptation du marché et des fabricants, les actes délégués prévoient une période transitoire d’au moins six mois, sauf si des raisons d’urgence justifient une mise en œuvre plus immédiate. Cela permet aux fabricants d’adapter leurs processus et leurs produits aux nouvelles exigences sans créer de perturbations brutales dans la chaîne d’approvisionnement ou sur le marché.
Modification de l’annexe IV et des critères de sélection
La Commission peut également adopter des actes délégués pour modifier l’annexe IV en ajoutant ou en supprimant des catégories de produits critiques contenant des éléments numériques. Cette décision se fonde sur les critères énoncés à l’article 7, paragraphe 2, du règlement et sur une évaluation similaire à celle mentionnée ci-dessus.
Critères pour considérer un produit numérique comme critique
Pour déterminer si une catégorie de produits doit être considérée comme critique et faire l’objet d’une certification, il convient d’appliquer au moins l’un des critères suivants :
Dépendance critique à l’égard d’entités essentielles
Si des entités considérées comme essentielles en vertu de la directive (UE) 2022/2555 dépendent de manière critique de cette catégorie de produits numériques, la Commission peut les inclure dans l’annexe IV.
Impact sur la chaîne d’approvisionnement
Si des incidents ou des vulnérabilités affectant cette catégorie peuvent entraîner de graves perturbations dans les chaînes d’approvisionnement critiques, elle sera également considérée comme critique et soumise à des exigences de certification.
Conclusion
La réglementation européenne s’oriente vers une plus grande sécurité numérique en classant et en certifiant les produits critiques comportant des éléments numériques. La Commission disposera d’outils réglementaires pour définir quels produits doivent être évalués dans le cadre d’un système de certification européen et avec quel niveau d’assurance. Ces mesures visent à protéger les infrastructures critiques, à renforcer la sécurité du marché intérieur et à garantir que les produits numériques répondent aux normes de cybersécurité les plus élevées.