UE CRA et SBOM

Le Parlement européen a approuvé le Règlement sur la résilience numérique de l'UE (CRA) le 12 mars.

‍Le Conseil devrait formaliser son adoption en avril. Par conséquent, le CRA est prêt à entrer en vigueur dans une transition progressive à partir de fin 2025.

‍Le CRA vise à protéger les consommateurs et les entreprises des produits ayant une sécurité insuffisante. Pour y parvenir, le CRA impose des obligations en matière de cybersécurité sur tous les produits ayant des éléments numériques (‘PDE’) vendus commercialement sur les marchés de l'UE.

‍Le PDE fait largement référence aux logiciels et aux dispositifs connectés.

‍Le CRA fixe des exigences pour ces produits afin de -

• Assurer la priorité à la sécurité tout au long du cycle de vie du produit

• Répondre à des exigences essentielles spécifiques en matière de cybersécurité

• Prévoir la gestion des vulnérabilités

• Fournir des mises à jour de sécurité tout au long du Cycle de Produit

• Notifier les incidents d'exploitabilité au CISRT dans les 24 heures

• Construire, maintenir et utiliser SBOM pour soumission interne et réglementaire