- Le règlement (UE) n° 2025/138 renforce les exigences de cybersécurité pour les équipements radioélectriques connectés à Internet dans l'UE.
- Trois nouvelles normes harmonisées EN 18031-1 à EN 18031-3 ont été développées pour encadrer la sécurité des données et des transactions financières.
- L'autodéclaration de conformité CE est possible sous conditions strictes imposées par la Commission européenne et détaillées dans la décision (UE) 2025/138.
- Le règlement étend la directive RED pour inclure la protection de la vie privée, la sécurité contre les accès non autorisés et la sécurité des réseaux.
Les systèmes radio font désormais partie intégrante de notre quotidien, des appareils domestiques intelligents aux applications IoT industrielles. Cependant, l'augmentation de la connectivité accroît également le risque de cyberattaques et de failles de sécurité. Afin de mieux gérer ces risques, la Commission européenne a déjà adopté une nouvelle réglementation visant à renforcer la cybersécurité des équipements radio en 2021, dont la mise en œuvre sera obligatoire à partir d'août 2025.
Ce qui manquait jusqu'à présent, c'étaient les normes harmonisées répertoriées selon lesquelles l'industrie peut déclarer elle-même la conformité CE*. En janvier 2025, l'UE a finalement décidé de répertorier les normes EN 18031-1 à EN 18031-3** avec des restrictions.
* La conformité CE signifie qu'un produit répond aux réglementations et normes européennes applicables en matière de sécurité, de santé et de protection de l'environnement.
* La série de normes EN 18031 se compose de trois parties qui définissent les exigences communes en matière de sécurité pour les systèmes radio (connexion Internet, protection des données, transactions financières).
Entretien avec Olaf Wilmsmeier
1. Pourquoi les réglementations en matière de radio sont-elles révisées ?
La directive sur les équipements radioélectriques (directive 2014/53/UE, également connue sous le nom de RED) exige que les équipements radioélectriques dans l'UE répondent à certaines exigences en matière de santé, de sécurité, de compatibilité électromagnétique et d'efficacité du spectre.
Cependant, avec la numérisation et la mise en réseau, les appareils radio sont désormais bien plus que de simples émetteurs et récepteurs. Ils font partie de systèmes en réseau et sont donc des cibles potentielles pour les cyberattaques.
C'est précisément là qu'intervient le règlement (UE) 2022/30, qui définit des exigences supplémentaires en matière de cybersécurité pour certains équipements radio. Il s'agit notamment de la protection de la vie privée, de la sécurité des réseaux et de la protection contre les accès non autorisés.
Olaf Wilmsmeier - Fondateur et propriétaire
2. Pourquoi est-ce important selon l'UE ?
Avec la mise en réseau croissante des appareils, les risques augmentent également : les cyberattaques, l'utilisation abusive des données et les accès non autorisés ne sont que quelques-unes des menaces qui peuvent découler des failles de sécurité des équipements radio.
Les normes harmonisées créent un niveau de sécurité uniforme dans l'UE. Cela renforce la confiance des consommateurs et garantit que les appareils peuvent être utilisés en toute sécurité dans toute l'UE.
3. Quels changements l'ajout de la cybersécurité à la RED va-t-il entraîner ?
Lorsque les exigences du règlement européen entreront en vigueur, les exigences en matière de cybersécurité seront élargies et, pour simplifier, adaptées à l'état actuel de la technique. L'extension de la RED comprend trois nouvelles sous-sections au chapitre 3(3) :
S'applique à tous les équipements radioélectriques relevant des dispositions de la RED et connectés à Internet.
S'applique à tous les équipements radioélectriques relevant de la RED, connectés à Internet et traitant des données à caractère personnel et/ou des données de localisation.
S'applique à tous les équipements radioélectriques relevant de la RED, connectés à Internet et échangeant et traitant des informations sur des transferts d'argent ou des fonctions de paiement.
En conséquence, trois nouvelles normes EN ont été élaborées sous l'égide du CEN/CENLEC, qui a reçu le mandat de normalisation.
EN 18031-1 pour le chapitre 3(3) (d)
EN 18031-2 pour le chapitre 3(3) (e)
EN 18031-3 pour le chapitre 3(3) (f)
* Le CEN (Comité européen de normalisation) et le CENELEC (Comité européen de normalisation électrotechnique) sont deux organismes européens de normalisation chargés de l'élaboration et de l'harmonisation des normes techniques en Europe.
4. Quels défis découlent des nouvelles normes EN et de la conformité CE à la suite des restrictions imposées par la Commission européenne ?
Malgré cette subdivision, la masse des équipements radioélectriques et des applications couverts par les différents chapitres et normes reste importante. Cela a également posé des problèmes considérables au CEN/CENLEC lors de la rédaction des normes.
Les nouvelles normes EN peuvent être utilisées pour l'autodéclaration de conformité CE si les quatre restrictions annoncées par la Commission européenne sont respectées.
La première restriction, selon laquelle les exemples et les explications supplémentaires fournis dans les normes ne peuvent être utilisés pour déclarer la conformité CE, est certainement facile à prendre en compte.
Les trois autres restrictions nécessitent davantage d'attention. Toutes les restrictions sont énumérées par l'UE dans la décision (UE) 2025/138 et expliquées plus en détail dans un document distinct intitulé « lignes directrices non contraignantes ».
