Réaliser une évaluation des risques de cybersécurité avant la mise sur le marché

L'article 13(2) du règlement (UE) 2024/2847 exige que les fabricants de produits comportant des éléments numériques, en tenant compte des exigences essentielles de cybersécurité énoncées à l'Annexe I Partie I, procèdent à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques.

Cette évaluation est prise en compte lors des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit, en vue de minimiser les risques de cybersécurité, de prévenir les incidents de sécurité et d'en limiter l'impact.

1. Évaluation des risques avant la mise sur le marché — effectuée avant la commercialisation du produit
2. Conception fondée sur les risques — les conclusions doivent être intégrées aux décisions de conception du produit
3. Périmètre couvrant l'ensemble du cycle de vie — planification, conception, développement, production, livraison et maintenance
4. Documentation — l'évaluation des risques fait partie de la documentation technique requise par l'Annexe VII
5. Proportionnalité — la profondeur de l'évaluation doit être proportionnée aux risques

Cette obligation sous-tend la plupart des autres obligations issues de l'art. 13. L'évaluation des risques détermine :

• Quelles exigences de l'Annexe I Partie I s'appliquent et de quelle manière
• La procédure d'évaluation de la conformité appropriée (module A, B+C ou H)
• La durée de support déclarée (OBL-ART13-08)
• Les vulnérabilités à traiter avant la distribution (OBL-ART13-05)

• Document d'évaluation des risques de cybersécurité (méthodologie STRIDE, TARA ou équivalente)
• Modèle de menace avec analyse de la surface d'attaque
• Décisions de traitement des risques liées aux choix de conception
• Enregistrements montrant que l'évaluation a été mise à jour lors des modifications du produit