La loi CRA impose des exigences de sécurité claires aux produits, notamment la protection de l'accès, la protection de la confidentialité, l'intégrité, la disponibilité et un état à la livraison sûr. Pour garantir un processus de développement sûr, il convient de les prendre particulièrement en compte lors de la conception, du développement et de la fabrication.
La loi sur la cyberrésilience (CRA) À partir du 11 décembre 2027, les produits connectés dans l'UE devront répondre aux exigences de la loi sur la cyberrésilience (CRA). La cybersécurité devient ainsi obligatoire tout au long du cycle de vie du produit. Nos produits répondront également à ces exigences. Nous vous aidons en même temps à adapter vos processus et à améliorer la sécurité de vos installations.
Der CRA unterteilt Produkte mit digitalen Elementen in insgesamt vier Risikoklassen
Qu'est-ce que cela signifie pour les utilisateurs ?
La loi CRA permet aux utilisateurs de bénéficier de produits qui répondent à des normes de cybersécurité plus élevées et qui présentent moins de risques de piratage, de failles de sécurité ou d'autres dangers. De tels produits doivent porter le marquage CE, qui atteste de leur conformité aux nouvelles exigences.
Les fabricants sont également tenus d'assurer la maintenance des produits tout au long de leur cycle de vie et de proposer des mises à jour automatiques de sécurité. Les utilisateurs peuvent ainsi se fier aux garanties de cybersécurité offertes par les produits marqués CE.
Die wichtigsten Meilensteine des CRA im Überblick
Calendrier de mise en œuvre de la loi CRA
La mise en œuvre de la loi CRA se déroule selon un calendrier clairement défini avec plusieurs étapes clés. Après sa publication au Journal officiel de l'UE, ce règlement est entré en vigueur le 10 décembre 2024. L'obligation d'application s'applique après une période de transition pendant laquelle les fabricants peuvent adapter leurs produits, leurs processus et leur documentation en conséquence.
Voici les délais à connaître :
- 10 décembre 2024 : entrée en vigueur de la loi sur la cyberrésilience
- 11 juin 2026 : début des exigences pour les organismes d'évaluation de la conformité
- 11 septembre 2026 : introduction des obligations de signalement pour les fabricants
- 11 décembre 2027 : application complète de toutes les exigences pour les produits concernés
Les produits qui ne répondent pas aux exigences de la loi CRA à partir du 11 décembre 2027 ne pourront plus être mis en vente sur le marché de l'Union européenne. La cybersécurité devient ainsi une condition sine qua non pour les produits.
Mise en œuvre de la loi CRA chez Phoenix Contact
Importance de la loi CRA pour vos produits La loi sur la cyberrésilience démontre clairement une chose : la cybersécurité devient une condition sine qua non pour les produits connectés. Comme les exigences de sécurité sont solidement ancrées dans le développement des produits de Phoenix Contact depuis des années, nombre de nos solutions répondent dès aujourd'hui à des exigences essentielles en matière de sécurité et de résilience. Cliquez sur les exigences CRA respectives pour en apprendre plus sur notre mise en œuvre.
La sécurité à 360° – notre offre complète sans compromis
Notre concept complet de sécurité à 360°
Protection globale de vos installations et assistance à la mise en œuvre de nouvelles directives
Pour nous, la cybersécurité ne se résume pas à des produits sûrs et à des exigences réglementaires. Nous vous aidons à protéger efficacement vos réseaux industriels contre les cyberattaques.
Pour cela, nous abordons la sécurité industrielle de manière globale. C'est là qu'intervient notre concept de sécurité à 360° : il associe des mesures techniques, organisationnelles et processuelles sur la base de normes établies telles que CEI 62443 et les intègre dans un concept global cohérent. Nous couvrons ainsi tous les niveaux pertinents, du choix et de l'intégration de composants sécurisés à la conception d'architectures réseau robustes, en passant par l'exploitation sécurisée et la gestion structurée des incidents de sécurité.
Parallèlement, nous vous soutenons concrètement dans la mise en œuvre de nouvelles directives réglementaires telles que la loi sur la cyberrésilience, la directive NIS 2 ou le règlement sur les machines. Nos expertes et experts analysent avec vous vos exigences et développent des solutions sur mesure pour que vos machines et installations fonctionnent en toute sécurité.
Qu'est-ce que cela signifie pour le fabricant ?
Dans le cadre du processus de développement sécurisé, les fabricants doivent contrôler activement leurs produits pour détecter les vulnérabilités et y remédier immédiatement. Cette mise à jour de sécurité doit être fournie gratuitement et doit couvrir une période de cinq ans. En outre, la loi CRA introduit des obligations de signalement supplémentaires : les fabricants doivent immédiatement informer l'Agence européenne pour la cybersécurité (ENISA) s'ils ont connaissance de vulnérabilités activement exploitées ou d'attaques contre leurs produits susceptibles de compromettre la sécurité, par exemple en manipulant les zones de téléchargement.
Le non-respect des exigences de la loi sur la cyberrésilience peut avoir des conséquences importantes pour les fabricants. Les produits qui ne portent pas un marquage CE valide ou dont la conformité n'a pas été démontrée ne peuvent pas être mis sur le marché ou redistribués dans l'Union européenne.
En outre, ils s'exposent à des amendes considérables pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).
La loi sur la cyberrésilience ne s'applique pas seulement aux fabricants de l'UE, mais à tous les produits mis à disposition sur le marché de l'UE, indépendamment de leur lieu de fabrication.
Les produits en provenance des États-Unis ou d'Asie, par exemple, doivent également satisfaire aux exigences de la loi CRA dès lors qu'ils sont vendus ou mis sur le marché dans l'UE.
La loi CRA et la directive NIS 2 utilisent des approches différentes, mais leurs effets se complètent : alors que CRA réglemente la cybersécurité des produits contenant des éléments numériques et s'adresse donc surtout aux fabricants, NIS 2 porte sur la sécurité des exploitants.
Dans le cadre de la directive NIS 2, les entreprises doivent sécuriser leurs systèmes et processus, tandis que la loi CRA s'assure que les produits utilisés répondent déjà aux exigences de sécurité nécessaires.
LinkedIn : Industrial Communication and Cyber Security Rejoignez notre communauté dès maintenant !
Les réseaux de communication industriels nous permettent de transmettre des données de manière fiable depuis le terrain jusqu'au cloud en passant par le niveau de commande. Sur notre page LinkedIn Industrial Communication and Cyber Security (communication industrielle et cybersécurité), vous trouverez des informations intéressantes sur les thèmes de la disponibilité du réseau, de la cybersécurité, de la télémaintenance et bien plus encore. Rejoignez notre communauté !