Extrait de https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act.
Qu'est-ce que le règlement européen sur la cyber-résilience (CRA) ?
Le règlement européen sur la cyber-résilience est un cadre juridique qui décrit les exigences de cybersécurité pour les produits matériels et logiciels mis sur le marché de l'Union européenne. Les fabricants sont désormais tenus de prendre la sécurité au sérieux tout au long du cycle de vie d'un produit.
Avant le règlement européen sur la cyber-résilience, les différentes lois et initiatives prises aux niveaux de l'Union et des États membres ne répondaient que partiellement aux problèmes et risques identifiés liés à la cybersécurité, créant ainsi une mosaïque législative au sein du marché intérieur.
Il a accru l'incertitude juridique pour les fabricants et les utilisateurs de ces produits, et a ajouté une charge inutile aux entreprises pour se conformer à un certain nombre d'exigences pour des types de produits similaires.
La cybersécurité de ces produits a une dimension transfrontalière particulièrement forte, car les produits fabriqués dans un pays sont souvent utilisés par des organisations et des consommateurs sur l'ensemble du marché intérieur.
Deux problèmes majeurs sont abordés :
1. Le faible niveau de cybersécurité des produits comportant des éléments numériques, reflété par des vulnérabilités généralisées et la fourniture insuffisante et incohérente de mises à jour de sécurité pour y remédier.
2. La compréhension et l'accès insuffisants des utilisateurs aux informations, les empêchant de choisir des produits dotés de propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.
Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d'information électronique plus vaste peuvent servir de vecteur d'attaque pour les acteurs malveillants.
En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter la compromission initiale d'un appareil ou d'un réseau, permettant aux acteurs malveillants d'obtenir un accès privilégié à un système ou de se déplacer latéralement entre les systèmes.