Annexe I — Exigences essentielles de cybersécurité

L'Annexe I du règlement (UE) 2024/2847 contient les deux ensembles d'exigences essentielles de cybersécurité référencés dans l'ensemble du règlement.

Les produits doivent être conçus, développés et fabriqués pour :

1. Être livrés sans vulnérabilités exploitables connues dans les bases de données accessibles au public
2. Être sécurisés par défaut — configurations par défaut sécurisées ; fonctions inutiles désactivées
3. Garantir la confidentialité — protection des données contre l'accès non autorisé
4. Garantir l'intégrité — protection contre la manipulation non autorisée
5. Traiter uniquement les données nécessaires (minimisation des données)
6. Protéger la disponibilité des fonctions essentielles
7. Minimiser l'impact négatif sur d'autres services
8. Limiter la surface d'attaque
9. Limiter l'impact d'un incident par isolation et résilience
10. Journaliser et surveiller les événements de sécurité pertinents
11. Permettre le transfert sécurisé de toutes les données avant fin de vie

Les fabricants doivent mettre en œuvre des processus pour :

1. Identifier et documenter les vulnérabilités, notamment via un SBOM
2. Traiter et remédier aux vulnérabilités sans délai
3. Appliquer des tests de sécurité réguliers
4. Divulguer publiquement les informations sur les vulnérabilités corrigées
5. Mettre en place et appliquer une politique CVD
6. Faciliter le signalement des vulnérabilités via un point de contact unique
7. Assurer la distribution sécurisée des mises à jour de sécurité
8. Fournir des mises à jour gratuites pendant la période de support