Glossaire
Termes et concepts définis dans le règlement UE sur la cyberrésilience et les orientations connexes.
A
- Annexe I — Exigences essentielles de cybersécurité
- L'annexe normative du CRA contenant les exigences techniques et procédurales contraignantes que les produits comportant des éléments numériques doivent satisfaire. Elle est divisée en Partie I (11 propriétés de sécurité que les produits doivent posséder par conception et par défaut) et Partie II (8 obligations de gestion des vulnérabilités applicables aux processus de développement et de maintenance du fabricant).
- Autorité de surveillance du marché
- Une autorité nationale désignée par un État membre pour surveiller et faire appliquer la conformité des produits comportant des éléments numériques avec le CRA sur le marché. Les autorités de surveillance du marché peuvent demander la documentation technique, effectuer des audits et des tests, et ordonner des mesures correctives ou le retrait du marché pour les produits non conformes.
D
- Distributeur
- Une personne physique ou morale dans la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met à disposition un produit comportant des éléments numériques sur le marché de l'UE sans en affecter les propriétés. Les distributeurs ont des obligations plus légères que les fabricants ou importateurs, mais doivent vérifier le marquage CE et la conformité de base avant de fournir des produits.
- Déclaration de conformité UE (DoC UE)
- Un document formel établi par le fabricant avant la mise sur le marché d'un produit comportant des éléments numériques, dans lequel il déclare que le produit satisfait aux exigences essentielles de cybersécurité de l'Annexe I et à toute autre législation d'harmonisation de l'Union applicable. La DoC UE doit suivre la structure modèle de l'Annexe V et contenir les huit éléments spécifiés à l'article 28.
- Documentation technique
- Un ensemble complet de documents que le fabricant doit établir avant de mettre un produit sur le marché et maintenir pendant toute la période de support, contenant toutes les informations démontrant que le produit et les processus du fabricant sont conformes aux exigences essentielles de cybersécurité de l'Annexe I. L'Annexe VII en précise le contenu minimum. La documentation doit être conservée au moins 10 ans.
E
- Exigences essentielles de cybersécurité
- Les exigences de sécurité contraignantes définies à l'Annexe I du CRA, divisées en deux parties. La Partie I spécifie 11 propriétés de sécurité que les produits comportant des éléments numériques doivent atteindre par conception et par défaut. La Partie II spécifie 8 obligations de gestion des vulnérabilités que les fabricants doivent mettre en œuvre comme processus tout au long du cycle de vie du produit.
F
- Fabricant
- Une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques (ou les fait concevoir, développer ou fabriquer) et les commercialise sous son propre nom ou sa propre marque, qu'il s'agisse d'une vente à titre onéreux, d'une monétisation ou d'une mise à disposition gratuite. C'est le rôle principal porteur d'obligations en vertu du CRA.
G
- Gestionnaire de logiciels open source
- Une personne morale, autre qu'un fabricant, dont l'objet ou l'objectif est d'assurer systématiquement, sur une base durable, le soutien au développement de produits spécifiques de logiciels libres et open source destinés à des activités commerciales, et qui garantit la viabilité de ces produits. Les gestionnaires d'OSS bénéficient d'un régime réglementaire plus léger et adapté au titre du CRA.
I
- Importateur
- Une personne physique ou morale établie dans l'Union européenne qui met sur le marché de l'UE un produit comportant des éléments numériques portant le nom ou la marque d'une personne physique ou morale établie hors de l'Union.
- Incident grave
- Un incident ayant un effet néfaste réel sur la sécurité des systèmes d'information et de réseau d'un fabricant, utilisés pour le développement, la production ou la maintenance d'un produit comportant des éléments numériques. La découverte d'un tel incident déclenche une obligation de notification au CSIRT compétent et à l'ENISA dans les 24 heures.
L
- Logiciel libre et open source (FOSS)
- Un logiciel dont le code source est mis à disposition sous une licence accordant aux utilisateurs les droits d'utiliser, copier, modifier et distribuer le logiciel. Les composants FOSS intégrés dans un produit commercial entrent dans le champ d'application du CRA pour le fabricant qui les intègre. Le développement et la fourniture non commerciaux de FOSS sont généralement hors champ ; les gestionnaires d'OSS bénéficient d'un régime adapté.
M
- Mandataire
- Une personne physique ou morale établie dans l'Union européenne ayant reçu un mandat écrit d'un fabricant pour agir en son nom dans le cadre de tâches spécifiques au titre du CRA. Les tâches légales minimales du mandataire comprennent : tenir la DoC UE et la documentation technique à disposition, fournir des informations de conformité sur demande et coopérer avec la surveillance du marché.
- Marquage CE
- Le marquage apposé par le fabricant sur un produit pour indiquer que le produit a été évalué et satisfait à toute la législation d'harmonisation de l'Union applicable, y compris les exigences essentielles de cybersécurité du CRA. Le marquage CE est obligatoire avant la mise sur le marché d'un produit comportant des éléments numériques et doit être apposé de manière visible, lisible et indélébile.
- Mise à disposition sur le marché
- Toute fourniture d'un produit comportant des éléments numériques en vue de sa distribution, de sa consommation ou de son utilisation sur le marché de l'UE dans le cadre d'une activité commerciale, qu'elle soit à titre onéreux ou gratuit. Contrairement à la « mise sur le marché » (qui désigne la première fourniture), la « mise à disposition » couvre chaque fourniture ultérieure dans la chaîne d'approvisionnement.
- Mise sur le marché
- La première mise à disposition d'un produit comportant des éléments numériques sur le marché de l'UE. Un fabricant met un produit sur le marché lorsqu'il le fournit pour la première fois à un distributeur, importateur ou utilisateur dans l'UE, dans le cadre d'une activité commerciale, qu'elle soit onéreuse ou gratuite. La date de la première mise sur le marché détermine le début des obligations CRA pour ce produit.
- Modification substantielle
- Une modification d'un produit comportant des éléments numériques, réalisée après sa mise sur le marché, qui affecte la conformité du produit aux exigences essentielles de cybersécurité de l'Annexe I Partie I, ou qui modifie la destination prévue telle que déclarée par le fabricant.
N
- Norme harmonisée
- Une norme européenne élaborée par un organisme européen de normalisation (CEN, CENELEC ou ETSI) à la demande de la Commission européenne. Lorsqu'un fabricant applique une norme harmonisée dont la référence a été publiée au Journal officiel de l'UE, il bénéficie d'une présomption de conformité aux exigences essentielles de cybersécurité couvertes par cette norme.
- Nomenclature des composants logiciels (SBOM)
- Un inventaire formel des composants, bibliothèques et modules contenus dans un produit logiciel, établi dans un format standard lisible par machine. En vertu de l'Annexe I Partie II du CRA, les fabricants doivent produire un SBOM couvrant au minimum les dépendances de premier niveau de leur produit.
O
- Organisme notifié
- Un organisme tiers indépendant et accrédité, désigné par une autorité d'un État membre et notifié à la Commission européenne pour effectuer des procédures d'évaluation de la conformité par tierce partie au titre du CRA. Les organismes notifiés évaluent si les produits importants et critiques satisfont aux exigences essentielles de cybersécurité avant l'apposition du marquage CE.
P
- Produit critique comportant des éléments numériques
- Un produit dont la fonctionnalité principale relève de l'Annexe IV du CRA. Actuellement trois catégories : dispositifs matériels avec boîtiers de sécurité, passerelles de compteurs intelligents et cartes à puce/éléments sécurisés. Les produits critiques sont soumis aux exigences de conformité les plus strictes et doivent, une fois les actes délégués de la Commission en vigueur, obtenir une certification européenne de cybersécurité (EUCC).
- Politique de divulgation coordonnée des vulnérabilités (CVD)
- Un processus structuré permettant de signaler des vulnérabilités d'un produit à un fabricant de façon à lui permettre de les diagnostiquer et de les corriger avant que des informations détaillées soient divulguées à des tiers ou au public. Les fabricants sont tenus par l'Annexe I Partie II du CRA d'établir et d'appliquer une politique CVD.
- Produit important comportant des éléments numériques
- Un produit dont la fonctionnalité principale relève d'une catégorie listée à l'Annexe III du CRA. Ces produits remplissent principalement des fonctions critiques pour la cybersécurité d'autres produits, réseaux ou services, ou présentent un risque significatif d'effets négatifs en cas d'exploitation. Les produits importants sont divisés en Classe I et Classe II, la Classe II étant soumise à des exigences de conformité plus strictes.
- Produit dans le champ d'application (CRA)
- Un produit comportant des éléments numériques qui relève du champ d'application du CRA (Art. 2) et est donc soumis à ses exigences. Les produits dans le champ d'application sont ceux ayant une connexion directe ou indirecte, logique ou physique, à un dispositif ou réseau, mis à disposition sur le marché de l'UE dans le cadre d'une activité commerciale. Plusieurs catégories de produits sont explicitement exclues.
- Produit comportant des éléments numériques (PDE)
- Tout produit logiciel ou matériel, et ses solutions de traitement de données à distance, dont l'utilisation prévue ou raisonnablement prévisible comprend une connexion directe ou indirecte, logique ou physique, à un dispositif ou réseau. Le CRA s'applique aux PDE, sauf si une exclusion sectorielle s'applique.
- Période de support
- La période pendant laquelle un fabricant est tenu de s'assurer que les vulnérabilités d'un produit comportant des éléments numériques sont gérées efficacement conformément à l'Annexe I Partie II. La période de support doit être d'au moins cinq ans, sauf si la durée de vie utile prévue du produit est plus courte.
S
- Solution de traitement de données à distance (STDR)
- Un service distant nécessaire à un produit comportant des éléments numériques pour accomplir l'une de ses fonctions. Une STDR fait partie du PDE et est donc soumise aux mêmes obligations CRA que le produit lui-même. Le test en trois parties (traitement à distance, dépendance fonctionnelle, responsabilité du fabricant) détermine si un service distant est qualifié.
V
- Vulnérabilité activement exploitée
- Une vulnérabilité dans un produit comportant des éléments numériques qu'un acteur malveillant utilise activement pour compromettre la sécurité des utilisateurs ou d'autres personnes affectées. La découverte d'une telle vulnérabilité déclenche une obligation de notification au CSIRT compétent et à l'ENISA dans les 24 heures (Art. 14(1)), avec des notifications complémentaires à 72 heures et après remédiation.
- Vulnérabilité
- Une faiblesse dans un produit comportant des éléments numériques qui pourrait potentiellement être exploitée par un acteur menaçant pour compromettre la sécurité de ce produit ou des systèmes connectés. Le CRA impose de nombreuses obligations aux fabricants pour identifier, corriger et divulguer les vulnérabilités tout au long de la période de support.
É
- Évaluation de la conformité
- Le processus par lequel un fabricant démontre qu'un produit comportant des éléments numériques satisfait aux exigences essentielles de cybersécurité de l'Annexe I. L'article 32 prévoit quatre procédures : Module A (auto-évaluation), Module B+C, Module H et certification EUCC. La procédure requise dépend de la classification du produit et de l'application complète des normes harmonisées.