La mise en œuvre du Cyber Security Act (CSA) et du Cyber Resilience Act (CRA) prend forme
- Jean-Pierre Hauet
- 22 avr.
- 5 min de lecture
Au niveau européen, la cybersécurité des produits comportant des éléments numériques mis sur le marché repose à présent sur deux textes essentiels :
le règlement 2018/881 du 17 avril 2019, relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, règlement usuellement appelé CSA ou Cyber Security Act ;
le règlement 2024/2847 du 23 octobre 2024, concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques, règlement usuellement appelé CRA ou Cyber Resilience Act.
Ces deux textes se complètent mais sont souvent confondus. Nous renvoyons le lecteur à l’exposé qui en a été fait lors du webinaire Automation Hub du 30 janvier 2025. Nous en rappelons ci-après les principes essentiels.
Le Cyber Security Act (CSA)
De façon résumé, disons que le CSA fixe un cadre pour la mise en place de schémas européens de certification de cybersécurité pour les produits, services ou processus relevant des technologies de l’information et de la communication. Il définit trois niveaux d’assurance : « élémentaire », « substantiel » ou « élevé ». Les niveaux « substantiel » et « élevé » requièrent la délivrance d’un certificat de conformité délivrés dans le cadre d’un schéma européen de certification de cybersécurité. Le niveau « élémentaire » peut faire l’objet d’une déclaration de conformité basée sur une autoévaluation si le schéma européen de certification applicable le prévoit.
Dans tous les cas, la déclaration de conformité ou le certificat de cybersécurité atteste que les exigences imposées par le schéma européen de certification de cybersécurité applicable sont respectées.
Le Cyber Resilience Act (CRA)
Le CRA fixe des règles relatives à la mise à disposition sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits. Ces exigences, au respect desquelles les opérateurs économiques concernés doivent veiller, sont de deux natures :
les exigences essentielles de cybersécurité relatives à la conception, au développement et à la production de produits comportant des éléments numériques ;
les exigences essentielles de cybersécurité relatives aux processus de gestion des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits comportant des éléments numériques durant la période d’utilisation prévue du produit.
Ces exigences doivent être satisfaites à compter du 11 décembre 2027 et donner lieu à l’apposition sur le produit du marquage CE.
La notion de produit comportant des éléments numériques est très vaste et le CRA s’applique à des produits très divers, rentrant dans la vie de tous les jours, dès lors qu’ils possèdent des capacités de connectivité. La plupart de ces produits seront considérés comme standard et relèveront de la simple auto-déclaration de conformité après contrôle interne. Le règlement définit cependant deux catégories de produits : les produits « importants » et les produits « essentiels », pour lesquels la conformité aux exigences essentielles nécessite une évaluation par un tiers. Les produits « importants » sont en outre divisés en deux classes : la classe I et la classe II, selon les listes données en annexe III au règlement.
La déclaration de conformité, préalable à l’apposition du marquage CE, peut résulter de diverses procédures d’évaluation qui sont résumées par la figure 1.
Figure 1 : Classes de produits identifiés dans le CRA et procédures de nature à permettre de conclure à la conformité.
Outre le contrôle interne applicable aux seuls produits standards, les deux routes privilégiées sont :
l’obtention d’un certificat de cybersécurité dans le cadre du CSA, ce qui suppose qu’il existe un schéma européen de certification de cybersécurité applicable au produit considéré ;
la conformité à des normes européennes harmonisées, élaborées en aval du CRA.
Cette dernière procédure est la procédure normale en matière de marquage CE mais elle suppose que des normes harmonisées existent, ce qui est le cas dans de très nombreux domaines mais pas, pour l’instant, dans celui de la cybersécurité des produits du contrôle industriel. La norme IEC 62443-4-2 offre un cadre général pertinent mais à certains égards trop exigeant et à d’autres pas suffisamment axés sur des produits spécifiques aux applications industrielles.
Lorsque le processus de normalisation n’est pas achevé, l’Europe peut, à titre transitoire, adopter des actes d’exécution qui établissent des spécifications communes imposant les exigences techniques à respecter, en offrant ainsi un moyen de se conformer aux exigences essentielles de cybersécurité.
La tâche à accomplir d’ici à 2027 est considérable, surtout lorsqu’on tient compte du délai qui doit être laissé aux industriels pour se préparer à l’obligation de conformité.
27 février 2025 : entrée en vigueur du premier schéma européen de certification de cybersécurité basé sur les critères communs
La date du 27 février 2025 est importante : elle marque en effet l’entrée en application du règlement d’exécution 2024/482 concernant l’adoption du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC).
Ce règlement précise les rôles, les règles et les obligations, ainsi que la structure du schéma européen de certification de cybersécurité (EUCC) fondé sur des critères communs, conformément au cadre européen de certification de cybersécurité défini dans le CSA. Il repose sur les « critères communs » qui sont un ensemble de normes internationales pour l’évaluation de la sécurité de l’information, publiées, par exemple, sous la référence ISO/IEC 15408 « Sécurité de l’information, cybersécurité et protection de la vie privée — Critères d’évaluation pour la sécurité des technologies de l’information ».
La publication du règlement 2024/482 ouvre une première voie permettant à ceux des produits concernés par les critères communs et que l’on retrouve dans l’annexe III du CRA (notamment les microprocesseurs ou les circuits intégrés spécifiques dotés de fonctionnalités liées à la cybersécurité) de bénéficier de la présomption de conformité au titre du CRA en tant que produits « importants » s’ils respectent le profil correspondant dans les critères communs.
En aval du CRA : les projets STAN4CR et STAN4CR2
En aval du CRA et conformément au règlement 1025/2012 relatif à la normalisation européenne, la Commission européenne a demandé aux organismes européens de normalisation, le CEN, le CENELEC et l’ETSI d’élaborer des normes harmonisées relatives aux exigences essentielles de cybersécurité énoncées à l’annexe I du CRA.
Le CEN et le CENELEC ont lancé un premier projet , le STAN4CR, en fin d’année 2024 visant :
d’une part à définir les standards horizontaux qui seront nécessaires à l’application du CRA : ce travail a été confié au WG-9 du joint committee CEN-CENELEC 13 ;
d’autre part à développer les standards verticaux nécessaires et, en premier lieu, ceux relatifs aux hyperviseurs, aux pare-feu et aux systèmes d’intrusion et de détection.
Ce premier projet STAN4R a été suivi d’un deuxième projet de15 mois, le STAN4CR2 pour lequel l’appel à experts a été clos le 11 avril 2025. Ce deuxième projet vise à compléter les travaux relatifs aux standards verticaux, notamment sur les SIEM, les VPN, les routeurs, les modems, les switches…
La coordination avec l’IEC 62443-4-2 encore incertaine
A ce jour, le rôle que jouera l’IEC 62443-4-2 dans l’élaboration des normes harmonisées applicables aux produits de contrôle industriel dans le cadre du CRA, n’est pas totalement clarifiée.
L’appel à compétences lancé dans le cadre du projet STAN4CR2 résume la situation comme suit :
“For the contributions related to industrial processes, the CLC/TC 65X ‘Industrial-process measurement, control and automation’ will draw on specialized knowledge to support the development of standards for industrial processes. CLC/TC 65X will continue to advance the "Security for Industrial Automation and Control Systems" standards in parallel with the IEC, with the goal of aligning these standards with the Cyber Resilience Act (CRA) and addressing any existing gaps. Through these efforts, CLC/TC 65X promotes consistent, cross-sector security standards, contributing to a more resilient and interoperable industrial ecosystem”.
Il semble que la volonté de la Commission et des organismes de normalisation européenne soit de rechercher un rapprochement avec la norme internationale IEC 62443 mais sans exclure des aménagements et des compléments que pourra nécessiter le CRA.
Renforcez et partager vos compétences. Adhérez à l’Automation Hub
Jean-Pierre HAUET
Président d’Automation Hub
Comments