Norme harmonisée
Une norme européenne élaborée par un organisme européen de normalisation (CEN, CENELEC ou ETSI) à la demande de la Commission européenne. Lorsqu'un fabricant applique une norme harmonisée dont la référence a été publiée au Journal officiel de l'UE, il bénéficie d'une présomption de conformité aux exigences essentielles de cybersécurité couvertes par cette norme.
Citations sources
Texte réglementaire
Article 27(1) du règlement (UE) 2024/2847 :
« Les produits comportant des éléments numériques conformes à des normes harmonisées ou à des parties de celles-ci dont les références ont été publiées au Journal officiel de l'Union européenne sont présumés conformes aux exigences essentielles de cybersécurité énoncées à l'Annexe I couvertes par ces normes ou parties de celles-ci. »
Rôle des normes harmonisées dans le CRA
- Volontaire — les fabricants ne sont pas tenus d'appliquer des normes harmonisées, mais doivent alors démontrer la conformité par d'autres moyens
- Présomption de conformité — uniquement pour les exigences spécifiques couvertes par la norme
- Application partielle — un fabricant peut n'appliquer que les parties pertinentes d'une norme
Situation actuelle
Lors de la publication du règlement (UE) 2024/2847, aucune norme harmonisée spécifique au CRA n'existe encore. La Commission a lancé des demandes de normalisation auprès de CEN, CENELEC et ETSI. En attendant :
- Des spécifications communes peuvent être adoptées comme mesure transitoire (Art. 27(3))
- Les fabricants peuvent s'appuyer sur des normes existantes (ETSI EN 303 645, IEC 62443, ISO/IEC 27001) sans présomption formelle