Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 12 Systèmes d’IA à haut risque
Summary What does Article 12 of the CRA regulation say?
This article serves as a critical bridging provision between the Cyber Resilience Act and the EU AI Act (Regulation (EU) 2024/1689).
It establishes how products with digital elements that are also classified as high-risk AI systems are treated across both regulatory frameworks, primarily by creating a mechanism where compliance with this Regulation's cybersecurity requirements can satisfy the equivalent cybersecurity obligations under the AI Act.
It also resolves potential conflicts between the two regimes on conformity assessment procedures, setting out which rules take precedence depending on how the product is classified.
Important points:
- Manufacturers of products with digital elements that are also high-risk AI systems can satisfy the AI Act's cybersecurity requirements by demonstrating compliance with Annex I of this Regulation and reflecting that in the EU declaration of conformity.
- For important and critical products with digital elements that are also high-risk AI systems, the conformity assessment procedures of this Regulation take precedence over the AI Act's internal control procedure for cybersecurity requirements.
- Manufacturers of the products covered by this article may participate in the AI regulatory sandboxes established under the AI Act.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Sans préjudice des exigences en matière d’exactitude et de robustesse énoncées à l’article 15 du règlement (UE) 2024/1689, les produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement et sont classés comme des systèmes d’IA à haut risque conformément à l’article 6 dudit règlement sont réputés conformes aux exigences de cybersécurité énoncées à l’article 15 dudit règlement:
lorsque ces produits satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I;
lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II; et
lorsque le niveau de cyberprotection requis à l’article 15 du règlement (UE) 2024/1689 est démontré par la déclaration UE de conformité délivrée en vertu du présent règlement.
Pour les produits comportant des éléments numériques et les exigences de cybersécurité visés au paragraphe 1 du présent article, la procédure d’évaluation de la conformité pertinente prévue à l’article 43 du règlement (UE) 2024/1689 s’applique. Aux fins de cette évaluation, les organismes notifiés qui sont compétents pour contrôler la conformité des systèmes d’IA à haut risque au titre du règlement (UE) 2024/1689 sont également compétents pour contrôler la conformité des systèmes d’IA à haut risque qui relèvent du champ d’application du présent règlement aux exigences énoncées à l’annexe I du présent règlement, à condition que la conformité de ces organismes notifiés aux exigences prévues par l’article 39 du présent règlement ait été évaluée dans le cadre de la procédure de notification prévue par le règlement (UE) 2024/1689.
Par dérogation au paragraphe 2 du présent article, les produits importants comportant des éléments numériques énumérés à l’annexe III du présent règlement, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32, paragraphe 2, points a) et b), et l’article 32, paragraphe 3, du présent règlement ainsi que les produits critiques comportant des éléments numériques énumérés à l’annexe IV du présent règlement qui doivent obtenir un certificat de cybersécurité européen au titre de l’article 8, paragraphe 1, du présent règlement ou, à défaut, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32, paragraphe 3, du présent règlement, et qui sont également classés comme systèmes d’IA à haut risque au titre de l’article 6 du règlement (UE) 2024/1689, et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne prévue à l’annexe VI du règlement (UE) 2024/1689, sont soumis aux procédures d’évaluation de la conformité prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité énoncées dans le présent règlement.
Les fabricants de produits comportant des éléments numériques tels que visés au paragraphe 1 du présent article peuvent participer aux sas réglementaires en matière d’IA visés à l’article 57 du règlement (UE) 2024/1689.
Relevant recitals
Considérant 51 High-risk AI systems
Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil(22) qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles de cybersécurité énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles de cybersécurité énoncées dans le présent règlement, ils devraient être réputés respecter les exigences de cybersécurité énoncées à l’article article 15 du règlement (UE) 2024/1689, dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. À cette fin, l’évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques classés comme système d’IA à haut risque en vertu du règlement (UE) 2024/1689 qui doit être prise en compte pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance de ce produit, comme l’exige le présent règlement, devrait tenir compte des risques pour la cyberrésilience d’un système d’IA en cas de tentatives par des tiers non autorisés de modifier son utilisation, son comportement ou ses performances, y compris les vulnérabilités propres à l’IA telles que l’empoisonnement des données ou les attaques adversaires, ainsi que, le cas échéant, les risques pour les droits fondamentaux, conformément au règlement (UE) 2024/1689. En ce qui concerne les procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques qui entre dans le champ d’application du présent règlement et classé comme système d’IA à haut risque, l’article 43 du règlement (UE) 2024/1689 devrait de manière générale s’appliquer en lieu et place des dispositions pertinentes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits importants ou critiques comportant des éléments numériques visés dans le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement (UE) 2024/1689 et sont également considérés comme des produits importants ou critiques comportant des éléments numériques visés dans le présent règlement et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI du règlement (UE) 2024/1689 devraient être soumis aux procédures d’évaluation de la conformité prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement (UE) 2024/1689, les dispositions pertinentes relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe VI de ce règlement devraient s’appliquer.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybersécurité
(En. cybersecurity)
Definition
évaluation de la conformité
(En. conformity assessment)
Definition
composant
(En. component)
Definition
logiciel
(En. software)
Definition
produit comportant des éléments numériques
(En. product with digital elements)
Definition
fabricant
(En. manufacturer)
Definition
système d’information électronique
(En. electronic information system)
Definition
incident
Definition
traitement de données à distance
(En. remote data processing)
Definition
risque de cybersécurité
(En. cybersecurity risk)
Footnote 22