La Commission européenne a récemment annoncé dans son Journal officiel (JO) que la série de normes EN 18031 avait été intégrée à la directive sur les équipements radioélectriques (directive 2014/53/UE) en tant que normes harmonisées. Cette décision vise à mieux encadrer les exigences de cybersécurité des équipements radioélectriques, améliorant ainsi la conformité et la sécurité des appareils entrant sur le marché de l'UE.
Étant donné que les exigences de cybersécurité décrites dans la série en 18031 deviendront obligatoires à partir du 1er août 2025, cela représente un changement important pour les fabricants d’équipements sans fil.
La série de normes EN 18031 a été élaborée conjointement par le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC), principalement axée sur les exigences de cybersécurité des équipements radio. L'inclusion de cette série marque une étape cruciale dans les efforts déployés par l'UE pour renforcer la cybersécurité des équipements radio, en fournissant aux fabricants un cadre technique clair tout en simplifiant le processus d'entrée sur le marché européen.
La série de normes EN 18031 comprend trois parties, chacune traitant de différents types d'équipements radio et de leurs exigences de sécurité. En 2022, la Commission européenne a également introduit des exigences de cybersécurité en vertu de l'article 3(3) de la directive.
EN 18031-1:2024
- Champ d'application : Équipements radio connectés à Internet.
- Exigences de conformité : Doit satisfaire aux exigences de base de l'article 3(3)(d) de la directive sur les équipements radio, qui introduit des mesures de cybersécurité pour « prévenir les dommages au réseau et la dégradation des services ».
- Portée : Comprend les appareils connectés à Internet, les équipements de puériculture, les jouets et les appareils portables.
- Exigences de conformité : Doit satisfaire aux exigences de base de l'article 3(3)(e) de la directive sur les équipements radioélectriques, introduisant des mesures de cybersécurité pour « protéger les données personnelles et la vie privée des utilisateurs ».
- Champ d'application : Équipement radio manipulant de la monnaie virtuelle ou de la valeur monétaire.
- Exigences de conformité : Doit satisfaire aux exigences de base de l'article 3(3)(f) de la directive sur les équipements radio, introduisant des mesures de cybersécurité pour « prévenir la fraude dans les appareils sans fil manipulant de la monnaie virtuelle ».
- Si les utilisateurs ne sont pas autorisés à définir ou à utiliser de mots de passe (sections 6.2.5.1 et 6.2.5.2), l'appareil ne répond pas aux exigences de l'article 3(3)(d) de la directive.
- Les sections « justification » et « orientations » de la norme ne fournissent pas de présomption de conformité aux exigences fondamentales de l’article 3(3)(d).
- Si les utilisateurs ne sont pas autorisés à définir ou à utiliser de mots de passe (sections 6.2.5.1 et 6.2.5.2), l'appareil ne répond pas aux exigences de l'article 3(3)(e).
- Pour les appareils spécifiques tels que les équipements pour enfants, si le contrôle d'accès des parents ou du tuteur n'est pas assuré (par exemple, section 6.1.3.4.2), l'appareil n'est pas conforme à l'article 3(3)(e).
- Les sections « justification » et « orientations » ne fournissent pas de présomption de conformité avec l’article 3(3)(e).
- Si les utilisateurs ne sont pas autorisés à définir ou à utiliser de mots de passe (sections 6.2.5.1 et 6.2.5.2), l'appareil ne répond pas aux exigences de l'article 3(3)(f).
- La section 6.3.2.4 décrit les critères d'évaluation des mises à jour de sécurité, en énumérant quatre catégories d'implémentation différentes, dont les signatures numériques, les mécanismes de communication sécurisés et les mécanismes de contrôle d'accès. Cependant, aucune approche unique n'est suffisante pour évaluer la sécurité des actifs financiers.
Les fabricants de produits couverts par la norme EN 18031-3:2024 ne peuvent garantir la conformité à l'article 3(3)(f) sur la seule base de la conception du produit. Par conséquent, une évaluation de la conformité par un tiers est obligatoire.
- Les sections « justification » et « orientations » ne fournissent pas de présomption de conformité avec l’article 3(3)(f).
Ces restrictions indiquent que même si la série EN 18031 fournit un cadre de cybersécurité pour les équipements radio, certains appareils peuvent néanmoins ne pas répondre pleinement aux exigences essentielles de la directive sur les équipements radio dans les domaines suivants :
- Configuration et utilisation du mot de passe utilisateur.
- Contrôle d'accès parental ou tuteur pour les appareils des enfants.
- Évaluation de la sécurité des appareils manipulant de la monnaie virtuelle.
Pour les équipements radio partiellement conformes, non conformes ou dépourvus de normes harmonisées, le processus d’évaluation de la conformité doit impliquer un organisme notifié (ON) pour l’évaluation.
La mise en œuvre de la série EN 18031 incitera les fabricants à renforcer la cybersécurité de leurs appareils tout en offrant une meilleure garantie de sécurité aux utilisateurs. Ces normes contribueront également à réguler le marché européen des équipements radio et à renforcer la confiance des consommateurs dans les appareils sans fil.
Les exigences de cybersécurité RED étant applicables à compter du 1er août 2025, tous les produits entrant sur le marché de l'UE après cette date devront s'y conformer. Les fabricants doivent agir rapidement pour garantir leur conformité aux nouvelles exigences de cybersécurité.
1. Déterminer si les produits relèvent des clauses restreintes.
2. Documentez les mesures de sécurité supplémentaires.
3. Sélectionnez le parcours de certification approprié.
Le laboratoire JJR fournit des services complets de tests et d'évaluation pour aider les fabricants à répondre aux exigences de conformité en matière de cybersécurité.
24-hour online customer service at any time to respond, so that you worry!