Décision d'exécution (UE) 2025/138 de la Commission du 28 janvier 2025 modifiant la décision d’exécution (UE) 2022/2191 en ce qui concerne les normes harmonisées à l’appui des exigences essentielles de la directive 2014/53/UE du Parlement européen et du Conseil relatives à la cybersécurité, pour les catégories et classes d’équipements radioélectriques spécifiées dans le règlement délégué (UE) 2022/30
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n°1673/2006/CE du Parlement européen et du Conseil (1), et notamment son article 10, paragraphe 6,
considérant ce qui suit:
(1) En vertu de l’article 16 de la directive 2014/53/UE du Parlement européen et du Conseil (2), les équipements radioélectriques conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences essentielles qui sont énoncées à l’article 3 de ladite directive et couvertes par ces normes ou parties de normes.
(2) Par la décision d’exécution C(2022) 5637 (3), la Commission a demandé au Comité européen de normalisation (CEN) et au Comité européen de normalisation électrotechnique (Cenelec) d’élaborer de nouvelles normes harmonisées à l’appui de l’article 3, paragraphe 3, premier alinéa, points d), e) et f), de la directive 2014/53/UE pour les catégories et classes d’équipements radioélectriques spécifiées par le règlement délégué (UE) 2022/30 de la Commission (4) (ci-après la «demande»).
(3) Sur la base de cette demande, le CEN et le Cenelec ont élaboré la norme harmonisée EN 18031-1:2024 relative aux exigences de sécurité communes applicables aux équipements radioélectriques connectés à l’internet, à l’appui de l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point d), de la directive 2014/53/UE; la norme harmonisée EN 18031-2:2024 relative aux exigences de sécurité communes applicables aux équipements radioélectriques connectés à l’internet, aux équipements radioélectriques destinés à la garde d’enfants, aux jouets dotés d’équipements radioélectriques et aux équipements radioélectriques portables, à l’appui de l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point e), de la directive 2014/53/UE; et la norme harmonisée EN 18031-3:2024 relative aux exigences de sécurité communes applicables aux équipements radioélectriques connectés à l’internet qui traitent une monnaie virtuelle ou de la valeur monétaire, à l’appui de l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point f), de la directive 2014/53/UE.
(4) La Commission, conjointement avec le CEN et le Cenelec, a examiné si ces normes harmonisées étaient conformes à la demande.
(5) Les normes harmonisées EN 18031-1:2024, EN 18031-2:2024 et EN 18031-3:2024 comprennent de nombreuses sections intitulées «Rationale» (Justification) et «Guidance» (Orientations). La section intitulée «Rationale» vise à justifier la nécessité de traiter certains risques. Les sections intitulées «Guidance» comprennent des exemples et des considérations sur les possibilités de mettre en oeuvre certaines mesures d’atténuation. Aucune des deux sections susmentionnées ne contient de spécifications. Les sections intitulées «Guidance» contiennent en outre des références à des publications en matière de normalisation des organisations nationales de normalisation. En règle générale, les normes harmonisées ne devraient pas inclure de références croisées normatives à ces publications en matière de normalisation.
(6) Les clauses 6.2.5.1 et 6.2.5.2 des normes harmonisées EN 18031-1:2024, EN 18031-2:2024 et EN 18031-3:2024 traitent des mots de passe par défaut. Ces clauses offrent aux fabricants la possibilité de permettre à un utilisateur de ne pas définir de mot de passe ou de ne pas en utiliser. Il est considéré que, si cette option est mise en oeuvre, les risques en matière d’authentification ne seront pas correctement traités et que, par conséquent, la conformité avec les exigences essentielles énoncées à l’article 3, paragraphe 3, premier alinéa, points d), e) et f), de la directive 2014/53/UE ne sera pas garantie.
(7) Les clauses 6.1.3, 6.1.4, 6.1.5 et 6.1.6 de la norme harmonisée EN 18031-2:2024 contiennent des spécifications relatives au mécanisme de contrôle d’accès pour les jouets dotés d’équipements radioélectriques et pour les équipements radioélectriques destinés à la garde d’enfants. Plus précisément, les catégories de mise en oeuvre décrites dans les sous-sections «Critères d’évaluation» sont les suivantes: contrôle d’accès fondé sur le rôle, contrôle d’accès discrétionnaire, contrôle d’accès obligatoire, autre. Certaines de ces catégories pourraient ne pas être compatibles avec le contrôle par les parents ou tuteurs. Dans un tel cas, il est considéré que, si le contrôle par les parents ou tuteurs n’est pas mis en oeuvre, les risques en matière d’authentification ne seront pas traités et que, par conséquent, la conformité avec l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point e), de la directive 2014/53/UE ne sera pas garantie.
(8) La clause 6.3.2.4 de la norme harmonisée EN 18031-3:2024 comprend des critères d’évaluation pour les mises à jour sécurisées. Il est défini quatre catégories de mise en oeuvre différentes, fondées sur des signatures numériques, des mécanismes de communication sécurisés, des mécanismes de contrôle d’accès ou d’autres solutions. Aucune de ces méthodes utilisée isolément n’est suffisante pour le traitement des actifs financiers. Il est considéré que les critères d’évaluation ne traitent pas correctement les risques en matière d’authentification et ne peuvent donc pas assurer la conformité avec l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point f), de la directive 2014/53/UE.
(9) Les références des normes harmonisées EN 18031-1:2024, EN 18031-2:2024 et EN 18031-3:2024 devraient par conséquent être publiées au Journal officiel de l’Union européenne avec des restrictions.
(10) L’annexe I de la décision d’exécution (UE) 2022/2191 de la Commission (5) contient les références des normes harmonisées conférant une présomption de conformité à la directive 2014/53/UE. Afin de faire en sorte que les références des normes harmonisées élaborées à l’appui de la directive 2014/53/UE figurent dans un seul acte, il convient d’inscrire les références des normes harmonisées EN 18031-1:2024, EN 18031-2:2024 et EN 18031-3:2024 dans ladite annexe, avec des restrictions.
(11) Il y a donc lieu de modifier la décision d’exécution (UE) 2022/2191 en conséquence.
(12) La conformité avec une norme harmonisée confère une présomption de conformité avec les exigences essentielles correspondantes énoncées dans la législation d’harmonisation de l’Union à partir de la date de publication de la référence de cette norme au Journal officiel de l’Union européenne. La présente décision devrait donc entrer en vigueur le jour de sa publication,
A ADOPTÉ LA PRÉSENTE DÉCISION:
Article premier
L’annexe I de la décision d’exécution (UE) 2022/2191 est modifiée conformément à l’annexe de la présente décision.
Article 2
La présente décision entre en vigueur le jour de sa publication au
Journal officiel de l’Union européenne.
Fait à Bruxelles, le 28 janvier 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 316 du 14.11.2012, p. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj.
(2) Directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l’harmonisation des législations des États membres concernant la mise à disposition sur le marché d’équipements radioélectriques et abrogeant la directive 1999/5/CE (JO L 153 du 22.5.2014, p. 62, ELI: http://data.europa.eu/eli/dir/2014/53/oj).
(3) Décision d’exécution de la Commission C(2022) 5637 du 5 août 2022 relative à une demande de normalisation adressée au Comité européen de normalisation et au Comité européen de normalisation électrotechnique en ce qui concerne des équipements radioélectriques à l’appui de la directive 2014/53/UE du Parlement européen et du Conseil et du règlement délégué (UE) 2022/30 de la Commission.
(4) Règlement délégué (UE) 2022/30 de la Commission du 29 octobre 2021 complétant la directive 2014/53/UE du Parlement européen et du Conseil en ce qui concerne l’application des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de cette directive (JO L 7 du 12.1.2022, p. 6, ELI: http://data.europa.eu/eli/reg_del/2022/30/oj).
(5) Décision d’exécution (UE) 2022/2191 de la Commission du 8 novembre 2022 concernant les normes harmonisées relatives aux équipements radioélectriques élaborées à l’appui de la directive 2014/53/UE du Parlement européen et du Conseil (JO L 289 du 10.11.2022, p. 7, ELI: http://data.europa.eu/eli/dec_impl/2022/2191/oj).
ANNEXE
À l’annexe I de la décision d’exécution (UE) 2022/2191, les lignes suivantes sont ajoutées:
N°
|
Référence de la norme
|
«164.
|
EN 18031-1:2024
Exigences de sécurité communes applicables aux équipements radioélectriques — Partie 1: Équipements radioélectriques connectés à l’internet
Note 1: Les sections intitulées «Rationale» (Justification) et «Guidance» (Orientations) de la présente norme harmonisée ne confèrent pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point d), de la directive 2014/53/UE.
Note 2: La présente norme harmonisée ne confère pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point d), de la directive 2014/53/UE si, par l’application de ses clauses 6.2.5.1 et 6.2.5.2, l’utilisateur est autorisé à ne pas définir et utiliser de mot de passe.
|
165.
|
EN 18031-2:2024
Exigences de sécurité communes applicables aux équipements radioélectriques — Partie 2: équipements radioélectriques qui traitent des données, à savoir les équipements radioélectriques connectés à l’internet, les équipements radioélectriques destinés à la garde d’enfants, les jouets dotés d’équipements radioélectriques et les équipements radioélectriques portables
Note 1: Les sections intitulées «Rationale» (Justification) et «Guidance» (Orientations) de la présente norme harmonisée ne confèrent pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point e), de la directive 2014/53/UE.
Note 2: La présente norme harmonisée ne confère pas de présomption de conformité à l’article 3, paragraphe 3, premier alinéa, point e), de la directive 2014/53/UE si, par l’application de ses clauses 6.2.5.1 et 6.2.5.2, l’utilisateur est autorisé à ne pas définir et utiliser de mot de passe.
Note 3: Pour les classes ou catégories d’équipements radioélectriques couvertes par la clause 6.1.3, 6.1.4, 6.1.5 ou 6.1.6 de la présente norme harmonisée, la présente norme harmonisée ne confère pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point e), de la directive 2014/53/UE si, par l’application de ses clauses 6.1.3.4.2, 6.1.4.4.2, 6.1.5.4.2 et 6.1.6.4.2, le contrôle d’accès par les parents ou tuteurs n’est pas assuré.
|
166.
|
EN 18031-3:2024
Exigences de sécurité communes applicables aux équipements radioélectriques — Partie 3: équipements radioélectriques connectés à l’internet qui traitent une monnaie virtuelle ou de la valeur monétaire
Note 1: Les sections intitulées «Rationale» (Justification) et «Guidance» (Orientations) de la présente norme harmonisée ne confèrent pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point f), de la directive 2014/53/UE.
Note 2: La présente norme harmonisée ne confère pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point f), de la directive 2014/53/UE si, par l’application de ses clauses 6.2.5.1 et 6.2.5.2, l’utilisateur est autorisé à ne pas définir et utiliser de mot de passe.
Note 3: En ce qui concerne les critères d’évaluation énoncés dans la clause 6.3.2.4 de la présente norme harmonisée, la présente norme harmonisée ne confère pas de présomption de conformité à l’exigence essentielle énoncée à l’article 3, paragraphe 3, premier alinéa, point f), de la directive 2014/53/UE.»
|