Les organisations opérant dans l'UE ou vendant sur le marché européen doivent désormais respecter des obligations rigoureuses en matière de cybersécurité, y compris la surveillance après la mise sur le marché et le contrôle de la conformité par des tiers.
Principaux points de la loi sur la cyber-résilience de l'UE
Définitions
Produit avec éléments numériques (PDE) : Tout produit matériel ou logiciel capable de traiter des données directement ou indirectement.
Fabricant : L'entité responsable de la conception ou de la production des EDP, même si la production est externalisée.
Produits critiques (classe I) et non critiques (classe II) : Les EDP sont classés dans l'annexe III en raison de leur importance pour les services essentiels ou la sécurité.
Classe I: comprend les systèmes d'exploitation, les routeurs, les réseaux privés virtuels, les gestionnaires de mots de passe.
Classe II : comprend les pare-feu, les hyperviseurs et les puces inviolables.
Champ d'application et applicabilité
L'ARC s'applique à tous les PDE mis sur le marché de l'UE, quelle que soit leur origine. Elle englobe
- Fabricants (y compris les développeurs de logiciels), importateurs et distributeurs
- les entreprises qui utilisent des produits TIC de tiers et qui doivent s'assurer de la conformité du fournisseur
- Exclut les logiciels libres développés en dehors des activités commerciales
Principes et obligations
Sécurisation par conception et par défaut : Les EDP doivent être conçus de manière à minimiser les vulnérabilités dès le départ.
Cybersécurité du cycle de vie : Les organisations doivent prendre en compte les risques depuis le développement jusqu'à la fin de vie, y compris les mises à jour et les correctifs.
Signalement des vulnérabilités : Les organisations doivent signaler à l'ENISA les vulnérabilités exploitées et les incidents de sécurité graves dans un délai de 24 à 72 heures.
Obligations de transparence : Les fabricants doivent fournir des instructions claires pour une utilisation sécurisée et divulguer les vulnérabilités connues aux utilisateurs.
Exécution et sanctions
La conformité des agences de notation sera assurée par les autorités nationales de surveillance du marché dans l'ensemble de l'UE. Le non-respect de cette obligation a des conséquences importantes, notamment
- Amendes pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Retrait potentiel des produits non conformes du marché de l'UE.
Parmi les exemptions, les microentreprises et les petites entreprises ne se voient pas infliger d'amende en cas de notification tardive des vulnérabilités et les gestionnaires de logiciels libres ne sont pas soumis à des sanctions financières.
Dates clés de l'application de la loi :
- Juin 2026 : début des obligations de notification des incidents graves et des vulnérabilités exploitées.
- Décembre 2027 : date limite pour la mise en conformité totale et l'application de la législation.
Comment l'ARC se compare-t-elle aux autres règlements de l'UE ?
La loi européenne sur la cyber-résilience (CRA) complète d'autres cadres réglementaires tels que NIS2, GDPR et la loi européenne sur l'IA en abordant la cybersécurité au niveau des produits. En revanche, les autres cadres réglementaires se concentrent sur la sécurité opérationnelle (NIS2), la protection des données personnelles (GDPR) et la gestion des risques spécifiques à l'IA (EU AI Act).
Bien qu'il existe des chevauchements, notamment en ce qui concerne la notification des incidents, l'ARC aborde la cybersécurité au niveau des produits de manièreunique, en comblant les lacunes réglementaires et en travaillant en tandem avec les lois sectorielles.
L'ARC introduit à la fois des obligations de conformité et des défis en matière d'accès au marché. Elle souligne l'importance de la transparence de la chaîne d'approvisionnement, d'une gestion solide de la vulnérabilité et de la sécurité tout au long du cycle de vie du produit.
Alors, comment votre organisation peut-elle prendre de l'avance sur les fonctions essentielles de l'entreprise les plus touchées par l'ARC ? Commencez par suivre ces sept conseils pratiques.
7 étapes clés pour se préparer à la mise en conformité avec la loi européenne sur la cyber-résilience
Se préparer à la loi européenne sur la cyber-résilience ne doit pas être une tâche insurmontable. En suivant ces sept étapes pratiques, votre organisation peut prendre des mesures proactives et structurées en vue d'une conformité totale.
1. Passez en revue votre portefeuille de produits
Commencez par identifier les produits qui entrent dans la catégorie des produits contenant des éléments numériques (PDE). Une fois que vous aurez dressé une liste claire, déterminez si l'un d'entre eux est considéré comme un "produit critique" au sens de l'ARC. Ces produits nécessiteront des contrôles plus stricts et des obligations supplémentaires, il est donc essentiel de les repérer rapidement.
2. Adopter des pratiques de développement sécurisées
Intégrez la sécurité à chaque étape du cycle de développement de votre produit. Incorporez la modélisation des menaces, suivez des normes de codage sécurisées et assurez des tests de sécurité approfondis. Il est également judicieux d'aligner vos processus sur des cadres reconnus tels que ISO 27001 et NIST CSF afin de respecter les meilleures pratiques internationales.
3. Améliorer les processus de gestion des vulnérabilités
Élaborer un processus complet et bien documenté d'identification, de divulgation et d'atténuation des vulnérabilités. Exigez de vos équipes qu'elles suivent les protocoles de divulgation coordonnée des vulnérabilités (CVD). Préparez-vous à réagir rapidement en mettant en place des voies d'escalade internes et en veillant à ce que vos plans d'intervention en cas d'incident vous permettent d'avertir les autorités de réglementation dans les 24 heures si nécessaire.
Prenez l'habitude de vous documenter :
- Analyse des causes profondes
- Mesures de remédiation
- Impact éventuel sur les clients
En outre, surveillez vos fournisseurs essentiels pour vous assurer que leur traitement des vulnérabilités répond à vos attentes.
4. Créer et tenir à jour une documentation technique détaillée
La documentation joue un rôle central dans la conformité à l'ARC. Veillez à ce que la documentation décrive les évaluations des risques, les mesures de sécurité, les résultats des tests et les processus de mise à jour. Pour chaque produit réglementé, conservez des dossiers clairs sur :
- Description des produits, instructions d'utilisation, version des logiciels
- Évaluation des risques de cybersécurité et procédures de traitement des vulnérabilités
- Preuves des évaluations de conformité
- Nomenclature des logiciels (SBOM)
- Déclaration de conformité et marquage CE
Soyez prêt à partager ces informations avec les autorités sur demande. Conservez ces dossiers pendant au moins 10 ans.
5. Effectuer des évaluations de conformité de l'ARC
Déterminez si votre produit doit faire l'objet d'une auto-évaluation ou d'une évaluation par un tiers indépendant. En fonction du résultat, appliquez le marquage CE approprié et remplissez la déclaration de conformité UE pour démontrer que votre produit répond aux normes de l'ARC.
6. Renforcer la surveillance des risques liés aux tiers
Évaluer la maturité de tous vos fournisseurs en matière de conformité à l'ARC. Introduisez des points de contrôle spécifiques à l'ARC dans vos processus d'intégration des fournisseurs et de renouvellement des contrats. Mettre à jour les contrats d'approvisionnement afin d'y inclure des exigences en matière de :
- Responsabilités en matière de sécurité
- Obligations de divulgation
- Soumission des SBOM
Gardez une visibilité sur les dépendances des produits de vos fournisseurs et évaluez les risques potentiels pour la continuité des activités si un fournisseur ne se conforme pas à l'ARC.
7. Former et sensibiliser les équipes internes
Assurez-vous que vos équipes comprennent ce que l'ARC signifie pour leurs rôles. Proposez une formation ciblée au personnel chargé de la conformité, de l'ingénierie et de l'approvisionnement. Incorporez la sensibilisation à l'ARC dans le développement des produits, l'intégration des fournisseurs et la planification de la réponse aux incidents. Envisagez d'organiser des ateliers interfonctionnels pour vous entraîner à la manière dont vos équipes réagiraient à un incident de sécurité dans le cadre des exigences de l'ARC.
Pourquoi la loi sur la cyber-résilience de l'UE exige-t-elle une action rapide ?
La loi sur la cyber-résilience représente un changement de paradigme dans la manière dont l'UE aborde la sécurité des produits numériques, en intégrant des obligations de cybersécurité à chaque étape, de la conception du produit au déploiement chez l'utilisateur final. Elle renforce un modèle de responsabilité partagée tout au long de la chaîne d'approvisionnement numérique et permet aux consommateurs d'avoir une plus grande confiance et un meilleur contrôle sur la sécurité des produits connectés.
Même si la conformité à l'ARC n'est pas encore obligatoire pour votre entreprise, un alignement précoce offre des avantages évidents :
- Démontre un engagement en faveur de la sécurité des clients
- Atténue les risques liés à la responsabilité du fait des produits
- Renforce la compétitivité dans l'UE
- Renforcer la résilience face aux cybermenaces
En intégrant la sécurité alignée sur l'ARC dans le développement des produits et les programmes de gestion des risques des tiers, les entreprises peuvent réduire leur exposition, renforcer la confiance de leurs clients et garantir un accès ininterrompu aux marchés de l'UE.
Prochaines étapes : Renforcer la conformité à l'ARC avec Mitratech
Avec des sanctions sévères et des obligations strictes, la loi européenne sur la cyber-résilience n'est pas une réglementation à laquelle vous voulez vous attaquer en traînant les pieds. Alors que vous vous préparez à vous conformer à la loi européenne sur la cyber-résilience (CRA), les bons outils peuvent simplifier et accélérer votre parcours de préparation.
La suite de solutions GRC et de gestion des risques de Mitratech soutient les opérations alignées sur l'ARC en vous aidant :
- Centraliser et automatiser la gestion de la documentation technique pour la préparation à l'audit.
- Mettre en œuvre des flux de travail cohérents et reproductibles en matière de vulnérabilité et de réponse aux incidents.
- Évaluer et surveiller les risques liés aux tiers à l'aide d'outils robustes de gestion des risques liés aux tiers.
- Procéder à des évaluations des risques et gérer le développement sécurisé à l'aide de politiques et de cadres de contrôle.
- Dispenser une formation à l'échelle de l'organisation grâce à des modules intégrés de sensibilisation à la conformité et de suivi.
Prêt à voir comment Mitratech peut vous aider à vous mettre en conformité avec les règles de l'ARC ? Demandez une démonstration dès aujourd'hui et parlez à un expert en solutions.
Cet article vous plaît ? Jetez un coup d'œil à ces articles :
- Compte à rebours pour la conformité DORA : Les étapes clés que votre organisation doit franchir dès maintenant
- La cyber-résilience : De la gestion des tiers à la gestion du risque cybernétique
- Conformité au règlement général sur la protection des données (RGPD)
- Risque cybernétique des tiers : gestion des risques liés à l'informatique, à la conformité et aux données tout au long du cycle de vie des fournisseurs
