Le Cyber Resilience Act (CRA ou loi sur la cyber-résilience) est entrée en vigueur. Cette loi européenne oblige les fabricants de matériel et les éditeurs de logiciels à sécuriser leurs appareils.
L’objectif du CRA est de garantir la sécurité numérique des produits et d’exiger des fabricants/éditeurs qu’ils fournissent des mises à jour de sécurité pendant cinq ans au moins. Cela donnera aux entreprises et aux consommateurs l’assurance que les produits numériques vendus dans l’UE sont sûrs.
Le CRA cible à la fois les produits et les processus que les fabricants/éditeurs utilisent dans leur développement, leur conception, leur production et leur maintenance. Les fabricants/éditeurs doivent déterminer à l’avance le fonctionnement de leur produit et procéder à une analyse des risques.
Encore un peu de répit
Même si la loi est officiellement entrée en vigueur cette semaine, les fabricants/éditeurs disposent encore d’un peu de répit pour se mettre en ordre. Le respect total de la loi s’appliquera en effet à partir du 11 décembre 2027. Dès le 11 juin 2026, les fabricants/éditeurs seront tenus de signaler les bugs dans leurs produits à leur centre national de cybersécurité. Ils devront également en informer les utilisateurs concernés. Cette obligation de notification est similaire à celle existant déjà et prévue dans le RGPD à propos par exemple des fuites de données.
En collaboration avec Dutch IT Channel.
Des règles de sécurité plus strictes pour les appareils intelligents dans l’UE