EN 18031 publiées : voie de conformité RED 3.3
Actualité · Normes harmonisées
En août 2024, le CEN-CENELEC a publié les trois normes EN 18031-1, EN 18031-2 et EN 18031-3. C'était la pièce manquante : depuis l'adoption du règlement délégué (UE) 2022/30 en 2021, les obligations cybersécurité de l'article 3.3 de la directive RED existaient sans qu'aucun chemin documenté ne mène à la présomption de conformité. Leur citation au Journal officiel de l'Union européenne a suivi le 30 janvier 2025, par la décision d'exécution (UE) 2025/138, levant cet obstacle et rendant possible l'activation effective de l'article 3.3 le 1er août 2025.
Ce qui a été publié
Section intitulée « Ce qui a été publié »Les trois normes harmonisées ont été élaborées par les comités techniques mixtes CEN-CENELEC sous le mandat de normalisation M/585, émis par la Commission européenne en août 2022. Le mandat demandait explicitement la rédaction de normes couvrant les trois alinéas activés du règlement délégué :
- EN 18031-1, exigences communes de sécurité pour les équipements radio (article 3.3(d), protection du réseau).
- EN 18031-2, exigences pour les équipements radio traitant des données personnelles (article 3.3(e)).
- EN 18031-3, exigences pour les équipements radio réalisant des transactions monétaires (article 3.3(f)).
Les trois textes ont été publiés en août 2024, environ deux ans après l'émission du mandat, un délai relativement court pour la production de normes harmonisées, conséquence directe de la pression de l'activation initialement prévue à la même date. Leur citation au JOUE a suivi le 30 janvier 2025, par la décision d'exécution (UE) 2025/138, avec des restrictions (notamment sur les clauses permettant à l'utilisateur de ne définir aucun mot de passe). La citation au JOUE est l'événement juridiquement structurant : c'est elle qui confère la présomption de conformité aux fabricants qui appliquent les normes.
Statut juridique des normes harmonisées
Section intitulée « Statut juridique des normes harmonisées »Une norme harmonisée n'est pas un règlement : elle reste d'application volontaire. Mais elle bénéficie d'un statut particulier, si un fabricant l'applique intégralement, il est présumé conforme à l'exigence essentielle correspondante de la directive. Toute autre approche reste possible, à condition de démontrer une équivalence technique, ce qui alourdit considérablement la charge de la preuve. En pratique, dans 95 % des cas, les fabricants suivent la norme harmonisée.
Les trois documents en détail
Section intitulée « Les trois documents en détail »EN 18031-1, protection du réseau
Section intitulée « EN 18031-1, protection du réseau »Le texte couvre l'article 3.3(d) de la directive : empêcher qu'un équipement radio compromis ne devienne un point d'entrée vers les réseaux auxquels il se connecte. Les contrôles évalués couvrent l'authentification de l'équipement, la limitation des connexions sortantes non sollicitées, la signature et la vérifiabilité des mises à jour, la désactivation par défaut des services non indispensables, et la journalisation des événements de sécurité significatifs.
Référence rapide : EN 18031-1.
EN 18031-2, données personnelles
Section intitulée « EN 18031-2, données personnelles »Le texte couvre l'article 3.3(e). Il s'applique à tout équipement radio capable de collecter, transmettre ou stocker des données personnelles, ce qui inclut en pratique la quasi-totalité des objets connectés. Les contrôles portent sur le chiffrement des communications (TLS 1.2 ou supérieur), le stockage chiffré des secrets, la gestion des mots de passe (interdiction du mot de passe usine commun), l'effacement sécurisé en fin de vie, et la documentation transparente des données collectées.
Le périmètre se superpose en partie au RGPD, mais agit à un niveau différent : la conformité produit, pas la conformité du traitement.
Référence rapide : EN 18031-2.
EN 18031-3, transactions monétaires
Section intitulée « EN 18031-3, transactions monétaires »Le texte couvre l'article 3.3(f), beaucoup plus ciblé : il s'applique aux équipements qui réalisent ou facilitent des transactions financières, terminaux de paiement, lecteurs de cartes, objets connectés capables d'achats in-app validés sur le produit. Les contrôles portent sur l'authentification forte des opérations, l'intégrité et la non-répudiation des transactions, la protection contre les rejeux, et l'audit trail.
Référence rapide : EN 18031-3.
Arbres de décision et évaluations conforme/non conforme, pas de niveaux d'assurance
Section intitulée « Arbres de décision et évaluations conforme/non conforme, pas de niveaux d'assurance »Une idée reçue attribue aux EN 18031 des niveaux d'assurance basic, substantial et high. Ces niveaux relèvent du cadre de certification du Cybersecurity Act (règlement (UE) 2019/881), pas de ces normes. Les EN 18031 fonctionnent autrement :
| Mécanisme | Ce qu'il fait |
|---|---|
| Analyse de risque | Le fabricant identifie les parties applicables : EN 18031-1 pour 3.3(d), EN 18031-2 pour 3.3(e), EN 18031-3 pour 3.3(f) |
| Arbres de décision | Chaque exigence comporte des arbres de décision qui déterminent son applicabilité au produit |
| Évaluation par mécanisme | Chaque mécanisme de sécurité applicable reçoit une évaluation conceptuelle (justification documentée) plus des évaluations de complétude fonctionnelle et de suffisance fonctionnelle |
Chaque évaluation conclut conforme ou non conforme, il n'existe pas de niveau gradué. La voie de conformité dépend de la manière d'appliquer les normes : appliquées intégralement sans déclencher aucune des restrictions de la citation au JOUE fixées par la décision d'exécution (UE) 2025/138 (clauses 6.2.5.1/6.2.5.2 d'absence de mot de passe dans les trois parties, contrôle d'accès parental pour les jouets et équipements de garde d'enfants dans EN 18031-2, mise à jour sécurisée des actifs financiers dans EN 18031-3), le fabricant peut s'auto-évaluer en module A. L'auto-évaluation ne signifie pas l'absence de travail, elle exige une analyse de risque formelle, un inventaire des contrôles, une documentation des choix de conception, mais elle maintient le coût accessible. Une restriction déclenchée ou une norme partiellement appliquée impose un organisme notifié (examen UE de type, module B + C).
Ce que la publication débloque concrètement
Section intitulée « Ce que la publication débloque concrètement »Avant août 2024, la situation était bloquée : le règlement délégué fixait des obligations, mais aucune norme citée au JOUE ne permettait de démontrer la conformité de manière reconnue. Les laboratoires hésitaient à investir dans des portées d'accréditation EN 18031 tant que les normes n'étaient pas officielles. Les fabricants reportaient leurs projets RED 3.3 par manque de méthode claire.
La publication, suivie de la citation au JOUE de janvier 2025, débloque plusieurs choses simultanément :
- Chemin documenté de conformité pour les fabricants, la norme à appliquer existe, la méthodologie est figée.
- Accréditation laboratoire possible, les organismes accréditeurs (COFRAC en France, DAkkS en Allemagne, UKAS au Royaume-Uni) peuvent désormais étendre les portées EN 18031.
- Activation effective du règlement délégué le 1er août 2025, sans normes publiées, l'activation aurait été à nouveau reportée.
- Stabilisation du marché des services d'évaluation, formation des évaluateurs, standardisation des livrables, comparabilité des rapports entre laboratoires.
Pour le détail des évaluations demandées, voir Tests RED requis.
Ce qui est couvert et ce qui ne l'est pas
Section intitulée « Ce qui est couvert et ce qui ne l'est pas »Les EN 18031 sont focalisées sur les contrôles techniques observables au niveau du produit fini. Elles ne couvrent pas plusieurs sujets cybersécurité importants traités ailleurs dans le paysage réglementaire européen :
- Sécurité de la chaîne d'approvisionnement logicielle (SBOM, vulnérabilités héritées): relève du Cyber Resilience Act (CRA).
- Sécurité des infrastructures réseau de l'opérateur, relève de NIS2.
- Gouvernance et organisation cybersécurité du fabricant, partiellement couverte par le CRA.
- Notification de vulnérabilités post-mise sur le marché, encadrée par le CRA, pas par EN 18031.
- Protection des données personnelles au sens du traitement: RGPD.
Les EN 18031 sont donc une brique du puzzle, pas la solution complète. Un fabricant rigoureux doit cartographier ses obligations selon les régimes applicables.
Articulation avec CRA, NIS2 et RGPD
Section intitulée « Articulation avec CRA, NIS2 et RGPD »Le Cyber Resilience Act (règlement (UE) 2024/2847, adopté en octobre 2024) crée un cadre horizontal cybersécurité produit qui couvrira à terme tous les produits avec éléments numériques, pas seulement les équipements radio. Les obligations CRA entreront pleinement en vigueur en décembre 2027. Entre-temps, EN 18031 reste la référence pour les produits radio.
La Commission a explicitement indiqué que les contrôles techniques EN 18031 seront reconnus dans le cadre CRA pour les produits qui en relèvent, il n'y aura pas double évaluation pour les exigences communes. Le CRA ajoutera essentiellement les obligations supply chain et notification de vulnérabilités.
NIS2 (directive (UE) 2022/2555) concerne les opérateurs d'infrastructures critiques, pas les fabricants de produits, la jonction est indirecte. RGPD continue de s'appliquer indépendamment au traitement de données, en complément.
Pour anticiper l'évolution réglementaire au-delà de l'UE, voir le guide certification double UE-US, qui compare RED 3.3 à l'approche FCC/CISA américaine.
À retenir
Section intitulée « À retenir »- Les trois normes EN 18031-1, -2 et -3, publiées en août 2024, sont citées au JOUE depuis le 30 janvier 2025 (décision d'exécution (UE) 2025/138, avec restrictions) et confèrent la présomption de conformité aux articles 3.3(d), (e), (f) de la directive RED.
- Elles ont été rédigées par CEN-CENELEC sous mandat M/585 émis en 2022.
- Pas de niveaux d'assurance : l'évaluation repose sur des arbres de décision et des évaluations conceptuelle et fonctionnelles conforme/non conforme ; l'auto-évaluation (module A) est possible quand les normes sont appliquées intégralement sans restriction JOUE déclenchée, sinon l'organisme notifié s'impose.
- La publication, puis la citation au JOUE, ont rendu possible l'activation effective de RED 3.3 le 1er août 2025.
- Les normes couvrent les contrôles techniques produit uniquement, la chaîne d'approvisionnement et la gouvernance cybersécurité relèvent du Cyber Resilience Act.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Normes harmonisées RED: tableau complet
- Tests RED requis: détail des essais par article 3.1 à 3.3
- Certification double UE-US: comparaison des approches cybersécurité
Sources & références
- EN 18031-1: Common security requirements for radio equipment , CENELEC www.cenelec.eu/
- EN 18031-2: Common security requirements for radio equipment processing personal data , CENELEC www.cenelec.eu/
- EN 18031-3: Common security requirements for radio equipment for monetary transactions , CENELEC www.cenelec.eu/
- Mandate M/585: Commission standardisation request , European Commission eur-lex.europa.eu/
- Décision d'exécution (UE) 2025/138 : citation des EN 18031-1/-2/-3 au JOUE , Commission européenne eur-lex.europa.eu/eli/dec_impl/2025/138/oj