Article 32 Procédures d’évaluation de la conformité pour les produits comportant des éléments numériques

Summary What does Article 32 of the CRA regulation say?

This article is the central mechanism for how manufacturers prove their products with digital elements meet the regulation's essential cybersecurity requirements.

It sets out a tiered system of conformity assessment procedures, where the route a manufacturer must take depends on the risk classification of their product.

Standard products have the most flexibility, while products categorised as important (split into class I and class II under Annex III) and critical (listed in Annex IV) face progressively stricter requirements, with critical products being directed primarily toward European cybersecurity certification schemes.

The article connects directly to Article 7 and Article 8, which define those product classifications, and to Article 27, which governs the role of harmonised standards and certification schemes in establishing a presumption of conformity.

Important points:

Manufacturers must select a conformity assessment procedure appropriate to their product's risk classification — the higher the classification, the more rigorous the required procedure, with self-assessment only available for standard products.
Manufacturers of free and open-source software falling under Annex III categories may use the standard procedures from paragraph 1, provided the technical documentation is made publicly available at the time of placing the product on the market.
Conformity assessment fees must be reduced to take into account the specific interests and needs of microenterprises and small and medium-sized enterprises, including start-ups.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Le fabricant effectue une évaluation de la conformité du produit comportant des éléments numériques et des processus mis en place par le fabricant pour déterminer si les exigences essentielles de cybersécurité énoncées à l’annexe I sont respectées. Le fabricant démontre la conformité avec les exigences essentielles de cybersécurité en suivant l’une des procédures suivantes:
  1. la procédure de contrôle interne (module A) visée à l’annexe VIII;
  2. la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
  3. l’évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
  4. lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité en vertu de l’article 27, paragraphe 9.
1. Lorsque, lors de l’évaluation de la conformité d’un produit important comportant des éléments numériques qui relève de la classe I figurant à l’annexe III et des processus mis en place par son fabricant avec les exigences essentielles de cybersécurité énoncées à l’annexe I, le fabricant n’a pas appliqué ou n’a appliqué qu’en partie des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité au minimum au niveau d’assurance dit «substantiel» visés à l’article 27, ou lorsque ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité n’existent pas, le produit comportant des éléments numériques concerné et les processus mis en place par le fabricant sont soumis, pour ce qui a trait à ces exigences essentielles de cybersécurité, à l’une des procédures suivantes:
  1. la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII; ou
  2. une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII.
1. Lorsque le produit est un produit important comportant des éléments numériques qui relève de la classe II figurant à l’annexe III, le fabricant démontre la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en suivant l’une des procédures suivantes:
  1. la procédure d’examen UE de type (module B) prévue à l’annexe VIII, suivie de la conformité au type «UE» sur la base du contrôle interne de la production (module C), prévue à l’annexe VIII;
  2. une évaluation de la conformité sur la base de l’assurance complète de la qualité (module H) prévue à l’annexe VIII; ou
  3. lorsqu’il est disponible et s’il y a lieu, un schéma européen de certification de cybersécurité conformément à l’article 27, paragraphe 9, du présent règlement au minimum au niveau d’assurance dit «substantiel» en vertu du règlement (UE) 2019/881.
1. Les produits critiques comportant des éléments numériques répertoriés à l’annexe IV démontrent la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I au moyen de l’une des procédures suivantes:
  1. un schéma européen de certification de cybersécurité, conformément à l’article 8, paragraphe 1; ou
  2. lorsque les conditions énoncées à l’article 8, paragraphe 1, ne sont pas remplies, l’une des procédures visées au paragraphe 3 du présent article.
1. Les fabricants de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et relèvent des catégories énoncées à l’annexe III ont la faculté de démontrer la conformité avec les exigences essentielles de cybersécurité énoncées à l’annexe I en utilisant l’une des procédures visées au paragraphe 1 du présent article, à condition que la documentation technique visée à l’article 31 soit mise à la disposition du public au moment de la mise sur le marché de ces produits.
1. Les intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses, sont pris en compte lors de la fixation des redevances imposées pour les procédures d’évaluation de la conformité, et ces redevances sont réduites proportionnellement auxdits intérêts et besoins spécifiques.

Relevant recitals

Considérant 81 Voluntary European cybersecurity certification framework

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.

Considérant 90 Conformity assessment procedures

Afin de permettre aux opérateurs économiques de démontrer qu’ils respectent les exigences essentielles de cybersécurité énoncées dans le présent règlement et aux autorités de surveillance du marché de s’assurer que les produits comportant des éléments numériques mis à disposition sur le marché sont conformes à ces exigences, il est nécessaire de prévoir des procédures d’évaluation de la conformité. La décision n^o 768/2008/CE du Parlement européen et du Conseil(³⁰) établit des modules pour l’évaluation de la conformité, dont les procédures sont proportionnées au risque encouru et au niveau de sécurité requis. Afin d’assurer la cohérence entre les secteurs et d’éviter une multiplication de variantes ad hoc, des procédures adéquates devraient être fondées sur ces modules afin de vérifier la conformité des produits comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Les procédures d’évaluation de la conformité devraient examiner et vérifier les exigences relatives aux produits et aux processus couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques, y compris la planification, la conception, le développement ou la production, les essais et l’entretien du produit comportant des éléments numériques.

Considérant 91 Conformity assessment procedure modules

L’évaluation de la conformité des produits comportant des éléments numériques qui ne sont pas répertoriés dans le présent règlement en tant que produits importants ou critiques comportant des éléments numériques peut être effectuée par le fabricant sous sa propre responsabilité, conformément à la procédure de contrôle interne fondée sur le module A de la décision 768/2008/CE, conformément au présent règlement. Cela s’applique également aux cas où un fabricant choisit de ne pas appliquer, en tout ou en partie, une norme harmonisée, une spécification commune ou un schéma européen de certification de cybersécurité applicable. Le fabricant conserve la possibilité de choisir une procédure d’évaluation de la conformité plus stricte faisant intervenir un tiers. Dans le cadre de la procédure d’évaluation de la conformité par contrôle interne, le fabricant assure et déclare sous sa seule responsabilité que le produit comportant des éléments numériques et les procédés du fabricant satisfont aux exigences essentielles de cybersécurité applicables définies dans le présent règlement. Si un produit important comportant des éléments numériques relève de la classe I, une assurance supplémentaire est requise pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. Le fabricant devrait appliquer des normes harmonisées, des spécifications communes ou des schémas européens de certification de cybersécurité adoptés conformément au règlement (UE) 2019/881, répertoriés par la Commission dans un acte d’exécution, s’il souhaite effectuer l’évaluation de la conformité sous sa propre responsabilité (module A). Si le fabricant n’applique pas ces normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité, il devrait se soumettre à une évaluation de la conformité par un tiers (sur la base des modules B et C ou du module H). Compte tenu de la charge administrative pesant sur les fabricants et du fait que la cybersécurité joue un rôle important dans la phase de conception et de développement des produits matériels et immatériels comportant des éléments numériques, les procédures d’évaluation de la conformité fondées respectivement sur les modules B et C ou du module H de la décision 768/2008/CE ont été retenues comme étant les plus appropriées pour évaluer de manière proportionnée et efficace la conformité des produits importants comportant des éléments numériques. Le fabricant qui fait procéder à l’évaluation de conformité par un tiers peut choisir la procédure qui convient le mieux à son processus de conception et de production. Compte tenu du risque de cybersécurité encore plus grand lié à l’utilisation de produits importants comportant des éléments numériques qui relèvent de la classe II, l’évaluation de la conformité de ces produits devrait toujours prévoir l’intervention d’un tiers, même lorsque le produit est conforme, en tout ou en partie, à des normes harmonisées, à des spécifications communes ou à des schémas européens de certification de cybersécurité. Les fabricants de produits importants comportant des éléments numériques répondant aux critères de logiciels libres et ouverts devraient pouvoir suivre la procédure de contrôle interne basée sur le module A, à condition de mettre la documentation technique à la disposition du public.

Considérant 92 Definition of 'production' for software (or non-tangible) products

Si la création de produits matériels comportant des éléments numériques nécessite généralement des efforts substantiels de la part des fabricants tout au long des phases de conception, de développement et de production, la création de produits comportant des éléments numériques sous la forme de logiciels se concentre presque exclusivement sur la conception et le développement, tandis que la phase de production joue un rôle mineur. Néanmoins, dans de nombreux cas, les produits logiciels doivent encore être compilés, construits, conditionnés, mis à disposition pour téléchargement ou copiés sur des supports physiques avant leur mise sur le marché. Ces activités devraient être assimilées à des activités de production lors de l’application des modules d’évaluation pertinents pour vérifier la conformité du produit aux exigences essentielles de cybersécurité énoncées dans le présent règlement au cours des phases de conception, de développement et de production.

Considérant 96 Reasonable fees for conformity assessments

Afin de garantir la proportionnalité, il convient que les organismes d’évaluation de la conformité, lorsqu’ils fixent les redevances imposées pour les procédures d’évaluation de la conformité, tiennent compte des intérêts et besoins spécifiques des microentreprises et des petites et moyennes entreprises, y compris les jeunes pousses. En particulier, il convient que les organismes d’évaluation de la conformité n’appliquent la procédure d’examen et les essais pertinents prévus dans le présent règlement que lorsqu’il y a lieu et suivant une approche fondée sur les risques.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.