- À partir d'août 2025, tous les appareils radio connectés à Internet doivent respecter des exigences contraignantes de cybersécurité pour obtenir le marquage CE.
- La directive RED étendue couvre une large gamme d’appareils, incluant lecteurs RFID, imprimantes, capteurs, smartphones, et divers objets IoT.
- Il n’existe pas encore de normes harmonisées complètes, obligeant les fabricants à collaborer avec des organismes notifiés pour la validation de conformité.
- Les fabricants doivent débuter dès aujourd’hui la mise en œuvre des exigences, sous peine d’exclusion du marché européen.
À compter d'août 2025, l'extension de la directive européenne sur les équipements radioélectriques (RED) en matière de cybersécurité introduit des exigences de sécurité contraignantes pour tous les appareils radio connectés à Internet qui souhaitent obtenir la certification CE. Dans cette interview, Olaf Wilmsmeier (Wilmsmeier Solutions) explique les implications pour les fabricants d'appareils et de composants dans tous les secteurs, y compris les lecteurs RFID, les imprimantes, les capteurs et les appareils IoT. Les nouvelles réglementations imposent une conception, une documentation et une analyse des risques sécurisées, malgré l'absence de normes harmonisées définitives. Les fabricants sont invités à agir rapidement, car tout retard dans l'adaptation pourrait empêcher l'accès au marché au sein de l'UE.
Cybersécurité : exigences pour les fabricants d'appareils en vue du marquage CE
L'extension de la directive sur les équipements radioélectriques (RED) à la cybersécurité entrera en vigueur en août 2025. La RED stipule que les équipements radioélectriques doivent répondre à certaines exigences pour obtenir le marquage CE, qui certifie leur conformité aux normes européennes en matière de sécurité, de santé et d'environnement.
Ces nouvelles exigences s'appliquent aux lecteurs, aux imprimantes et aux étiqueteuses.
Une telle réglementation pour une large gamme d'appareils est unique et revêt donc une grande importance. La Commission européenne a adopté les actes juridiques correspondants. Les nouvelles exigences de l'UE en matière de cybersécurité concernent aussi bien les fabricants de composants que les fabricants d'appareils et impliquent des exigences et des obligations spécifiques.
En collaboration avec l'Office fédéral pour la sécurité informatique (BSI), le ministre fédéral de l'Intérieur et de la Communauté (BMI) a récemment présenté le rapport fédéral sur la cybercriminalité pour 2023 et a clairement indiqué que la cybercriminalité devait être combattue avec plus de vigueur. L'étude fait état d'une augmentation de 28 % de la cybercriminalité au cours de la période étudiée.
Entretien avec Olaf Wilmsmeier
1. Quelles mesures spécifiques les fabricants de composants et d'appareils doivent-ils prendre pour se conformer aux nouvelles exigences en matière de cybersécurité ?
À l'avenir, les fabricants de composants et d'appareils devront s'assurer que leurs produits répondent aux nouvelles exigences en matière de cybersécurité afin d'être conformes à la norme CE. L' e de l'IoT et la numérisation croissante ont rendu cette évolution nécessaire.
Cela signifie que vous devez dès aujourd'hui commencer à revoir votre gamme de produits au regard des nouvelles exigences. Vous devez identifier et combler les failles de sécurité afin de rendre les cyberattaques plus difficiles, voire de les empêcher. Cela inclut également la documentation complète de ce processus.
Les fabricants d'appareils ne doivent pas sous-estimer le temps nécessaire à ce processus. Le temps disponible pour la mise en œuvre est certainement déjà très limité, surtout si des modifications logicielles ou même matérielles doivent être apportées.
Une large gamme d'appareils
« L'un des problèmes est qu'il est difficile de définir clairement ces normes pour tous les cas d'utilisation, avec un critère clair oui/non. Par exemple, comment définir aujourd'hui des spécifications concrètes pour un mot de passe qui seront encore valables dans un an ? Les exigences en matière de cybersécurité évoluent relativement rapidement.
De plus, la gamme d'appareils et de cas d'utilisation concernés par l'extension de la RED est très large. C'est pourquoi une approche axée sur les processus est privilégiée, qui permet de vérifier la mise en œuvre au moment de la déclaration de conformité CE par rapport à l'état actuel de la technologie et au cas d'utilisation. »
Motivation de l'UE
2. Pourquoi la RED est-elle étendue en matière de cybersécurité ? Quelle est la motivation de l'UE pour lutter contre la cybercriminalité ?
Trois nouveaux paragraphes ont été ajoutés à l'article 3, paragraphe 3, de la directive sur les équipements radioélectriques concernant la cybersécurité. La Commission européenne poursuit cette extension pour plusieurs raisons.
Premièrement, la mise en réseau et la numérisation croissantes des appareils ont entraîné une vulnérabilité accrue aux cyberattaques. Ces attaques peuvent non seulement causer des dommages économiques considérables, mais aussi compromettre la sécurité et la vie privée des utilisateurs.
Deuxièmement, en élargissant le champ d'application de la RED, la Commission européenne souhaite garantir que tous les équipements radioélectriques mis sur le marché européen offrent un niveau élevé de cybersécurité. Cela est nécessaire afin de renforcer la confiance des consommateurs dans les technologies numériques et de promouvoir un marché unique numérique sécurisé.
La Commission européenne souhaite donc renforcer la sécurité et la fiabilité des appareils connectés, garantir la protection des consommateurs et, dans le même temps, améliorer la compétitivité de l'industrie européenne sur le marché mondial.
Grâce à l'introduction de ces nouvelles exigences, tant les fabricants que les utilisateurs finaux devraient bénéficier d'une cybersécurité améliorée.
À quels appareils la RED s'applique-t-elle ?
3. La RED est cruciale pour la conformité CE des appareils radio. Quels sont les produits spécifiques concernés par l'extension ?
L'extension de la RED concerne les équipements radioélectriques connectés à Internet. En d'autres termes, les appareils qui sont connectés à Internet et qui contiennent une technologie radio sont soumis à la RED. Cela concerne également les produits d'identification automatique et les capteurs. La directive sur les équipements radioélectriques (RED) réglemente un grand nombre d'appareils qui utilisent des technologies radio.
Il s'agit notamment des lecteurs RFID, de tous les appareils compatibles WLAN tels que les smartphones, les tablettes, les téléviseurs, les points d'accès, les appareils qui communiquent via la technologie Bluetooth, tels que les scanners de codes-barres qui sont couplés à des tablettes via Bluetooth, les écouteurs, les haut-parleurs et les claviers, les microphones sans fil et les aides auditives, les systèmes sans fil dans les véhicules ou les capteurs, divers jouets et, bien sûr, d'autres appareils IoT.
La RED garantit que ces appareils répondent aux exigences de base en matière de sécurité, de compatibilité électromagnétique et d'utilisation efficace du spectre des fréquences radio. Avec l'ajout d'exigences en matière de cybersécurité, ces appareils doivent également répondre à des normes de sécurité appropriées afin d'être protégés contre les cyberattaques.
Exigences de la directive européenne sur les équipements radioélectriques (RED)
Exigences contraignantes en matière de cybersécurité
Amélioration de la sécurité des réseaux
Utilisation de composants sécurisés
Réduction du risque de fraude
Analyses des risques
Marquage CE
« J'invite vivement les fabricants d'appareils à commencer la mise en œuvre dès aujourd'hui ou, à tout le moins, à préparer les premières étapes. Soit mes produits sont conformes à la norme CE, soit ils ne le sont pas. Et s'ils ne sont plus conformes à la norme CE, ils ne peuvent plus être commercialisés dans l'UE. »
Organismes notifiés Soutien aux entreprises
4. Existe-t-il déjà des normes harmonisées qui définissent clairement les exigences spécifiques pour les produits concernés ?
Il n'existe pas encore de normes harmonisées, car elles sont encore en cours d'élaboration. Cela s'explique par le fait que ces normes, sous cette forme et dans cette mesure, constituent une nouveauté en matière de normalisation. Il existe bien sûr déjà des normes établies en matière de cybersécurité. Cependant, aucune des normes existantes ne couvre entièrement les exigences de l'extension RED en matière de cybersécurité.
Cela signifie que l'industrie peut actuellement préparer le test de conformité, mais qu'il n'existe toujours pas de norme harmonisée sur la base de laquelle la conformité CE elle-même peut être déclarée. La création de ces normes harmonisées prend beaucoup de temps, car il s'agit d'une nouveauté absolue sous cette forme.
Les experts du secteur travaillent d'arrache-pied depuis 2022 pour finaliser les normes harmonisées et ont tenté de mettre en œuvre toutes les exigences de l'UE. Malheureusement, l'état actuel de la norme doit être révisé en détail après consultation des experts de la Commission européenne.
Il est donc peu probable qu'elle soit publiée en tant que norme harmonisée cette année.
Les fabricants d'appareils peuvent bien sûr déjà s'adresser à des « organismes notifiés » qui peuvent examiner les documents soumis et décider si les exigences de l'UE ont été respectées.
Les organismes notifiés peuvent confirmer officiellement la conformité même en l'absence de norme harmonisée. Cette procédure doit être effectuée individuellement pour chaque produit et pourrait constituer un goulot d'étranglement en raison des ressources humaines limitées, car les experts dans ce domaine sont rares.
