Garantir la sécurité du produit tout au long de son cycle de vie (conception sécurisée)

Langage clair

Le produit doit être conçu en intégrant la sécurité dès le départ. Cela implique d'identifier les risques de sécurité avant la mise sur le marché, de prendre des décisions de conception tenant compte de la sécurité (et non comme une préoccupation secondaire), et de continuer à traiter la sécurité pendant toute la durée de vie prise en charge. Il s'agit d'une approche de « conception sécurisée » : un processus documenté est requis, au-delà des seules bonnes intentions.

Texte juridique

L'article 13(1) du règlement (UE) 2024/2847 dispose que les fabricants de produits comportant des éléments numériques veillent à ce que les produits soient conçus, développés et produits conformément aux exigences essentielles de cybersécurité énoncées à l'Annexe I Partie I.

L'article 13(2) exige en outre que les fabricants procèdent à une évaluation des risques de cybersécurité associés au produit comportant des éléments numériques, en tenant compte des risques pour la sécurité et la sûreté des utilisateurs.

Exigences clés

Évaluation des risques au stade de la conception — identifier et documenter les risques de sécurité
Processus de développement sécurisé — appliquer les exigences de l'Annexe I Partie I tout au long du cycle de développement
Configuration sécurisée par défaut — aucun état non sécurisé par défaut
Réduction de la surface d'attaque — désactiver les fonctions et les ports inutiles
Sécurité tout au long du cycle de vie — prise en compte de la sécurité lors de la conception, du développement et de la production

Preuves éventuellement requises

Évaluation des risques de cybersécurité du produit (documentée)
Politique relative au cycle de développement sécurisé
Documents d'architecture et de conception faisant apparaître les décisions de sécurité
Enregistrements des tests démontrant la conformité à l'Annexe I