C'est officiel: à partir du 1er août 2025, tous les équipements radio placés sur le marché de l'Union européenne (UE) qui relèvent de la portée de la loi déléguée (2022/30) à la directive sur l'équipement radio (2014/53 / UE) doivent se conformer aux exigences améliorées de cybersécurité pour continuer avec le marquage CE . Ces mesures sont conçues pour renforcer la protection des données personnelles, assurer l'intégrité du réseau et prévenir l'activité frauduleuse dans un paysage numérique de plus en plus connecté. Des exceptions spécifiques de conformité sont autorisées si les fabricants peuvent répondre aux exigences définies dans les normes harmonisées EN 18031-1, EN 18031-2 et EN 18031-3 , selon le cas.
Initialement prévu pour l'application du 1er août 2024, la date limite a été prolongée d'un an pour permettre un délai supplémentaire pour le développement des normes harmonisées et la planification de la mise en œuvre. Cependant, les fabricants sont fortement encouragés à se déplacer rapidement. La préparation maintenant à la conformité aidera à atténuer le risque de refonte coûteuse à un stade avancé et à assurer une entrée plus fluide dans l'environnement réglementaire en évolution de l'UE.
Quels appareils relèvent de la portée de la cybersécurité rouge de l'UE?
Il est important de noter que tous les appareils radio ne relèvent pas de l'UE rouge. La conformité à la cybersécurité n'est requise que pour les appareils suivants:
- Électronique grand public connectée à Internet. g. téléphones mobiles, tablettes, caméras et téléviseurs intelligents
- Appareils compatibles IoT. g. Des pôles de maison intelligente, des technologies portables et des jouets connectés
- Jouets, garderie et équipement de sécurité.g. Bébé moniteurs et trackers GPS
- Équipement radio industriel et sous-ensembles électroniques automobiles sans fil qui se connectent aux réseaux
- Tout appareil capable de communication radio et de connectivité Internet
Les dispositifs suivants peuvent être complètement exclus ou recevoir des exceptions de certains articles rouges de l'UE en raison d'être régis par des réglementations au sein de leurs industries respectives.
- Entièrement exclu: dispositifs médicaux
- Exclu des articles 3 (3) (e) et (f):
- Aviation, véhicules à moteur et systèmes de péage de routes électroniques
- Des appareils radio hors ligne uniquement, comme les radios DAB ou les unités radar, qui ne sont pas connectées à Internet
Conformité rouge de l'UE pour les appareils existants
Les appareils qui circulent déjà sur le marché de l'UE peuvent être utilisés jusqu'à la fin de leur durée de vie à condition qu'il n'y ait pas de spécifications directement liées aux problèmes de sécurité potentiels. Tous les produits radio individuels placés sur le marché de l'UE après le 1er août devront se conformer aux dernières exigences, qu'elles fassent ou non une partie d'une série de produits préexistante.
Comment la mise à jour rouge de l'UE traite des menaces de cybersécurité
Avec des appareils quotidiens tels que les smartphones, les modules IoT industriels et même les jouets entrant dans l'écosystème radio, les risques de cybersécurité sont plus élevés que jamais. En réponse, la Commission européenne a activé les articles 3 (3) (d), (e) et (f) de la directive sur l'équipement radio (rouge):
Article 3.3 (d) - L'équipement radio ne nuise pas au réseau ou à ses ressources de réseau de fonctionnement ni à une mauvaise utilisation, provoquant ainsi une dégradation inacceptable du service.
Exemple: Implémentation de stratégies de limitation du débit de données et de revers lors des mises à jour du micrologiciel ou de la récupération des erreurs pour éviter les réseaux d'inondation. Notez que cet article peut être rempli en répondant aux exigences de EN 18031-1.
Article 3.3 (e) - L'équipement radio intègre des garanties pour s'assurer que les données personnelles et la confidentialité de l'utilisateur et de l'abonné sont protégées.
Exemple: Protégez la confidentialité des utilisateurs en cryptant les communications cloud, en minimisant la collecte de données inutile et en sécurisant des données stockées. Notez que cet article peut être rempli en répondant aux exigences de EN 18031-2.
Article 3.3 (f) - L'équipement radio prend en charge certaines fonctionnalités garantissant la protection contre la fraude.
Exemple: le déploiement de mécanismes anti-fraude tels que le démarrage sécurisé, la signature cryptographique du micrologiciel et l'authentification des utilisateurs peuvent empêcher les appareils d'être exploités à des fins malveillantes. Notez que cet article peut être rempli en répondant aux exigences de EN 18031-3.
Appareils connectés à Internet vs hors ligne
Les appareils radio peuvent être exemptés de certains articles de l'UE Red selon qu'ils soient ou non de la connexion Internet:
- Les appareils connectés à Internet doivent prendre en charge le cryptage, les mécanismes d'authentification sécurisés et les mises à jour logicielles sécurisées pour se prémunir contre la fraude et les violations de données.
- Les dispositifs radio non connectés à l'internet sont largement exemptés des articles 3 (3) (E) et (F). Cependant, la conformité à l'article 3, paragraphe 3, d) peut être nécessaire pour l'intégrité du réseau s'ils interagissent avec d'autres appareils ou systèmes.
Appareils sans mot de passe
Les appareils sans informations d'identification sédable des utilisateurs - tels que Bluetooth ou les capteurs passifs - ne sont pas exemptés des exigences de cybersécurité dans le cadre de l'UE Red. Dans ces cas, les fabricants doivent mettre en œuvre d'autres garanties techniques pour démontrer que l'appareil ne peut pas être exploité ou reprogrammé à des fins malveillantes, même en l'absence d'un mot de passe traditionnel. L'auto-déclaration du marquage CE pour de tels appareils n'est pas autorisée et nécessitera plutôt une implication d'un organisme notifié.
Des exemples de telles garanties comprennent:
- Identificateurs de périphériques uniques pour le couple ou le contrôle du micrologiciel
- Par défaut sécurisés préconfigurés qui ne peuvent pas être facilement exploités
- Mécanismes de démarrage sécurisés ou chemins de mise à jour du micrologiciel restreint
EN Plus est CE Red EN18031 certifié pour la cybersécurité.
Avec un fort accent sur le développement sécurisé et les tests précoces des produits de la station de charge, EN Plus est désormais certifié en 18031 Cybersécurité rouge, ce qui permet aux produits de répondre facilement aux normes de sécurité, de confidentialité et de cyber-résilience plus élevées.EN Plus propose des solutions de charge axées sur le monde pour vous donner la tranquillité d'esprit et la liberté au sein de l'Union européenne.