Les entreprises sont de plus en plus connectées, un atout précieux mais qui comporte également de nouveaux risques liés aux attaques de pirates informatiques. L'Union Européenne a ainsi introduit un certain nombre de dispositions visant à renforcer les mesures de protection en matière de sécurité.
Besoin d’un conseil ?
Laissez-nous vos coordonnées afin qu’on puisse vous rappeler.
Je veux être contacté par un expertL'Union Européenne renforce la réglementation en matière de cybersécurité.
La cybersécurité est de plus en plus régulièrement au cœur de l’actualité. Les attaques menées par des pirates informatiques sont de plus nombreuses. L’Agence Nationale de la Sécurité des systèmes fait ainsi état de 143 signalements d’attaques par rançongiciels en 2023, contre 109 en 2022. On constate aussi que ces attaques peuvent concerner tous types d’acteurs, de la TPE jusqu’à la grande entreprise stratégique. En parallèle l'industrie tend à multiplier les usages de nouvelles technologies : équipements connectés, robots collaboratifs, ou encore solutions basées sur l'intelligence artificielle.
Dans ce contexte, l’Europe a pris un certain nombre de mesures depuis 2016. Les directives NIS1 et NIS2 introduisent par exemple un système de management de la cybersécurité pour les entreprises.
Concernant les produits :
- La directive équipements radioélectriques a été mise à jour avec des exigences de cybersécurité applicable depuis le 1er août 2024
- Le règlement machines et produit connexes (UE) 2023/1230 qui sera applicable au 20 janvier 2027 introduit un certain nombre d’exigences liés à la corruption
Le règlement Cybersécurité (UE) 2024/2847 du 23 octobre 2024 introduit des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques applicable au 11 décembre 2027.
Quelles obligations introduisent le nouveau règlement machines et le règlement cybersécurité ?
Le règlement cybersécurité définit la liste des exigences essentielles de cybersécurité et la liste des produits suivant deux classes dans son annexe III. La classe I (Microprocesseurs dotés de fonctionnalités liées à la sécurité, Systèmes d’exploitation, …) et la classe II (Pare-feu, systèmes de détection et de prévention des intrusions, …) pour les produits hautement critiques. Pour les matériels de classe I ou II, il sera nécessaire de faire procéder à l’intervention d’un organisme notifié pour l’évaluation du produit voire de réaliser une procédure d’autocertification s’il existe une norme harmonisée.
Les machines qui comportent des éléments numériques sont soumis à l’application du règlement cybersécurité et du règlement machine. Le fabricant sera tenu d’appliquer les procédures de certification de chaque règlement.
Comment respecter les exigences du règlement machine / cybersécurité ?
Le fabricant devra faire une évaluation du risque cybersécurité (règlement cybersécurité) et vérifier que cela n’a pas d’impact sur l’évaluation des risques sécurité (règlement machines). Il pourra appliquer des normes harmonisées ou d’autres spécifications techniques répondant aux exigences essentielles de cybersécurité/ santé-sécurité, définies comme pertinentes à la suite de l’évaluation des risques.
Exigences réglementaires
Evaluation des risques de cybersécurité
Existe-t-il des normes spécifiques traitant du risque de corruption (cybersécurité) pour les machines ?
A l’heure actuelle, il n’existe pas de norme ou d’ensemble de normes harmonisées traitant du risque de corruption (cybersécurité) pour les machines. Ce risque est par exemple évoqué dans la norme NF EN CEI 62061:2021, mais elle ne fixe pas d’objectif et renvoie seulement à un rapport technique de l’ISO. Des normes de process existent, comme la série de normes CEI 62443 « Réseaux de communication industriels – sécurité informatique des réseaux et des systèmes ». Elles ne concernent pas directement les machines et ne sauraient être utilisables en l’état pour les machines.
La Commission Européenne a décidé de créer un groupe de travail piloté par le comité technique du CENELEC pour développer une norme qui permettra de répondre aux exigences essentielles de santé et de sécurité du règlement machines. Le projet de norme PR NF EN 50742 devrait être basé notamment sur des éléments des normes CEI 62443. Elle développera la démarche d’analyse des risques de sécurité pour les machines ou leurs composants sur la base de la norme ISO 12100 en lien avec l’analyse de risque cybersécurité. L’AFNOR pilote le groupe de travail Français au sein de la commission UF44 Sécurité des machines - Aspects électrotechniques.
En parallèle l’UNM (Union de Normalisation de la Mécanique) par la commission UNM45 sécurité des machines principes généraux devrait établir un guide technique.
Existe-t-il des normes spécifiques traitant du risque de corruption (cybersécurité) pour les machines ?
A l’heure actuelle, il n’existe pas de norme ou d’ensemble de normes harmonisées traitant du risque de corruption (cybersécurité) pour les machines. Ce risque est par exemple évoqué dans la norme NF EN CEI 62061:2021, mais elle ne fixe pas d’objectif et renvoie seulement à un rapport technique de l’ISO. Des normes de process existent, comme la série de normes CEI 62443 « Réseaux de communication industriels – sécurité informatique des réseaux et des systèmes ». Elles ne concernent pas directement les machines et ne sauraient être utilisables en l’état pour les machines.
La Commission Européenne a décidé de créer un groupe de travail piloté par le comité technique du CENELEC pour développer une norme qui permettra de répondre aux exigences essentielles de santé et de sécurité du règlement machines. Le projet de norme PR NF EN 50742 devrait être basé notamment sur des éléments des normes CEI 62443. Elle développera la démarche d’analyse des risques de sécurité pour les machines ou leurs composants sur la base de la norme ISO 12100 en lien avec l’analyse de risque cybersécurité. L’AFNOR pilote le groupe de travail Français au sein de la commission UF44 Sécurité des machines - Aspects électrotechniques.
En parallèle l’UNM (Union de Normalisation de la Mécanique) par la commission UNM45 sécurité des machines principes généraux devrait établir un guide technique.
SOCOTEC accompagne fabricants et exploitants sur la conformité des machines.
SOCOTEC accompagne les fabricants de machines mais aussi les exploitants à veiller à la bonne conformité de leurs machines et anticiper les nouvelles exigences réglementaires liées à la thématique de la cybersécurité.
Besoin d’un conseil ?
Laissez-nous vos coordonnées afin qu’on puisse vous rappeler.
Je veux être contacté par un expertVous pourriez également aimer
Ajouter un commentaire