EN 18031 publiée au JOUE : la voie de conformité RED 3.3 ouverte
Actualité · Normes harmonisées
En août 2024, la Commission européenne a publié au Journal officiel de l'Union européenne les références des trois normes harmonisées EN 18031-1, EN 18031-2 et EN 18031-3. C'était la pièce manquante : depuis l'adoption du règlement délégué (UE) 2022/30 en 2021, les obligations cybersécurité de l'article 3.3 de la directive RED existaient sans qu'aucun chemin documenté ne mène à la présomption de conformité. La publication des trois normes lève cet obstacle et a rendu possible l'activation effective de l'article 3.3 le 1er août 2025.
Ce qui a été publié
Section intitulée « Ce qui a été publié »Les trois normes harmonisées ont été élaborées par les comités techniques mixtes CEN-CENELEC sous le mandat de normalisation M/585, émis par la Commission européenne en août 2022. Le mandat demandait explicitement la rédaction de normes couvrant les trois alinéas activés du règlement délégué :
- EN 18031-1, exigences communes de sécurité pour les équipements radio (article 3.3(d), protection du réseau).
- EN 18031-2, exigences pour les équipements radio traitant des données personnelles (article 3.3(e)).
- EN 18031-3, exigences pour les équipements radio réalisant des transactions monétaires (article 3.3(f)).
Les trois textes ont été cités au JOUE en août 2024, environ deux ans après l'émission du mandat, un délai relativement court pour la production de normes harmonisées, conséquence directe de la pression de l'activation initialement prévue à la même date. La publication au JOUE est l'événement juridiquement structurant : c'est elle qui confère la présomption de conformité aux fabricants qui appliquent les normes.
Statut juridique des normes harmonisées
Section intitulée « Statut juridique des normes harmonisées »Une norme harmonisée n'est pas un règlement : elle reste d'application volontaire. Mais elle bénéficie d'un statut particulier, si un fabricant l'applique intégralement, il est présumé conforme à l'exigence essentielle correspondante de la directive. Toute autre approche reste possible, à condition de démontrer une équivalence technique, ce qui alourdit considérablement la charge de la preuve. En pratique, dans 95 % des cas, les fabricants suivent la norme harmonisée.
Les trois documents en détail
Section intitulée « Les trois documents en détail »EN 18031-1, protection du réseau
Section intitulée « EN 18031-1, protection du réseau »Le texte couvre l'article 3.3(d) de la directive : empêcher qu'un équipement radio compromis ne devienne un point d'entrée vers les réseaux auxquels il se connecte. Les contrôles évalués couvrent l'authentification de l'équipement, la limitation des connexions sortantes non sollicitées, la signature et la vérifiabilité des mises à jour, la désactivation par défaut des services non indispensables, et la journalisation des événements de sécurité significatifs.
Référence rapide : EN 18031-1.
EN 18031-2, données personnelles
Section intitulée « EN 18031-2, données personnelles »Le texte couvre l'article 3.3(e). Il s'applique à tout équipement radio capable de collecter, transmettre ou stocker des données personnelles, ce qui inclut en pratique la quasi-totalité des objets connectés. Les contrôles portent sur le chiffrement des communications (TLS 1.2 ou supérieur), le stockage chiffré des secrets, la gestion des mots de passe (interdiction du mot de passe usine commun), l'effacement sécurisé en fin de vie, et la documentation transparente des données collectées.
Le périmètre se superpose en partie au RGPD, mais agit à un niveau différent : la conformité produit, pas la conformité du traitement.
Référence rapide : EN 18031-2.
EN 18031-3, transactions monétaires
Section intitulée « EN 18031-3, transactions monétaires »Le texte couvre l'article 3.3(f), beaucoup plus ciblé : il s'applique aux équipements qui réalisent ou facilitent des transactions financières, terminaux de paiement, lecteurs de cartes, objets connectés capables d'achats in-app validés sur le produit. Les contrôles portent sur l'authentification forte des opérations, l'intégrité et la non-répudiation des transactions, la protection contre les rejeux, et l'audit trail.
Référence rapide : EN 18031-3.
Niveaux d'assurance basic, substantial, high
Section intitulée « Niveaux d'assurance basic, substantial, high »Les trois normes introduisent une logique d'évaluation par niveaux, inspirée des Common Criteria mais nettement simplifiée :
| Niveau | Qui évalue | Quand l'appliquer |
|---|---|---|
| Basic | Auto-évaluation documentée du fabricant | Produits IoT grand public à risque faible |
| Substantial | Tiers indépendant accrédité | Données sensibles, usage industriel |
| High | Tiers + tests de pénétration | Produits critiques, paiement, infrastructures |
Le choix du niveau découle de l'analyse de risque conduite et documentée par le fabricant dans son dossier technique. Le niveau basic ne signifie pas l'absence de travail, il exige une analyse de risque formelle, un inventaire des contrôles, une documentation des choix de conception. Mais l'évaluation reste interne, ce qui maintient le coût accessible.
Ce que la publication débloque concrètement
Section intitulée « Ce que la publication débloque concrètement »Avant août 2024, la situation était bloquée : le règlement délégué fixait des obligations, mais aucune norme citée au JOUE ne permettait de démontrer la conformité de manière reconnue. Les laboratoires hésitaient à investir dans des portées d'accréditation EN 18031 tant que les normes n'étaient pas officielles. Les fabricants reportaient leurs projets RED 3.3 par manque de méthode claire.
La publication au JOUE débloque plusieurs choses simultanément :
- Chemin documenté de conformité pour les fabricants, la norme à appliquer existe, la méthodologie est figée.
- Accréditation laboratoire possible, les organismes accréditeurs (COFRAC en France, DAkkS en Allemagne, UKAS au Royaume-Uni) peuvent désormais étendre les portées EN 18031.
- Activation effective du règlement délégué le 1er août 2025, sans normes publiées, l'activation aurait été à nouveau reportée.
- Stabilisation du marché des services d'évaluation, formation des évaluateurs, standardisation des livrables, comparabilité des rapports entre laboratoires.
Pour le détail des essais demandés à chaque niveau, voir Tests RED requis.
Ce qui est couvert et ce qui ne l'est pas
Section intitulée « Ce qui est couvert et ce qui ne l'est pas »Les EN 18031 sont focalisées sur les contrôles techniques observables au niveau du produit fini. Elles ne couvrent pas plusieurs sujets cybersécurité importants traités ailleurs dans le paysage réglementaire européen :
- Sécurité de la chaîne d'approvisionnement logicielle (SBOM, vulnérabilités héritées): relève du Cyber Resilience Act (CRA).
- Sécurité des infrastructures réseau de l'opérateur, relève de NIS2.
- Gouvernance et organisation cybersécurité du fabricant, partiellement couverte par le CRA.
- Notification de vulnérabilités post-mise sur le marché, encadrée par le CRA, pas par EN 18031.
- Protection des données personnelles au sens du traitement: RGPD.
Les EN 18031 sont donc une brique du puzzle, pas la solution complète. Un fabricant rigoureux doit cartographier ses obligations selon les régimes applicables.
Articulation avec CRA, NIS2 et RGPD
Section intitulée « Articulation avec CRA, NIS2 et RGPD »Le Cyber Resilience Act (règlement (UE) 2024/2847, adopté en octobre 2024) crée un cadre horizontal cybersécurité produit qui couvrira à terme tous les produits avec éléments numériques, pas seulement les équipements radio. Les obligations CRA entreront pleinement en vigueur en décembre 2027. Entre-temps, EN 18031 reste la référence pour les produits radio.
La Commission a explicitement indiqué que les contrôles techniques EN 18031 seront reconnus dans le cadre CRA pour les produits qui en relèvent, il n'y aura pas double évaluation pour les exigences communes. Le CRA ajoutera essentiellement les obligations supply chain et notification de vulnérabilités.
NIS2 (directive (UE) 2022/2555) concerne les opérateurs d'infrastructures critiques, pas les fabricants de produits, la jonction est indirecte. RGPD continue de s'appliquer indépendamment au traitement de données, en complément.
Pour anticiper l'évolution réglementaire au-delà de l'UE, voir le guide certification double UE-US, qui compare RED 3.3 à l'approche FCC/CISA américaine.
À retenir
Section intitulée « À retenir »- Les trois normes EN 18031-1, -2 et -3 sont citées au JOUE depuis août 2024 et confèrent la présomption de conformité aux articles 3.3(d), (e), (f) de la directive RED.
- Elles ont été rédigées par CEN-CENELEC sous mandat M/585 émis en 2022.
- Trois niveaux d'assurance (basic, substantial, high): le choix dépend de l'analyse de risque du fabricant.
- La publication a rendu possible l'activation effective de RED 3.3 le 1er août 2025.
- Les normes couvrent les contrôles techniques produit uniquement, la chaîne d'approvisionnement et la gouvernance cybersécurité relèvent du Cyber Resilience Act.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Normes harmonisées RED: tableau complet
- Tests RED requis: détail des essais par article 3.1 à 3.3
- Certification double UE-US: comparaison des approches cybersécurité
Sources & références
- EN 18031-1: Common security requirements for radio equipment , CENELEC www.cenelec.eu/
- EN 18031-2: Common security requirements for radio equipment processing personal data , CENELEC www.cenelec.eu/
- EN 18031-3: Common security requirements for radio equipment for monetary transactions , CENELEC www.cenelec.eu/
- Mandate M/585: Commission standardisation request , European Commission eur-lex.europa.eu/