Le 27 octobre 2023, le Journal officiel de l'Union européenne a publié un amendement au règlement d'autorisation RED (UE) 2022/30, dans lequel la description de la date du délai de mise en œuvre obligatoire à l'article 3 a été mise à jour au 1er août 2025.
Le règlement d'autorisation RED (UE) 2022/30 est un journal officiel de l'Union européenne qui stipule que les fabricants de produits concernés doivent prendre en compte les exigences de cybersécurité de la directive RED, à savoir RED 3(3) (d), RED 3( 3) (e) et RED 3(3) (f), dans leur référence et leur production.
Article 3.3(d) : les équipements radio ne nuisent pas au réseau ou à son fonctionnement et n'utilisent pas à mauvais escient les ressources du réseau, provoquant ainsi une dégradation inacceptable du service.
Cette clause est applicable aux équipements qui se connectent à Internet, directement ou indirectement.
L'équipement radio de l'article 3.3(e) intègre des garanties pour garantir que les données personnelles et la vie privée de l'utilisateur et de l'abonné sont protégées.
Cette clause s'applique aux équipements capables de traiter des données personnelles, des données de trafic ou des données de localisation. En outre, les équipements exclusivement destinés à la garde d'enfants, les équipements qui peuvent être portés, attachés ou suspendus à n'importe quelle partie de la tête ou du corps, y compris les vêtements, et autres équipements connectés à Internet.
L'équipement radio visé à l'article 3.3(f) prend en charge certaines fonctionnalités assurant la protection contre la fraude.
Cette clause s'applique aux équipements qui se connectent à Internet, directement ou indirectement et permettent à l'utilisateur de transférer de l'argent, de la valeur monétaire ou de la monnaie virtuelle.
Préparation du règlement
Bien que le règlement ne s’applique pas avant le 1er août 2025, la préparation sera un aspect essentiel pour être prêt à répondre aux exigences. La première chose qu’un fabricant doit faire est d’examiner son équipement radio et de se demander dans quelle mesure celui-ci est-il cyber-sécurisé ? Que faites-vous déjà pour le protéger des attaques ? Si la réponse est « rien », alors vous avez probablement du travail à faire.
Concernant la conformité à la RED, le fabricant doit examiner spécifiquement les exigences énumérées ci-dessus et déterminer dans quelle mesure il y répond. Les normes d'évaluation, une fois complétées, fourniront des moyens clairs et détaillés de démontrer la conformité aux exigences..
Certains fabricants savent déjà comment évaluer leurs produits et démontrer qu'ils répondent aux exigences de normalisation et aux exigences énumérées dans ce document. Certains fabricants ont peut-être déjà procédé à une telle évaluation de leur propre système qualité. Pour d'autres fabricants,BTFsera disponible pour vous aider.Tvoici quelques normes utiles déjà en circulation et celles-ci pourraient être utilisées pour aider le fabricant et les laboratoires d’essai dans les approches d’évaluation. L'ETSI EN 303 645 contient des sections spécifiquement liées aux sujets décrits ci-dessus, tels que la mise à jour des logiciels, la surveillance du trafic de données et la minimisation des surfaces d'attaque exposées.
L'équipe de cybersécurité de BTF est disponible pour aider à expliquer les normes et guider les fabricants tout au long du processus d'application des normes et de réalisation de cyberévaluations..Si vous avez des questions, n'hésitez pas à nous contacter !
Heure de publication : 02 novembre 2023