Quelles sont les catégories de produits selon le Cyber Resilience Act ?
Réponse directe
Le Règlement sur la cyberrésilience classe les produits en quatre groupes selon le risque : par défaut (autoévaluation), important classe I et important classe II (parcours renforcés), et critique (certification obligatoire). La classification suit la fonction principale du produit, et lorsque plusieurs classes sont possibles, la plus stricte s'applique.
Key Facts
- Par défaut : la majorité des produits ; autoévaluation (module A).
- Important classe I (ex. gestionnaires de mots de passe, VPN, gestion réseau) : normes harmonisées ou organisme tiers.
- Important classe II (ex. systèmes d'exploitation, pare-feu, microprocesseurs) : évaluation par un organisme tiers.
- Critique (ex. compteurs intelligents, cartes à puce, éléments sécurisés) : certification obligatoire.
- Catégories définies aux annexes III et IV ; en cas de chevauchement, la classe la plus stricte prévaut (art. 6, 7).
Le parcours de conformité dépend de la catégorie de risque du produit (art. 6, 7 ; annexes III, IV). La classification suit la fonctionnalité principale du produit, et non chaque fonctionnalité qu'il intègre ; lorsque plusieurs catégories sont envisageables, la plus stricte prévaut. - **Par défaut** -- la majorité des produits comportant des éléments numériques ; le fabricant procède à une autoévaluation (module A). - **Important, classe I** -- par exemple les gestionnaires de mots de passe, la gestion réseau et les VPN ; conformité via normes harmonisées ou un organisme tiers. - **Important, classe II** -- par exemple les systèmes d'exploitation, les pare-feu et les microprocesseurs ; évaluation par un organisme tiers. - **Critique** -- par exemple les compteurs intelligents, les cartes à puce et les éléments sécurisés ; certification obligatoire.