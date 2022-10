ARTICLE

Tout d'abord, la Commission indique que les logiciels fournis en tant que services (telles que les messageries instantanées) et non en tant que produits ne seront pas couverts par la proposition de loi. Cette dernière ne couvre en effet que les produits contenant des éléments numériques vendus sur le marché européen. Ces logiciels fournis en tant que services seront en revanche encadrés dans la directive NIS 2 ainsi que par d'autres législations sectorielles. Il n'en demeure pas moins que ces réglementations prévoient des exigences techniques et offrent un niveau de protection équivalent en matière de cybersécurité que celles prévues par le CRA.

Il convient de préciser que le législateur européen entend opérer une distinction entre une catégorie générale de produits comportant des éléments numériques, et ceux considérés comme « critiques », cette seconde catégorie représentant 10 % des objets concernés par la régulation. Cette seconde catégorie se subdiviserait elle-même en deux classes selon le niveau de criticité des risques. Selon la classe à laquelle il est rattaché, le logiciel ou le matériel sera soumis à un encadrement et à des obligations plus ou moins strictes.

Elaboré sur la base de la stratégie de cybersécurité de l'UE de 2020, le CRA introduit des règles communes en matière de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques, couvrant à la fois le matériel et les logiciels. L'objectif de ce texte est de protéger les consommateurs et les entreprises des risques en matière de cybersécurité dans leur utilisation des matériels filaires et connectés, ainsi que des logiciels .

