Services
About UL

As a global safety science leader, UL Solutions helps companies to demonstrate safety, enhance sustainability, strengthen security, deliver quality, manage risk and achieve regulatory compliance. 

Overview
UL Solutions Consumer Information

See how we put safety science to work to help create a safer, more secure and sustainable world for you.

Learn more
Ressources

Explore our business intelligence-building digital tools and databases, search for help, review our business information, or share your concerns and questions.

Overview
myUL® Client Portal

A secure, online source for increased visibility into your UL Solutions project files, product information, documents, samples and services.

Go to myUL
Certification Database — UL Product iQ®

Access UL certification data on products, components and systems, identify alternatives and view guide information with Product iQ.

Visit
Secteurs d’activité
View All
  • Software and Products
  • Service

Cybersécurité d’UL Solutions pour la conformité à la directive RED

En savoir plus sur l’article 3.3 de la directive 2014/53/UE de la Commission européenne sur les équipements radioélectriques (RED), qui répond aux exigences spécifiques aux appareils radio allant des interfaces communes à la cybersécurité.

Nous contacter
Friends sharing information on smartphones

Aperçu de la directive sur les équipements radioélectriques (RED) 2014/53/UE

Dispositions clés de la RED 

La directive 2014/53/UE de la Commission européenne (CE) sur les équipements radioélectriques (RED) établit un cadre réglementaire pour ces équipements, fixant des exigences essentielles en matière de sécurité et de santé, de compatibilité électromagnétique (CEM) et d’efficacité du spectre radioélectrique. L’article 3.3 de la directive établit des exigences spécifiques à différentes catégories d'équipements hertziens, allant des interfaces communes à la cybersécurité.

Calendrier de mise en conformité

Le 12 janvier 2022, le règlement délégué 2022/30/UE a été publié au Journal officiel de l’Union européenne, afin de faire respecter les exigences de conformité à l’article 3.3 (d), (e) et (f) de la RED. Ce règlement vise à assurer la sécurité du réseau, la protection des données personnelles et la protection de la vie privée ainsi que la lutte contre la fraude pour les appareils sans fil applicables disponibles sur le marché de l’UE (voir figure). Entré en vigueur le 1er février 2022, il devient obligatoire le 1er août 2025, accordant aux fabricants une période de transition de 42 mois.    

Analyse détaillée des exigences en matière de cybersécurité de l’article 3.3 de la directive RED

Article 3.3 de la RED relatif à la Cybersécurité

RED Article 3.3 Cybersecurity shown on a chart

Protection du réseau en vertu de l’article 3.3(d)

L’article 3.3(d) renforce la protection du réseau. Les fabricants d’appareils devront intégrer des fonctionnalités conçues pour éviter d’endommager les réseaux de communication et empêcher l’appareil de perturber leur fonctionnement.

Données personnelles et vie privée en vertu de l’article 3.3(e)

L’article 3.3(e) renforce la protection des données personnelles et de la vie privée. Par exemple, les fabricants d’appareils devront mettre en œuvre des mesures pour empêcher l’accès ou la transmission non autorisés des données personnelles des consommateurs.

Mesures antifraude en vertu de l’article 3.3(f)

L’article 3.3(f) réduit le risque de fraude. Les fabricants d’appareils devront intégrer des fonctionnalités telles qu’un contrôle renforcé de l’authentification des utilisateurs afin de limiter les paiements électroniques et les transferts monétaires frauduleux.

Portée et impact des exigences de la RED en matière de cybersécurité

Dispositifs couverts par le nouveau règlement

Ce nouveau règlement couvre les appareils pouvant communiquer sur Internet, que ce soit directement ou par le biais d’autres équipements. Les équipements radio susceptibles de divulguer des données personnelles sensibles sont également concernés. Par exemple :

  • Les téléphones portables, tablettes et ordinateurs portables
  • Les jouets sans fil et les équipements de sécurité pour enfants, tels que les moniteurs pour bébés
  • Les appareils portables, tels que les montres intelligentes et les bracelets connectés
  • Produits d'énergie sans fil et industriels tels que les bornes de recharge pour véhicules électriques, les compteurs d'énergie, les capteurs industriels sans fil, les ordinateurs périphériques industriels pour l'IoT, les systèmes de contrôle automatisés, les routeurs et antennes industriels, ainsi que les moteurs intelligents.

L’article 3.3(d) s’applique aux dispositifs liés à la protection du réseau. L’article 3.3(e) s’applique aux équipements qui traitent des données personnelles, des données de trafic ou des données de localisation (pour des définitions détaillées des données, se référer à l’article 4(1) et 4(2) du règlement UE 2016/679 et à l’article 2(b) et (c) de la directive 2002/58/CE).

L’article 3.3(f) s’applique aux équipements radio permettant au détenteur ou à l’utilisateur de transférer de l’argent, une valeur monétaire ou une monnaie virtuelle, telle que définie à l’article 2(d) de la directive 2019/713 du Parlement européen et du Conseil. Les mesures de cybersécurité doivent prendre en compte les nouvelles tendances de la criminalité dans l’industrie des paiements électroniques, telles que le cryptojacking, les rançongiciels, la fraude liée aux communications en champ proche et la falsification de l’authentification biométrique.

Exemptions et considérations spéciales

Les dispositifs déjà couverts par les règlements CE 2019/21446 (examen de type des véhicules), 2018/11397 (aviation civile) ou la directive 2019/520 (systèmes de péage routier électronique), qui ont des exigences de sécurité similaires ne relèvent pas du nouvel article 3.3 (e) et (f), mais doivent être conformes à l’article 3.3 (d).

Aperçu de la série des normes EN 18031 et du rôle d’UL Solutions pour faciliter la conformité à la directive RED

En août 2022, la CE a adressé une demande de normalisation au CEN/CENELEC de l’Organisation européenne de normalisation (ESO), qui a lancé les travaux sur les normes harmonisées. UL Solutions a examiné la première ébauche de la norme proposée et a soumis plusieurs commentaires pour aider à l’améliorer.

Le 14 août 2024, les normes harmonisées candidates, la série de normes EN 18031, ont été officiellement libérées. Les normes ont été officiellement publiées en août 2024.

La norme EN 18031 se compose de trois parties : EN 18031-1, EN 18031-2 et EN 18031-3, et couvre respectivement les articles 3.3(d), (e) et (f).

  • EN 18031-1:2024 – Exigences de sécurité communes applicables aux équipements radioélectriques – Partie 1 : équipements radioélectriques connectés à l’internet
  • EN 18031-2:2024 – Exigences de sécurité communes applicables aux équipements radioélectriques – Partie 2 : équipements radioélectriques de traitement des données, à savoir les équipements radioélectriques connectés à l’internet, les équipements radioélectriques destinés à la garde d’enfants, les jouets radioélectriques et les équipements radioélectriques portables
  • EN 18031-3:2024 – Exigences de sécurité communes applicables aux équipements radioélectriques – Partie 3 : équipements radioélectriques connectés à l’internet qui traitent une monnaie virtuelle ou de la valeur monétaire

La série de normes EN 18031 a été harmonisée le 28 janvier 2025 par la décision d’exécution – 2025/138 – EN – EUR-Lex avec des restrictions. En parallèle, les documents d’orientation ont été publiés par DG Grow pour soutenir l’harmonisation.

Les fabricants peuvent appliquer les normes EN 18031 et n’auront plus besoin de faire appel à un organisme notifié (ON) s’ils sont entièrement conformes. Toutefois, pour les autres normes, telles que PSA, EN 303 645, ISA/CEI 62443, etc., un ON reste nécessaire.

En outre, si des restrictions s’appliquent, le fabricant doit consulter un ON, à moins qu'il n'ait appliqué intégralement les normes EN 18031 et qu’il n’enfreigne pas les « restrictions ». Dans ce cas, un ON n’est pas requis.

EN 18031-1:2024 (équipement radio connecté à Internet) : Restrictions

  • Les rubriques « justification » et « conseils » ne garantissent pas la conformité*
  • Permettre aux utilisateurs d’utiliser l’appareil sans définir de mot de passe

* Pour préciser le premier point, ces sections ont les objectifs suivants :

  1. Justification : explique le raisonnement qui sous-tend les exigences spécifiques, et aide les fabricants et les évaluateurs à comprendre pourquoi certaines mesures de sécurité sont nécessaires.
  2. Conseils : offre des informations supplémentaires sur la manière de mettre en œuvre ou d’interpréter les exigences, et fournit des conseils pratiques aux fabricants.

Il est important de noter que si ces sections sont utiles pour comprendre et mettre en œuvre la norme, elles ne confèrent pas de présomption de conformité aux exigences essentielles énoncées à l’article 3(3) de la directive 2014/53/UE. Cela signifie que suivre les directives ou uniquement comprendre le raisonnement ne suffit pas à démontrer la conformité aux exigences de cybersécurité RED.

EN 18031-2:2024 (données de traitement des équipements radio) : Restrictions

  • Les rubriques « justification » et « conseils » ne garantissent pas la conformité*
  • Permettre aux utilisateurs d’utiliser l’appareil sans définir de mot de passe
  • Contrôles d’accès parent/tuteur inadéquats pour des classes d’appareils spécifiques (c’est-à-dire mettre en œuvre des contrôles d’accès parent/tuteur efficaces pour les catégories d’appareils pertinentes)

EN 18031-3:2024 (équipement de traitement de la monnaie virtuelle) : Restrictions

  • Les rubriques « justification » et « guide » ne garantissent pas la conformité*
  • Permettre aux utilisateurs d’utiliser l’appareil sans définir de mot de passe
  • Si un jouet n’assure pas le contrôle d’accès des parents ou du tuteur, alors un ON est requis
  • Les critères d’évaluation standard énoncés à la clause 6.3.2.4 ne sont pas adéquats. Dans le texte principal, le paragraphe (8) explique : La clause 6.3.2.4 de la norme harmonisée EN 18031-3:2024 comprend des critères d’évaluation pour les mises à jour sécurisées. Quatre catégories de mise en œuvre différentes sont établies en fonction de signatures numériques, de mécanismes de communication sécurisés, de mécanismes de contrôle d’accès ou d’autres éléments. Aucune de ces méthodes ne suffit toutefois à elle seule pour le traitement des actifs financiers. On estime que les critères d’évaluation ne permettent pas de répondre correctement aux risques d’authentification pertinents et qu’ils ne peuvent donc pas garantir la conformité avec l’exigence essentielle énoncée à l’article 3(3), premier alinéa, point f), de la directive 2014/53/UE.
  • À partir des « conseils » : un fabricant de produits couverts par la norme harmonisée EN 18032-3:2024 à laquelle s’applique la clause 6.3.2.4 ne bénéficie pas de la présomption de conformité, quelle que soit la conception du produit. Une évaluation de la conformité par un tiers est obligatoire.

Les normes harmonisées, EN 18031, répondent aux exigences essentielles énoncées à l’article 3.3 (d), (e) et (f) et contiennent des spécifications techniques pour les équipements radioélectriques concernés. Ces spécifications couvrent des sujets tels que la surveillance du trafic réseau, l’atténuation des attaques par déni de service, les mécanismes d’authentification et de contrôle d’accès, le mécanisme de mise à jour sécurisé et la réduction de la surface d’attaque. Elles traitent également de la sécurité et de la confidentialité des données, en visant spécifiquement des questions telles que la prévention du stockage, du traitement, de l’accès, de la divulgation, de la destruction ou de la perte de données de manière accidentelle ou non autorisée. Les utilisateurs ont également la possibilité de supprimer facilement les données personnelles stockées sur un appareil avant de l'éliminer afin d'éviter toute exposition de leurs informations.

Pourquoi choisir UL Solutions pour la conformité de la cybersécurité à la directive RED

Expertise en cybersécurité et conformité

La directive RED affecte tout fabricant produisant des équipements radio destinés à être vendus sur le marché de l’UE.

Les fabricants seront responsables de la cybersécurité tout au long du cycle de vie de l’appareil. UL Solutions peut vous aider à progresser vers la conformité RED avec des services de conseil qui mettent en évidence les lacunes et fournissent des conseils éducatifs qui peuvent vous aider à atteindre vos objectifs.

Soutien complet de la stratégie à la mise en œuvre

UL Solutions peut vous aider, quel que soit votre stade de développement actuel. Pour les projets en phase de démarrage, nous pouvons vous aider à comprendre comment appliquer la sécurité dès la conception et comment l’intégrer à votre gouvernance et à vos processus. À cette fin, nous proposons des formations et des ateliers animés par nos experts en sécurité afin de doter votre équipe des connaissances nécessaires à la mise en œuvre réussie de vos produits.

Pour les projets en phase de développement ultérieur, nous pouvons vous aider à réaliser une analyse des lacunes ou une évaluation complète de la conformité aux normes EN 18031-1/EN 18031-2/EN 18031-3, EN 303 645 et CEI 62443-4-2, ce qui vous permettra d’améliorer la sécurité de vos produits. Ces deux dernières normes ont des exigences qui se recoupent avec celles des exigences essentielles de la directive RED, ce qui vous aidera grandement à vous y préparer.

Services de conseil et de formation en matière de conformité

Atelier sur l’application de la directive RED et le paysage réglementaire de l’UE

Cet atelier offre un aperçu du paysage réglementaire de l’UE en matière de cybersécurité, préparant le terrain pour une étude plus approfondie des dispositions des articles 3.3(d), (e) et (f) de la directive RED DA, ainsi que de leur importance pour renforcer la sécurité et la confidentialité des appareils connectés, et d’éventuelles répercussions futures sur la cyber-résilience.

Services de conseil

Nous offrons des services de formation aux clients à chaque étape de leur parcours vers la conformité RED.

  • De base – Niveau n° 1 : initiation

    Les services de conseil de base sont conçus pour les fabricants qui débutent leur parcours avec la directive RED DA et qui recherchent un expert pour les aider à identifier les principales lacunes en matière de conformité future.

  • Substantiel – Niveau n° 2 : développement

    Des services de conseil substantiels sont conçus pour les fabricants qui ont déjà commencé à travailler sur leur conformité avec la directive RED DA et qui ont une expérience préalable des certifications de cybersécurité.

  • Élevé – Niveau n° 3 : défini

    Ces services s’adressent aux fabricants qui sont sur la bonne voie pour se conformer à la directive RED DA et qui recherchent un expert pour évaluer leur travail.

Services d’évaluation de la conformité

Dans certains cas, les fabricants doivent faire évaluer leurs produits par un organisme notifié (ON). En tant qu’organisme notifié, UL Solutions peut fournir des services d’évaluation pour l’article 3.3 (d), (e) et (f) de la RED. Cela permettra aux fabricants de confirmer la conformité avant la date obligatoire du 1er août 2025, et ainsi d’éviter une période de pointe potentielle de tests du produit.

En outre, pour aider les fabricants à pénétrer les marchés mondiaux, nous fournissons des services d’évaluation, de test et de certification pour :  

  • EN 303 645 : Cybersécurité pour l’Internet des objets grand public
  • La loi sur la cyber-résilience (CRA)
  • ISA/CEI 62443 : Sécurité des automatismes industriels et des systèmes de commande
  • La loi britannique sur la sécurité des produits et les infrastructures de télécommunications (Product Safety and Telecommunications Infrastructure Act, PSTI)
  • US NISTIR 8259A : Base de référence des capacités de cybersécurité des appareils IdO
  • US NISTIR 8425 : Profil de la base de référence de l’IdO pour les produits IdO grand public
  • Loi californienne sur la sécurité de l’Internet des objets SB 327
  • Programme de labellisation en matière de cybersécurité de Singapour (Singapore Cybersecurity Labeling Program, CLS)
  • Cote de sécurité vérifiée de l’appareil IdO UL (MCV 1376)
  • ISO 27001 : Sécurité de l’information, cybersécurité et protection de la vie privée – Systèmes de gestion de la sécurité de l’information
  • FIPS 140-3
  • Critères communs

Résumé de la conformité de la cybersécurité à la directive RED 

La directive 2014/53/UE relative aux équipements radioélectriques (RED) introduit des exigences cruciales en matière de cybersécurité pour les appareils connectés à Internet et ceux qui traitent des données personnelles sensibles. Des solutions et des spécifications techniques sont disponibles pour vous aider à vous y conformer. Les fabricants doivent se conformer à ces règlements d’ici le 1er août 2025. UL Solutions vous accompagne à chaque étape de votre démarche de conformité RED, avec des services de conseil, d’analyse des lacunes et d’évaluation de la conformité. Notre expertise couvre diverses étapes du développement de produits, de la mise en œuvre initiale de la sécurité dès la conception aux évaluations de conformité ultérieures. Compte tenu de la complexité de ces nouvelles réglementations et de l’échéance imminente, les fabricants sont encouragés à contacter UL Solutions pour obtenir des conseils et un soutien afin d’atteindre la conformité RED et de s’assurer que leurs produits répondent aux normes de cybersécurité nécessaires pour le marché de l’UE. 

Télécharger nos ressources
Cybersecurity

Cybersecurity Requirements in the Radio Equipment Directive

930 KB
Télécharger
Radio

Radio Equipment Directive Cybersecurity FAQ

180 KB
Télécharger
X

Être mis en relation avec notre équipe de vente

Merci de l’intérêt que vous portez aux produits et services d’UL Solutions. Nous allons recueillir quelques informations afin que nous puissions vous mettre en contact avec la bonne personne.

Ressources connexes

Offres connexes

Solutions apparentées