CRA : un nouveau règlement européen majeur sur la cybersécurité – Entretien avec Luca Cedric Biggiogera, expert de l’UNIFE

Le Cyber Resilience Act (CRA) est un nouveau règlement européen majeur sur la cybersécurité. Pouvez-vous expliquer brièvement ses principaux objectifs et pourquoi il est pertinent pour les entreprises ferroviaires ?

Le CRA a constitué une tâche exigeante et unique pour le secteur ferroviaire : bien qu’il nous concerne à de nombreux niveaux, il n’a pas été rédigé en tenant compte de ce secteur. L’interprétation et la compréhension de la manière dont il peut être appliqué au ferroviaire ont été notre priorité absolue ces derniers mois. L’objectif du CRA est d’élever le niveau de cybersécurité pour tous les produits numériques, des plus simples aux plus complexes. Il fait partie d’une initiative globale de l’Union européenne visant à sécuriser les infrastructures numériques européennes, dont notre société dépend de plus en plus. Pensez aux assistants vocaux connectés ou aux jouets : ils sont souvent vendus avec peu ou pas de sécurité et sans possibilité de recevoir des mises à jour. Dans un mauvais contexte, ils peuvent devenir des points d’entrée faciles pour des acteurs malveillants. Le CRA introduit des exigences essentielles de cybersécurité pour tous ces produits numériques. Comme le secteur ferroviaire – contrairement à l’aérien et au maritime – ne disposait jusqu’à présent d’aucune législation européenne spécifique en matière de cybersécurité, il est désormais couvert par le CRA.

Quels types de produits, systèmes ou entreprises liés au ferroviaire relèvent du champ d’application du CRA ? Comment est-il décidé quels produits sont considérés comme critiques ou réglementés ?

Cette question a été à l’origine de la création de la Cybersecurity Rail Sector Group, dont l’objectif est d’analyser le CRA et de fournir des orientations techniques sous la forme d’un document détaillé. Le champ d’application du CRA est très large, puisqu’il s’applique à tout produit matériel ou logiciel. La définition de « produit comportant des éléments numériques » n’est pas facile à transposer au secteur ferroviaire, ce qui a d’abord créé une grande incertitude. Grâce à l’analyse du texte et des pratiques existantes de l’UE, nos experts ont conclu que le CRA s’applique à tous les produits ferroviaires contenant des éléments numériques (logiciels ou matériels) et mis sur le marché européen comme une unité. Des capteurs aux véhicules jusqu’aux trains complets, toute la chaîne d’approvisionnement doit prêter attention aux exigences du CRA. Les catégories « critique » et « importante » désignent les produits nécessitant des procédures d’évaluation spécifiques. Seuls les produits listés dans le CRA appartiennent à ces catégories, et ils ne concernent généralement pas le ferroviaire. Même si la liste pourrait être élargie à l’avenir, la plupart des produits ferroviaires relèvent aujourd’hui de la catégorie standard d’auto-évaluation.

Le CRA introduit des exigences telles que des mises à jour de sécurité continues tout au long du cycle de vie du produit. Dans le secteur ferroviaire, les produits sont souvent utilisés pendant 30 ans ou plus. Comment les entreprises peuvent-elles réalistement remplir de telles obligations à long terme ?

Le CRA exige des mises à jour de sécurité pendant au moins cinq ans ou pendant toute la durée de vie du produit si celle-ci est inférieure. Pour les produits de longue durée, comme ceux du ferroviaire, la période de support devrait couvrir une part raisonnable du cycle de vie prévu. Les fabricants doivent tenir compte de la finalité du produit, des attentes des utilisateurs et d’autres facteurs, tels que la durée de support des composants tiers et l’environnement opérationnel. Les exigences du CRA transformeront profondément la manière dont le secteur ferroviaire aborde la cybersécurité et les mises à jour, mais le règlement offre également une certaine flexibilité aux fabricants pour convenir avec leurs clients de la durée du support.

Pour de nombreuses entreprises, la conformité aux exigences de cybersécurité est un domaine nouveau. Quelles premières étapes pratiques recommandez-vous ?

La première étape consiste à se préparer à temps : avant la date d’application du règlement en décembre 2027, les entreprises doivent se familiariser avec le CRA et déterminer comment il s’applique à leurs produits. L’adaptation des processus peut prendre du temps, et il est essentiel que le secteur arrive bien préparé et avec une compréhension commune du texte afin d’éviter les incertitudes et les inefficacités. À cette fin, UNIFE et le secteur développent un document explicatif fondé sur une compréhension commune du texte entre opérateurs, fabricants et gestionnaires d’infrastructure. Ce document sera une ressource clé pour tout le secteur, fournissant une base cohérente pour l’application du CRA et un outil utile pour les entreprises n’ayant pas les ressources pour étudier le texte en profondeur.

UNIFE joue un rôle central dans le processus réglementaire européen. Comment travaillez-vous avec la Commission européenne sur le CRA et quelles priorités ou préoccupations défendez-vous au nom de l’industrie ferroviaire ?

Le CRA a été l’un des sujets majeurs pour UNIFE au cours de l’année écoulée et même avant. Nous avons adopté une approche à deux volets vis-à-vis de la Commission européenne afin d’obtenir plus de clarté sur la législation et d’en faciliter la mise en œuvre. D’une part, UNIFE participe activement à l’élaboration de lignes directrices et de documents d’application. Nous participons au CRA Expert Group de la Commission et coordonnons également la Cybersecurity Rail Sector Group pour permettre au secteur de mettre en œuvre efficacement le CRA. D’autre part, UNIFE a récemment publié un document de position demandant l’inclusion du CRA, du Data Act et du AI Act dans le futur Digital Omnibus for Simplification, une initiative de la Commission visant à simplifier le cadre numérique européen. Le document souligne en particulier la nécessité d’exempter les projets en cours des obligations du CRA. Les discussions sont en cours et leur issue reste incertaine, mais une telle inclusion pourrait permettre d’apporter les ajustements nécessaires au texte afin de mieux refléter les réalités industrielles.

Merci beaucoup pour cet entretien !

Cet entretien a été publié dans l’édition de septembre 2025 du magazine « express » de Swissrail.

Vous pouvez lire l’édition complète ici.