Déterminer si votre produit est un « produit critique » et obtenir la certification européenne de cybersécurité
- S'applique à
- Manufacturer
- Citations sources
- Art. 8(1)Art. 32(4)Annex IV
- Classes de produits
- Critical
Langage clair
L'Annexe IV recense actuellement trois catégories de produits critiques : les dispositifs matériels avec boîtiers de sécurité, les passerelles de compteurs intelligents et les cartes à puce/éléments sécurisés. Si votre produit entre dans l'une de ces catégories, vous serez à terme tenu d'obtenir une certification européenne de cybersécurité (EUCC) formelle — et non de simplement procéder à une auto-évaluation. La Commission activera cette obligation par acte délégué. En attendant, vous devez tout de même passer une évaluation de conformité par un tiers (module B+C ou H).
Texte juridique
L'article 8(1) du règlement (UE) 2024/2847 habilite la Commission à adopter des actes délégués exigeant que les produits relevant de l'Annexe IV obtiennent :
un certificat européen de cybersécurité au niveau d'assurance au moins « substantiel » dans le cadre d'un schéma européen de certification de cybersécurité adopté conformément au règlement (UE) 2019/881.
Catégories de l'Annexe IV (actuelles)
- Dispositifs matériels avec boîtiers de sécurité
- Passerelles de compteurs intelligents dans les systèmes de comptage intelligents et autres dispositifs à des fins de sécurité avancée
- Cartes à puce ou dispositifs similaires, y compris les éléments sécurisés
Obligation actuelle (en attente de l'acte délégué)
Jusqu'à l'adoption de l'acte délégué, les fabricants de produits critiques doivent réaliser une évaluation de conformité par un organisme notifié (module B+C ou H) ou selon un schéma européen de certification de cybersécurité au niveau « substantiel ».