Exigences essentielles de cybersécurité
Les exigences de sécurité contraignantes définies à l'Annexe I du CRA, divisées en deux parties. La Partie I spécifie 11 propriétés de sécurité que les produits comportant des éléments numériques doivent atteindre par conception et par défaut. La Partie II spécifie 8 obligations de gestion des vulnérabilités que les fabricants doivent mettre en œuvre comme processus tout au long du cycle de vie du produit.
Citations sources
Voir aussi
Structure
L'Annexe I du règlement (UE) 2024/2847 est divisée en deux parties :
Partie I — Exigences de sécurité pour les produits
- Aucune vulnérabilité exploitable connue à la livraison
- Sécurisé par défaut — paramètres par défaut sécurisés ; fonctionnalités inutiles désactivées
- Confidentialité — données au repos et en transit protégées
- Intégrité — protection contre la manipulation non autorisée
- Surface d'attaque réduite — interfaces et canaux de communication minimaux
- Résilience — minimisation de l'impact des incidents
- Limitation des perturbations — limitation des interruptions de service
- Traitement sécurisé des données — collecte et protection des données nécessaires uniquement
- Contrôle d'accès — protection contre l'accès non autorisé
- Mise à jour sécurisée — possibilité d'installer des mises à jour
- Données utilisateur — mécanisme pour effacer les données en toute sécurité
Partie II — Exigences de gestion des vulnérabilités
Les fabricants doivent disposer de politiques et de processus pour :
- Identifier et documenter les vulnérabilités, y compris SBOM
- Traiter et remédier aux vulnérabilités sans délai
- Appliquer des tests et des révisions de sécurité réguliers
- Partager des informations sur les vulnérabilités corrigées dans un avis public
- Maintenir une politique CVD
- Faciliter le signalement via une adresse de point de contact
- Assurer la distribution sécurisée des mises à jour
- Fournir des mises à jour gratuites pendant la période de support