La Commission européenne a adopté le Règlement d’exécution (UE) 2025/2392, qui définit les descriptions techniques des catégories de produits numériques importants et critiques dans le cadre de la Loi sur la cyberrésilience (Règlement (UE) 2024/2847). L’objectif est de renforcer la cybersécurité dans l’UE en précisant quels produits nécessitent des procédures de conformité plus strictes et, dans certains cas, une certification obligatoire par des tiers.

Points clés

• Champ d’application
  Ce règlement concerne les produits numériques dont la fonctionnalité principale correspond aux catégories des annexes III et IV de la Loi sur la cyberrésilience, tels que systèmes d’exploitation, VPN, routeurs et dispositifs intelligents.

• Produits importants
  Exemples :

  • Systèmes de gestion d’identité et de contrôle d’accès
  • Navigateurs autonomes ou intégrés
  • Gestionnaires de mots de passe
  • Logiciels antivirus et antimalware
  • Clients et serveurs VPN
  • Systèmes de gestion de réseaux
  • Assistants virtuels et dispositifs de sécurité domestique

• Produits critiques
  Ces produits exigent le niveau de sécurité le plus élevé et peuvent nécessiter une certification européenne. Exemples :

  • Modules matériels de sécurité
  • Passerelles pour compteurs intelligents
  • Cartes à puce et éléments sécurisés

• Exigences de conformité
  Les fabricants doivent :

  • Réaliser une analyse complète des risques en cybersécurité
  • Mettre en œuvre des exigences essentielles proportionnées au risque
  • Suivre des procédures spécifiques d’évaluation de conformité