Article 8 Produits critiques comportant des éléments numériques

Summary What does Article 8 of the CRA regulation say?

This article deals specifically with the highest-risk tier of products with digital elements — those classified as "critical" and listed in Annex IV.

It builds directly on Article 7, which establishes the broader category of "important" products, by going a step further and granting the Commission the power to require that certain critical products obtain a formal European cybersecurity certificate (at assurance level "substantial" or above) rather than simply going through the standard conformity assessment procedures.

The Commission is also empowered to update Annex IV itself, adding or removing product categories as circumstances change.

Crucially, if no such delegated acts are adopted, the products in question fall back on the third-party conformity assessment procedures set out in Article 32(3).

Important points:

The Commission is empowered to determine which critical products (Annex IV) must obtain a European cybersecurity certificate, but only where a relevant certification scheme under Regulation (EU) 2019/881 already exists and is available to manufacturers.
Before acting, the Commission must assess potential market impact and consult relevant stakeholders, including the European Cybersecurity Certification Group, and account for Member States' readiness to implement the relevant scheme.
Any delegated acts adopted under this article must include a minimum transitional period of six months, unless imperative urgency justifies a shorter period.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour compléter le présent règlement afin de déterminer quels produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV du présent règlement doivent être tenus d’obtenir un certificat de cybersécurité européen au minimum au niveau d’assurance dit «substantiel» dans le cadre d’un schéma européen de certification de cybersécurité adopté en vertu du règlement (UE) 2019/881, afin de démontrer leur conformité aux exigences essentielles de cybersécurité énoncées à l’annexe I du présent règlement, ou à des parties de ces exigences, à condition qu’un schéma européen de certification de cybersécurité qui couvre ces catégories de produits comportant des éléments numériques ait été adopté en vertu du règlement (UE) 2019/881 et soit à la disposition des fabricants. Ces actes délégués précisent le niveau d’assurance nécessaire qui est proportionné au niveau de risque de cybersécurité associé aux produits comportant des éléments numériques et ils tiennent compte de l’utilisation prévue de ces produits, y compris la dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555.
2. Avant d’adopter ces actes délégués, la Commission procède à une évaluation des effets potentiels sur le marché des mesures envisagées, ainsi qu’à des consultations des parties intéressées, y compris le groupe européen de certification de cybersécurité institué au titre du règlement (UE) 2019/881. L’évaluation prend en considération l’état de préparation et le niveau des capacités des États membres pour la mise en œuvre du schéma européen de certification de cybersécurité pertinent. Lorsque aucun acte délégué tel que visé au premier alinéa du présent paragraphe n’a été adopté, les produits comportant des éléments numériques dont la fonctionnalité de base est celle d’une catégorie de produits qui figure à l’annexe IV sont soumis aux procédures d’évaluation de la conformité visées à l’article 32, paragraphe 3.
3. Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.
1. La Commission est habilitée à adopter des actes délégués conformément à l’article 61 pour modifier l’annexe IV en ajoutant ou en retirant des catégories de produits critiques comportant des éléments numériques. Lorsqu’elle fixe ces catégories de produits critiques comportant des éléments numériques et le niveau d’assurance requis, conformément au paragraphe 1 du présent article, la Commission tient compte des critères visés à l’article 7, paragraphe 2, et veille à ce que les catégories de produits critiques comportant des éléments numériques remplissent au moins l’un des critères suivants:
  1. il existe une dépendance critique d’entités essentielles visées à l’article 3 de la directive (UE) 2022/2555 à l’égard de la catégorie de produits comportant des éléments numériques;
  2. des incidents et des vulnérabilités exploitées concernant la catégorie de produits comportant des éléments numériques pourrait entraîner de graves perturbations de chaînes d’approvisionnement critiques du marché intérieur.
2. Avant d’adopter ces actes délégués, la Commission procède à une évaluation du même type que celle visée au paragraphe 1.
3. Les actes délégués visés au premier alinéa prévoient une période transitoire d’au moins six mois, à moins que des raisons d’urgence impérieuse ne justifient une période transitoire plus courte.

Relevant recitals

Considérant 10 Important and critical products

L’établissement d’exigences de cybersécurité des produits comportant des éléments numériques aux fins de leur mise sur le marché vise à renforcer la cybersécurité de ces produits, tant pour les consommateurs que pour les entreprises. Ces exigences garantiront, en outre, que la cybersécurité est intégrée à tous les stades des chaînes d’approvisionnement, rendant ainsi plus sûrs les produits finaux comportant des éléments numériques et leurs composants. Parmi ces exigences figurent également des exigences de mise sur le marché applicables aux produits de consommation destinés aux consommateurs vulnérables, tels que les jouets ou les systèmes de surveillance pour bébé. Les produits de consommation comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme des produits importants comportant des éléments numériques présentent un risque de cybersécurité plus élevé car leur fonction comporte un risque important d’effets néfastes du fait de leur intensité et de leur capacité à perturber, contrôler ou endommager un grand nombre d’autres produits ou à porter atteinte à la santé, à la sécurité ou à la sûreté de leurs utilisateurs; aussi ces produits devraient-ils faire l’objet d’une procédure plus stricte d’évaluation de la conformité. Cela s’applique aux produits tels que les produits domestiques intelligents comportant des fonctionnalités de sécurité, y compris les serrures intelligentes, les systèmes de surveillances pour bébés et les systèmes d’alarme, les jouets connectés ou les dispositifs portables personnels de santé. En outre, les procédures d’évaluation de la conformité plus strictes auxquelles sont soumis les produits comportant des éléments numériques qui sont catégorisés, en vertu du présent règlement, comme produits critiques ou importants comportant des éléments numériques contribueront à prévenir les répercussions négatives que l’exploitation de vulnérabilités pourrait avoir sur les consommateurs.

Considérant 46 Critical products

Les catégories de produits critiques comportant des éléments numériques énoncées dans le présent règlement ont une fonctionnalité liée à la cybersécurité et remplissent une fonction qui comporte un risque important d’effets néfastes quant à son intensité et à sa capacité à perturber, contrôler ou endommager un grand nombre d’autres produits avec éléments numériques par le biais d’une manipulation directe. En outre, ces catégories de produits comportant des éléments numériques sont considérées comme des dépendances critiques pour les entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. Les catégories de produits critiques comportant des éléments numériques figurant en annexe du présent règlement, en raison de leur criticité, reposent déjà largement sur diverses formes de certification et relèvent également du schéma européen de certification de cybersécurité fondé sur des critères communs (EUCC) défini dans le règlement d’exécution (UE) 2024/482 de la Commission(²⁰). Par conséquent, afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité des produits critiques comportant des éléments numériques, il pourrait être approprié et proportionné de soumettre ces catégories de produits, par voie d’un acte délégué, à une certification européenne de cybersécurité obligatoire lorsqu’un schéma européen de certification de cybersécurité pertinent couvrant ces produits est déjà en place et qu’une évaluation des effets potentiels sur le marché de la certification obligatoire envisagée a été réalisée par la Commission. Cette évaluation devrait tenir compte à la fois de l’offre et de la demande, et y compris de l’existence d’une demande, de la part des États membres et des utilisateurs pour les produits comportant des éléments numériques concernés, qui soit suffisante pour exiger une certification européenne de cybersécurité, ainsi que les finalités pour lesquelles les produits comportant des éléments numériques sont destinés à être utilisés, y compris la dépendance critique à leur égard des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555. L’évaluation devrait également analyser les effets potentiels de la certification obligatoire sur la disponibilité de ces produits sur le marché intérieur, ainsi que les capacités et l’état de préparation des États membres pour la mise en œuvre des schémas européens de certification de cybersécurité.

Considérant 47 Mandatory European cybersecurity certification

Les actes délégués exigeant une certification européenne de cybersécurité obligatoire devraient déterminer les produits comportant des éléments numériques qui ont la fonctionnalité essentielle d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qui doivent faire l’objet d’une certification obligatoire, ainsi que le niveau d’assurance requis, lequel devrait être au moins «substantiel». Le niveau d’assurance requis doit être proportionnel au niveau de risque de cybersécurité associé au produit comportant des éléments numériques. Par exemple, lorsque le produit comportant des éléments numériques possède les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement et qu’il est destiné à être utilisé dans un environnement sensible ou critique, comme les produits destinés à être utilisés par des entités essentielles telles que visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555, il peut nécessiter le niveau d’assurance le plus élevé.

Considérant 48 Updates to categories of critical products

Afin d’assurer, dans l’Union, une protection adéquate commune sur le plan de la cybersécurité des produits comportant des éléments numériques qui ont les fonctionnalités essentielles d’une catégorie de produits critiques comportant des éléments numériques définie dans le présent règlement, il convient également de conférer à la Commission le pouvoir d’adopter des actes délégués pour modifier le présent règlement en y ajoutant ou en en retirant des catégories de produits critiques comportant des éléments numériques pour lesquels les fabricants pourraient être tenus d’obtenir un certificat européen de cybersécurité dans le cadre d’un schéma européen de certification de cybersécurité en application du règlement (UE) 2019/881 afin de démontrer leur conformité avec le présent règlement. Une nouvelle catégorie de produits critiques comportant des éléments numériques peut être ajoutée à ces catégories s’il existe une dépendance critique à leur égard d’entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 ou, s’ils sont touchés par des incidents ou contiennent des vulnérabilités exploitées, si cela pourrait entraîner des perturbations pour les chaînes d’approvisionnement critiques. Lorsqu’elle évalue la nécessité d’ajouter ou de retirer des catégories de produits critiques comportant des éléments numériques par voie d’un acte délégué, la Commission devrait pouvoir tenir compte du fait que les États membres ont recensé, au niveau national, les produits comportant des éléments numériques qui jouent un rôle critique pour la résilience des entités essentielles visées à l’article 3, paragraphe 1, de la directive (UE) 2022/2555 et qui sont de plus en plus confrontés à des cyberattaques dans la chaîne d’approvisionnement, avec des effets perturbateurs potentiels graves. Il convient par ailleurs que la Commission puisse tenir compte des résultats des évaluations coordonnées au niveau de l’Union des risques pour la sécurité des chaînes d’approvisionnement critiques effectuées conformément à l’article 22 de la directive (UE) 2022/2555.

Considérant 81 Voluntary European cybersecurity certification framework

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.