Article 2 Champ d’application

Le droit pertinent de l’Union en vigueur comprend plusieurs ensembles de règles horizontales qui traitent de certains aspects liés à la cybersécurité sous différents angles, y compris des mesures destinées à améliorer la sécurité de la chaîne d’approvisionnement numérique. Toutefois, le droit existant de l’Union relatif à la cybersécurité, dont le règlement (UE) 2019/881 du Parlement européen et du Conseil(³) et la directive (UE) 2022/2555 du Parlement européen et du Conseil(⁴), ne couvre pas directement les exigences contraignantes en matière de sécurité des produits comportant des éléments numériques.

Dans certaines conditions, tous les produits comportant des éléments numériques intégrés ou connectés à un système d’information électronique plus vaste peuvent servir de vecteur d’attaque pour des acteurs malveillants. En conséquence, même le matériel et les logiciels considérés comme moins critiques peuvent faciliter une première compromission d’un appareil ou d’un réseau, permettant à des acteurs malveillants d’obtenir un accès privilégié à un système ou de se déplacer latéralement entre différents systèmes. Les fabricants devraient donc veiller à ce que tous les produits comportant des éléments numériques soient conçus et développés conformément aux exigences essentielles de cybersécurité prévues par le présent règlement. Cette obligation concerne à la fois les produits qui peuvent être connectés physiquement via des interfaces matérielles et les produits qui sont connectés logiquement, notamment par des connecteurs logiciels, tuyauteries, fichiers, interfaces de programmation d’application ou tout autre type d’interface logicielle. Étant donné que les cybermenaces peuvent se propager via divers produits comportant des éléments numériques avant d’atteindre une cible donnée, par exemple en enchaînant plusieurs exploits de vulnérabilité, les fabricants devraient également assurer la cybersécurité des produits comportant des éléments numériques qui ne sont connectés qu’indirectement à d’autres dispositifs ou réseaux.

Le présent règlement devrait être sans préjudice de la responsabilité des États membres de préserver la sécurité nationale, conformément au droit de l’Union. Les États membres devraient être en mesure de soumettre à des mesures supplémentaires les produits comportant des éléments numériques achetés ou utilisés à des fins de sécurité nationale ou de défense, à condition que ces mesures soient conformes aux obligations des États membres prévues par le droit de l’Union.

Le présent règlement ne s’applique aux opérateurs économiques qu’en ce qui concerne les produits comportant des éléments numériques mis à disposition sur le marché, donc fournis pour être distribués ou utilisés sur le marché de l’Union dans le cadre d’une activité commerciale. La fourniture dans le cadre d’une activité commerciale peut être caractérisée non seulement par le prix facturé pour un produit comportant des éléments numériques, mais également par le prix des services d’assistance technique lorsqu’il ne sert pas uniquement à récupérer les coûts réels, par une intention de monétisation, par exemple par la fourniture d’une plate-forme logicielle par l’intermédiaire de laquelle le fabricant monétise d’autres services, par l’exigence, comme condition à l’utilisation, du traitement des données à caractère personnel pour des raisons autres qu’aux seules fins d’améliorer la sécurité, la compatibilité ou l’interopérabilité du logiciel, ou par l’acceptation de dons supérieurs aux coûts associés à la conception, au développement et à la fourniture d’un produit comportant des éléments numériques. Le fait d’accepter des dons sans intention lucrative ne devrait pas être considéré comme constitutif d’une activité commerciale.

Aux fins du présent règlement, les produits comportant des éléments numériques fournis dans le cadre d’une prestation de service pour laquelle une rétribution est perçue à la seule fin de récupérer les coûts réels directement liés au fonctionnement de ce service, comme ce peut être le cas de certains produits comportant des éléments numériques fournis par des entités de l’administration publique, ne devraient pas être considérés pour cette seule raison comme constituant une activité commerciale. En outre, les produits comportant des éléments numériques qui sont développés ou modifiés par une entité de l’administration publique exclusivement pour son propre usage ne devraient pas être considérés comme mis à disposition sur le marché au sens du présent règlement.

Le règlement (UE) 2017/745 du Parlement européen et du Conseil(⁹) établit des règles relatives aux dispositifs médicaux et le règlement (UE) 2017/746 du Parlement européen et du Conseil(¹⁰) définit des règles relatives aux dispositifs médicaux de diagnostic in vitro. Ces règlements traitent des risques de cybersécurité et suivent des approches particulières qui sont également abordées dans le présent règlement. Plus précisément, les règlements (UE) 2017/745 et (UE) 2017/746 établissent des exigences essentielles pour les dispositifs médicaux qui fonctionnent au moyen d’un système électronique ou sont eux-mêmes des logiciels. Certains logiciels non intégrés et l’approche du cycle de vie complet relèvent également du champ d’application de ces règlements. Ces exigences obligent les fabricants à développer et à fabriquer leurs produits en appliquant des principes de gestion des risques et en définissant des exigences concernant les mesures de sécurité informatique, ainsi que les procédures d’évaluation de la conformité correspondantes. En outre, des orientations spécifiques sur la cybersécurité des dispositifs médicaux sont en place depuis décembre 2019. Elles fournissent aux fabricants de dispositifs médicaux, notamment de dispositifs de diagnostic in vitro, des orientations quant à la manière de satisfaire à toutes les exigences essentielles pertinentes énoncées à l’annexe I de ces règlements en ce qui concerne la cybersécurité. Les produits comportant des éléments numériques relevant de l’un ou l’autre de ces règlements ne devraient donc pas être soumis au présent règlement.

Les produits comportant des éléments numériques qui sont développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense ou les produits spécifiquement conçus pour traiter des informations classifiées ne relèvent pas du champ d’application du présent règlement. Les États membres sont invités à veiller à ce que ces produits bénéficient d’un niveau de protection analogue, voire supérieur, à celui appliqué aux produits relevant du champ d’application du présent règlement.

Le règlement (UE) 2019/2144 du Parlement européen et du Conseil(¹¹) établit des exigences pour la réception par type des véhicules, ainsi que de leurs systèmes et composants, et introduit certaines exigences de cybersécurité, notamment concernant le fonctionnement d’un système de gestion de cybersécurité certifié et les mises à jour logicielles. Il couvre entre autres les politiques et processus des organisations en matière de risques de cybersécurité liés à l’ensemble du cycle de vie des véhicules, des équipements et des services, conformément aux réglementations des Nations unies applicables en matière de spécifications techniques et de cybersécurité, notamment le règlement ONU n^o 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité(¹²), et prévoit des procédures spécifiques d’évaluation de la conformité. Dans le domaine de l’aviation, l’objectif principal du règlement (UE) 2018/1139 du Parlement européen et du Conseil(¹³) est d’établir et de maintenir un niveau uniforme élevé de sécurité dans l’aviation civile dans l’Union. Ce règlement crée un cadre pour les exigences essentielles en matière de navigabilité des produits, pièces et équipements aéronautiques, y compris les logiciels, qui comprennent des obligations de protection contre les menaces relatives à la sécurité de l’information. Le processus de certification prévu par le règlement (UE) 2018/1139 garantit le niveau d’assurance visé par le présent règlement. Les produits comportant des éléments numériques auxquels s’applique le règlement (UE) 2019/2144 et les produits certifiés conformément au règlement (UE) 2018/1139 ne devraient donc pas être soumis aux exigences essentielles de cybersécurité et aux procédures d’évaluation de la conformité énoncées dans le présent règlement.

Le présent règlement établit des règles horizontales de cybersécurité qui ne sont pas spécifiques aux secteurs ou à certains produits comportant des éléments numériques. Néanmoins, des règles sectorielles ou spécifiques aux produits pourraient être introduites au niveau de l’Union, établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité énoncées dans le présent règlement. Dans de tels cas, l’application du présent règlement aux produits comportant des éléments numériques relevant d’autres règles de l’Union établissant des exigences qui couvrent tout ou partie des risques auxquels s’appliquent les exigences essentielles de cybersécurité énoncées dans le présent règlement peut être limitée ou exclue lorsque cette limitation ou exclusion est compatible avec le cadre réglementaire global applicable à ces produits et lorsque les règles sectorielles permettent d’atteindre un niveau de protection au moins identique à celui prévu par le présent règlement. La Commission devrait être habilitée à adopter des actes délégués pour compléter le présent règlement en identifiant de tels produits et règles. Pour ce qui est du droit de l’Union en vigueur auquel cette limitation ou exclusion devrait s’appliquer, le présent règlement prévoit des dispositions spécifiques visant à clarifier sa relation avec ce droit de l’Union.

Afin de garantir que les produits comportant des éléments numériques mis à disposition sur le marché pourront être réparés de manière efficace et que leur durabilité pourra être prolongée, il convient de prévoir une dérogation pour les pièces de rechange. Cette dérogation devrait concerner à la fois les pièces de rechange destinées à réparer des produits anciens ayant été mis à disposition avant la date d’application du présent règlement et les pièces de rechange qui ont déjà fait l’objet d’une procédure d’évaluation de la conformité en application du présent règlement.

Le règlement délégué (UE) 2022/30 de la Commission(¹⁴) précise que plusieurs des exigences essentielles énoncées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE du Parlement européen et du Conseil(¹⁵), qui portent sur les dommages au réseau et la mauvaise utilisation des ressources du réseau, sur les données à caractère personnel et la vie privée ainsi que sur la fraude, s’appliquent à certains équipements radio. La décision d’exécution C(2022) 5637 de la Commission du 5 août 2022 relative à une demande de normalisation adressée au Comité européen de normalisation et au Comité européen de normalisation électrotechnique fixe des exigences pour l’élaboration de normes spécifiques précisant la manière dont ces trois exigences essentielles doivent être traitées. Les exigences essentielles de cybersécurité énoncées dans le présent règlement comprennent tous les éléments des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. En outre, les exigences essentielles de cybersécurité énoncées dans le présent règlement sont alignées sur les objectifs des exigences relatives à des normes spécifiques incluses dans cette demande de normalisation. Par conséquent, lorsque la Commission abroge ou modifie le règlement délégué (UE) 2022/30 de sorte qu’il cesse de s’appliquer à certains produits soumis au présent règlement, la Commission et les organisations européennes de normalisation devraient tenir compte des travaux de normalisation menés dans le cadre de la décision d’exécution C(2022) 5637 lors de l’élaboration et du développement de normes harmonisées visant à faciliter la mise en œuvre du présent règlement. Au cours de la période transitoire pour l’application du présent règlement, la Commission devrait fournir des orientations aux fabricants soumis à la fois au présent règlement et au règlement délégué (UE) 2022/30, afin de faciliter la démonstration du respect de ces deux règlements.