La loi sur la cyber-résilience fixe des règles de base en matière de cybersécurité pour tout produit matériel ou logiciel comportant un élément numérique proposé sur le marché de l'UE.

Elle vise les fabricants, les importateurs et les distributeurs, ce qui signifie que les entreprises de services ordinaires ne sont pas concernées, à moins qu'elles ne mettent de tels produits sur le marché. Cela est important car la CRA introduit des exigences strictes en matière de sécurité avant la mise sur le marché et des obligations de gestion de la vulnérabilité à long terme, de sorte que la question de savoir qui doit se conformer à la loi sur la cyber-résilience est une question clé pour les fournisseurs de technologie aujourd'hui.

Lire aussi : Qu'est-ce que la loi sur la cyber-résilience ?

Critères d'applicabilité de la loi sur la cyber-résilience (CRA)

L'ARC s'applique sur la base de quelques facteurs précis. Les organisations doivent évaluer leurs produits, leur rôle dans la chaîne d'approvisionnement, ainsi que le lieu et la manière dont elles opèrent.

• Industrie / secteur: tout secteur qui commercialise sur le marché de l'UE du matériel ou des logiciels comportant un élément numérique, qu'il s'agisse de l'IdO grand public ou de systèmes de contrôle industriels.
• Rôle de l'organisation - le fabricant, l'importateur ou le distributeur (y compris les revendeurs) sont couverts ; les utilisateurs de produits prêts à l'emploi ne le sont pas.
• Géographie / région - s'applique si le produit est mis à disposition dans l'UE, quel que soit le lieu d'établissement de l'entreprise.
• Type / classe de produit - les produits critiques (par exemple, les pare-feu, les gestionnaires de mots de passe) sont soumis à des règles de conformité plus strictes ; les produits non critiques doivent toujours faire l'objet de contrôles de base.
• Exemptions - les logiciels libres fournis sur une base non commerciale et les produits développés uniquement pour la sécurité ou la défense nationale sont exclus du champ d'application.

La loi sur la cyber-résilience est-elle obligatoire et comment vérifier si elle s'applique à vous ?

Oui, l'adhésion à l'ARC est obligatoire si votre organisation met sur le marché de l'UE des produits numériques entrant dans le champ d'application de la directive. Voici comment vérifier si cette obligation s'applique à vous :

• Confirmer que le produit contient des éléments numériques et qu'il est mis sur le marché de l'UE.
• Identifiez votre rôle : fabricant, importateur ou distributeur.
• Vérifier les exemptions (source ouverte non commerciale, usage réservé à la défense).
• Établir une correspondance entre le produit et les exigences de cybersécurité de l'annexe I de l'Agence du revenu du Canada (ARC).
• Déterminer si le produit appartient à une catégorie critique nécessitant une évaluation par un tiers.

Exemples d'organisations qui doivent se conformer

Voici quelques profils d'entreprises typiques qui répondent aux exigences de l'ARC :

• Une startup finlandaise qui vend des dispositifs d'éclairage intelligent IoT dans toute l'Europe (fabricant).
• Un grossiste allemand qui importe des routeurs de réseau d'Asie pour les détaillants de l'UE (importateur).
• Un fournisseur de SaaS en Irlande expédie un dispositif de sécurité sur site à des clients de l'UE (distributeur et fabricant).

Quand la loi sur la cyber-résilience (CRA) entre-t-elle en vigueur ?

L'ARC est déjà en vigueur, mais certaines obligations spécifiques sont assorties d'échéances échelonnées. Les dates clés sont les suivantes :

• 10 décembre 2024 - Entrée en vigueur du règlement.
• 10 septembre 2026 - les premières obligations (signalement précoce des incidents et des vulnérabilités) débutent 21 mois après l'entrée en vigueur.
• 10 décembre 2027 - conformité totale requise 36 mois après l'entrée en vigueur.

Comment se conformer aux exigences de l'ARC dans cet article.

Que se passe-t-il si vous ne respectez pas les règles ?

La non-conformité entraîne de graves conséquences financières et opérationnelles. Voici ce qui peut arriver :

• Amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
• Retrait du produit du marché de l'UE
• Rappels obligatoires de produits non sécurisés
• Interdictions de vente dans les pays de l'UE
• Enquêtes des autorités nationales de surveillance du marché

Comment Cyberday soutient les organisations du champ d'application

Si vos produits relèvent de l'ARC, Cyberday vous offre une structure claire pour vous mettre en conformité. Notre plateforme traduit les exigences de l'annexe I en tâches traçables, facilite l'élaboration de la documentation technique et prend en charge les flux de travail de signalement des incidents et des vulnérabilités. Elle est conçue pour vous aider à déterminer comment vous conformer à la loi sur la cyber-résilience de manière pratique et continue.

Commencez à travailler sur votre conformité à l'ARC dès aujourd'hui avec l'essai gratuit de Cyberday. essai gratuit de Cyberday!