ETSI EN 303 645 : cybersécurité IoT consommateur
Guide · ETSI EN 303 645
Publiée pour la première fois en juin 2020 puis révisée en septembre 2024 (V3.1.3), la norme ETSI EN 303 645 fournit le premier socle international d'exigences de cybersécurité dédié aux objets connectés grand public. Treize familles de provisions techniques, complétées par un chapitre de protection des données personnelles aligné sur le RGPD, structurent un référentiel devenu base commune pour le PSTI Act britannique, le label singapourien CLS, le code australien et le programme indien CCS. Sans être harmonisée au titre de la directive RED article 3.3, elle reste l'un des deux référentiels que tout fabricant d'IoT consommateur doit aujourd'hui examiner, l'autre étant la série EN 18031. Ce guide expose le contenu de la norme, sa méthode d'évaluation via TS 103 701, et son articulation avec la conformité RED en Europe.
Origine et lacune comblée en 2020
Section intitulée « Origine et lacune comblée en 2020 »Jusqu'en 2019, la cybersécurité des objets connectés grand public relevait essentiellement de bonnes pratiques industrielles, de chartes volontaires (IoT Security Foundation, GSMA) et de quelques codes nationaux. Aucun référentiel normatif international ne définissait ce qu'un consommateur achetant une caméra IP, un thermostat connecté ou une station météo Wi-Fi pouvait attendre en matière de sécurité.
Cette absence se traduisait par des défaillances documentées : mots de passe administrateur identiques sur des millions d'unités exploités par les botnets Mirai dès 2016, services de maintenance ouverts sur internet sans authentification, mises à jour absentes ou non signées. Le code de pratique britannique "Secure by Design" publié en 2018 par le DCMS a servi de base, repris par ETSI pour produire la TS 103 645 V1.1.1 en février 2019, puis transformée en norme européenne EN 303 645 V2.1.1 en juin 2020.
La V3.1.3 de septembre 2024 consolide trois cycles de révision : précisions de définitions, clarifications sur les mécanismes acceptables de stockage de secrets, alignement avec la TS 103 701 V2 sur les cas de test, et harmonisation terminologique avec EN 18031. La norme reste structurée autour d'un principe directeur, énoncé dès l'introduction : "outcome-based provisions", des exigences orientées résultat plutôt que prescriptives sur la technologie.
Périmètre : ce qui entre, ce qui sort
Section intitulée « Périmètre : ce qui entre, ce qui sort »EN 303 645 cible explicitement les "consumer IoT devices", définis comme des équipements connectés à un réseau (filaire ou sans fil), destinés à un usage grand public, et leurs services et applications compagnons. La norme couvre quatre catégories typiques :
- équipements de la maison connectée : thermostats, ampoules, prises, capteurs d'ouverture, détecteurs de fumée, caméras IP, assistants vocaux, serrures connectées, jouets, enceintes ;
- équipements portés : montres, bracelets, vêtements, dispositifs de suivi ;
- équipements de loisirs et de mobilité grand public : drones, vélos électriques connectés, équipements sportifs ;
- passerelles domestiques, hubs, et applications mobiles ou cloud associées.
Sont explicitement hors périmètre quatre familles d'équipements relevant d'autres référentiels :
- dispositifs médicaux, couverts en Europe par MDR (UE) 2017/745 et IVDR ;
- véhicules automobiles, couverts par les règlements UNECE WP.29 R155 et R156 ;
- infrastructures critiques (énergie, eau, télécommunications, transport), traitées par la directive NIS2 ;
- équipements industriels et professionnels, relevant en partie du CRA pour les produits comportant des éléments numériques et de référentiels sectoriels (IEC 62443 pour l'OT).
Cette frontière n'est pas étanche en pratique. Un même boîtier peut héberger des fonctions consumer et des fonctions professionnelles, par exemple un routeur Wi-Fi domestique qui sert également de point d'accès pour une PME. Le fabricant arbitre alors entre EN 303 645 (consumer) et d'autres référentiels (CRA, EN 18031, IEC 62443) selon le marché visé.
Structure de la norme et statut des provisions
Section intitulée « Structure de la norme et statut des provisions »EN 303 645 V3.1.3 organise ses exigences en quatre clauses :
| Clause | Contenu | Caractère |
|---|---|---|
| 4 | Définitions, périmètre, abréviations | Normatif |
| 5 | Provisions de cybersécurité (5.1 à 5.13) | Normatif, mandatory et recommendation |
| 6 | Protection des données personnelles | Normatif, RGPD-aligned |
| Annexes | Schémas, tableaux récapitulatifs, principes | Informatif |
Chaque provision est étiquetée explicitement :
- Mandatory (M) : exigence obligatoire pour revendiquer la conformité à la norme. Un produit qui échoue à une seule provision M est non conforme.
- Recommendation (R) : exigence recommandée, dont l'absence justifiée n'invalide pas la conformité. Le fabricant doit documenter pourquoi la recommandation n'est pas suivie.
- Conditional (C) : exigence applicable seulement si une condition est remplie (par exemple, "si le produit accepte des entrées utilisateur via une interface réseau").
Cette gradation différencie EN 303 645 d'autres référentiels purement binaires et facilite son adoption par des produits de complexité variée, du capteur isolé à la passerelle multi-protocole.
Les treize familles de provisions (clause 5)
Section intitulée « Les treize familles de provisions (clause 5) »La clause 5 organise les exigences en treize familles thématiques, dont voici la synthèse. Le détail exhaustif des sous-provisions et de leur statut M/R/C est dans le document ETSI.
5.1 Pas de mots de passe par défaut universels
Section intitulée « 5.1 Pas de mots de passe par défaut universels »C'est la provision la plus connue, directement reprise par le PSTI Act britannique. Elle interdit qu'un produit soit livré avec un mot de passe identique sur toutes les unités. Options acceptables : mot de passe unique par unité (typiquement imprimé sur une étiquette), procédure d'initialisation forçant l'utilisateur à définir un mot de passe avant tout usage réseau, ou credentials cryptographiques (certificats, clés) non basés sur un mot de passe.
5.2 Politique de divulgation de vulnérabilités
Section intitulée « 5.2 Politique de divulgation de vulnérabilités »Le fabricant doit publier une politique de divulgation de vulnérabilités (VDP) accessible publiquement, indiquant le canal de signalement, les délais de réponse et les modalités de coordination. La norme renvoie à ISO/IEC 29147 (divulgation) et ISO/IEC 30111 (traitement).
5.3 Mécanisme de mise à jour logicielle et période de support
Section intitulée « 5.3 Mécanisme de mise à jour logicielle et période de support »Le produit doit pouvoir être mis à jour de manière sécurisée (intégrité, authenticité du firmware vérifiées). Le fabricant doit publier la période de support pendant laquelle des mises à jour de sécurité sont fournies. Cette période est libre, mais doit être communiquée avant achat et tenue.
5.4 Stockage sécurisé des credentials
Section intitulée « 5.4 Stockage sécurisé des credentials »Les secrets stockés sur l'équipement (clés, mots de passe, certificats) doivent être protégés contre l'extraction et la modification non autorisée. Méthodes acceptables : éléments sécurisés matériels (Secure Element), enclaves d'exécution (TEE), ou chiffrement logiciel adossé à une racine de confiance.
5.5 Communications sécurisées
Section intitulée « 5.5 Communications sécurisées »Toute communication transportant des données sensibles ou des commandes de contrôle doit être protégée en confidentialité et en intégrité par des mécanismes cryptographiques reconnus. La norme cite TLS 1.2 et supérieur, IPsec, et les protocoles spécifiques validés (LoRaWAN avec activation OTAA, Zigbee Pro, Thread).
5.6 Minimisation de la surface d'attaque exposée
Section intitulée « 5.6 Minimisation de la surface d'attaque exposée »Le produit ne doit pas exposer de services réseau, de ports ou d'interfaces de debug au-delà du strictement nécessaire à son fonctionnement. UART, JTAG, SWD, telnet, serveurs HTTP de diagnostic doivent être désactivés ou protégés en production.
5.7 Intégrité du logiciel
Section intitulée « 5.7 Intégrité du logiciel »Le firmware exécuté doit être vérifié à chaque démarrage (secure boot) ou faire l'objet d'un mécanisme équivalent de détection d'altération. La chaîne de confiance commence à une racine matérielle ou à un bootloader immuable.
5.8 Protection des données personnelles
Section intitulée « 5.8 Protection des données personnelles »Les données personnelles traitées par le produit doivent être protégées en confidentialité et en intégrité, tant au repos que pendant la transmission. Cette provision se chevauche partiellement avec la clause 6 et avec le RGPD.
5.9 Résilience aux pannes
Section intitulée « 5.9 Résilience aux pannes »Le produit doit continuer à assurer ses fonctions essentielles, ou retomber dans un état sûr documenté, en cas de perte de connectivité réseau, de panne d'alimentation ou de défaillance d'un service distant. Un détecteur de fumée Wi-Fi doit alarmer localement même si le cloud du fabricant est inaccessible.
5.10 Examen des données de télémétrie
Section intitulée « 5.10 Examen des données de télémétrie »Toute donnée de télémétrie remontée par le produit (logs, métriques, événements) doit être examinée pour détecter les anomalies de sécurité. Cette provision vise le fabricant et son backend, pas seulement l'équipement.
5.11 Effacement des données par l'utilisateur
Section intitulée « 5.11 Effacement des données par l'utilisateur »L'utilisateur doit pouvoir supprimer ses données personnelles du produit et des services associés selon une procédure documentée. Cette exigence prolonge le droit à l'effacement du RGPD au niveau produit.
5.12 Installation et maintenance simples
Section intitulée « 5.12 Installation et maintenance simples »Les procédures d'installation, de configuration et de maintenance doivent être suffisamment claires pour qu'un utilisateur non expert applique les bonnes pratiques de sécurité (changement du mot de passe initial, activation des mises à jour automatiques).
5.13 Validation des données d'entrée
Section intitulée « 5.13 Validation des données d'entrée »Toute donnée reçue par le produit, qu'elle provienne du réseau, d'un capteur, d'une interface utilisateur ou d'un service distant, doit être validée avant traitement. Cette provision couvre les vulnérabilités classiques d'injection, de débordement et de désérialisation.
La clause 6 sur la protection des données personnelles
Section intitulée « La clause 6 sur la protection des données personnelles »La clause 6 ne reprend pas le numérotage des provisions de la clause 5. Elle introduit cinq familles d'exigences alignées sur les principes du RGPD :
- 6.1 Consentement : tout traitement de données personnelles requiert un consentement valide, libre, spécifique, éclairé et univoque. Le consentement doit être retirable aussi simplement qu'il a été donné.
- 6.2 Transparence : le fabricant doit communiquer aux utilisateurs quelles données sont traitées, à quelle fin, par quels destinataires et pendant quelle durée.
- 6.3 Données par défaut : la configuration par défaut doit minimiser la collecte de données personnelles (principe de minimisation, RGPD article 5.1.c).
- 6.4 Données de télémétrie identifiables : si la télémétrie transporte des données personnelles, elle entre dans le champ du RGPD et toutes les obligations associées s'appliquent.
- 6.5 Données sensibles : les données de catégorie particulière au sens de l'article 9 du RGPD (santé, biométrie, orientation, etc.) sont soumises à un régime de protection renforcé.
EN 303 645 ne se substitue pas au RGPD. Elle rappelle au fabricant que la conformité produit cybersécurité et la conformité RGPD se rejoignent sur ces cinq points, et qu'une évaluation cybersécurité bien menée vérifie déjà une partie des exigences RGPD.
Synthèse des treize provisions
Section intitulée « Synthèse des treize provisions »| Provision | Libellé court | Caractère dominant |
|---|---|---|
| 5.1 | Pas de mot de passe par défaut universel | Mandatory |
| 5.2 | Politique de divulgation de vulnérabilités | Mandatory |
| 5.3 | Mise à jour logicielle, période de support | Mandatory, conditional |
| 5.4 | Stockage sécurisé des credentials | Mandatory |
| 5.5 | Communications sécurisées | Mandatory |
| 5.6 | Surface d'attaque minimisée | Mandatory |
| 5.7 | Intégrité du logiciel | Recommendation, conditional |
| 5.8 | Protection des données personnelles | Mandatory |
| 5.9 | Résilience aux pannes | Recommendation |
| 5.10 | Examen de la télémétrie | Recommendation |
| 5.11 | Effacement par l'utilisateur | Mandatory |
| 5.12 | Installation et maintenance simples | Recommendation |
| 5.13 | Validation des entrées | Mandatory |
| 6.x | Protection des données personnelles | Mandatory et recommendation |
Le statut exact M/R/C dépend de la version. Le tableau ci-dessus indique la tendance dominante en V3.1.3. Un audit complet requiert la lecture du texte normatif.
Évaluation de la conformité : ETSI TS 103 701
Section intitulée « Évaluation de la conformité : ETSI TS 103 701 »EN 303 645 ne définit pas elle-même la méthode d'évaluation. ETSI publie pour cela une spécification technique distincte, TS 103 701, intitulée "Cyber Security Assessment for Consumer IoT Products". Le document décrit pour chaque provision :
- l'objectif du test (test purpose), formulation déclarative de ce que le test cherche à vérifier ;
- la procédure de test (test procedure), étapes concrètes d'exécution ;
- les critères pass/fail, conditions de validation ;
- les paramètres dépendants de l'implémentation (PIXIT, Protocol Implementation eXtra Information for Testing), informations à fournir par le fabricant sur sa propre architecture pour permettre l'exécution du test ;
- la déclaration de conformité d'implémentation (ICS, Implementation Conformance Statement), tableau indiquant pour chaque provision si elle est applicable et comment elle est traitée.
L'évaluation TS 103 701 produit un rapport structuré, exploitable comme pièce dans un schéma national de labellisation. Plusieurs laboratoires d'essais spécialisés (BSI, NCC Group, Thales, organismes nationaux désignés) proposent l'évaluation TS 103 701 sous accréditation ISO/IEC 17025.
Le tableau ci-dessous résume les étapes typiques d'une évaluation TS 103 701.
| Étape | Acteur | Livrable |
|---|---|---|
| Initiation et périmètre | Fabricant + labo | Liste des produits évalués, versions FW |
| Renseignement ICS et PIXIT | Fabricant | Documents ICS et PIXIT signés |
| Exécution des cas de test | Laboratoire | Journal d'essais par provision |
| Analyse des résultats | Laboratoire | Rapport pass/fail par provision |
| Synthèse et conclusion | Laboratoire | Rapport d'évaluation final |
| Action correctives (si fail) | Fabricant | Mises à jour FW, retest partiel |
Régimes nationaux ancrés sur EN 303 645
Section intitulée « Régimes nationaux ancrés sur EN 303 645 »Plusieurs juridictions ont fait d'EN 303 645 leur référentiel technique sans toujours en reprendre l'intégralité.
Royaume-Uni : PSTI Act 2022
Section intitulée « Royaume-Uni : PSTI Act 2022 »Le Product Security and Telecommunications Infrastructure Act, entré en application le 29 avril 2024, impose à tout fabricant, importateur ou distributeur d'équipement IoT consommateur vendu au Royaume-Uni trois exigences minimales, directement inspirées des provisions 5.1, 5.2 et 5.3 d'EN 303 645 :
- pas de mot de passe par défaut universel,
- canal de signalement de vulnérabilités publié,
- durée minimale de support en sécurité communiquée à l'acheteur.
Le respect est attesté par une "statement of compliance" tenue à disposition de l'Office for Product Safety and Standards (OPSS). Les sanctions atteignent 10 millions de livres ou 4 pour cent du chiffre d'affaires mondial.
Australie : Code of Practice
Section intitulée « Australie : Code of Practice »Le "Code of Practice: Securing the Internet of Things for Consumers", publié par le Department of Home Affairs en 2020, reprend les treize provisions d'EN 303 645 sous forme de recommandations volontaires. Il sert de référence aux marchés publics et aux schémas de labellisation locaux.
Singapour : Cybersecurity Labelling Scheme (CLS)
Section intitulée « Singapour : Cybersecurity Labelling Scheme (CLS) »Géré par la Cyber Security Agency of Singapore (CSA), le CLS structure quatre niveaux progressifs, du niveau 1 (basique) au niveau 4 (évaluation tierce avancée). Les niveaux 1 et 2 reposent sur une auto-déclaration alignée sur EN 303 645, les niveaux 3 et 4 ajoutent une évaluation TS 103 701 et des tests de pénétration. Le CLS est obligatoire pour les routeurs Wi-Fi vendus à Singapour depuis 2020.
Inde : programme CCS for IoT
Section intitulée « Inde : programme CCS for IoT »Le Common Criteria Scheme indien pour l'IoT, opéré par STQC (ministère de l'électronique), utilise EN 303 645 comme base technique. Le programme produit des certificats reconnus pour les marchés publics indiens.
Finlande : label cybersécurité Traficom
Section intitulée « Finlande : label cybersécurité Traficom »L'autorité finlandaise (Traficom) délivre depuis 2019 un label cybersécurité IoT consommateur basé sur EN 303 645. Le label est volontaire, valable trois ans, et visible sur les routeurs et caméras vendus en Finlande.
EN 303 645 et la conformité européenne RED 3.3
Section intitulée « EN 303 645 et la conformité européenne RED 3.3 »La situation européenne est nuancée. La RED 3.3, activée par le règlement délégué (UE) 2022/30 le 1er août 2025, exige pour tout équipement radio connecté à internet la conformité à trois exigences essentielles : protection du réseau (3.3(d)), protection des données personnelles (3.3(e)), protection contre la fraude (3.3(f)). Les normes harmonisées qui ouvrent la présomption de conformité sont publiées au JOUE depuis janvier 2025 sous la forme de la série EN 18031 :
- EN 18031-1 : exigences communes pour la protection du réseau (article 3.3(d)),
- EN 18031-2 : exigences pour la protection des données personnelles (article 3.3(e)),
- EN 18031-3 : exigences pour la protection contre la fraude monétaire (article 3.3(f)).
EN 303 645 n'est pas listée dans cette publication. Son utilisation seule ne déclenche pas la présomption de conformité RED. Concrètement, pour un équipement radio (Wi-Fi, BLE, LoRa, cellulaire, etc.) vendu dans l'UE, la voie formelle reste EN 18031.
EN 303 645 conserve néanmoins trois rôles en Europe :
- Complément documentaire : un fabricant peut citer EN 303 645 dans son dossier annexe V pour démontrer une démarche cybersécurité allant au-delà du minimum réglementaire, notamment sur la protection des données personnelles (clause 6).
- Préparation à l'export : un produit vendu en UE puis exporté au Royaume-Uni, Singapour ou Australie devra démontrer EN 303 645. Adopter le référentiel dès la conception européenne évite une refonte.
- Couverture des produits non radio : un produit IoT consommateur sans radio (par exemple un dispositif connecté par Ethernet uniquement, alimenté par USB) sort du champ RED. EN 303 645 lui offre alors un référentiel pertinent, en attendant l'entrée en application du CRA en 2027.
EN 303 645 vs EN 18031 : tableau comparatif
Section intitulée « EN 303 645 vs EN 18031 : tableau comparatif »| Dimension | EN 303 645 V3.1.3 | EN 18031-1/-2/-3 |
|---|---|---|
| Éditeur | ETSI | CENELEC |
| Statut européen | Norme européenne non harmonisée RED | Normes harmonisées RED 3.3 |
| Périmètre | IoT consommateur, mondial | Équipements radio internet-connected, UE |
| Activation | Volontaire | Obligatoire pour produits radio depuis le 1 août 2025 |
| Provisions techniques | 13 familles (clause 5) + 5 familles données personnelles (clause 6) | 3 normes par exigence essentielle RED 3.3(d)(e)(f) |
| Protection données personnelles | Couverte (clause 6) | Couverte (EN 18031-2) |
| Méthode d'évaluation | ETSI TS 103 701 | EN 18031, annexes de test |
| Niveaux d'assurance | Pass / fail par provision | Basic, substantial, high (high non encore mature) |
| Usage typique | Labels nationaux (UK PSTI, CLS, Traficom, CCS) | Marquage CE, présomption RED 3.3 |
| Reconnaissance internationale | Forte (référentiel global IoT consumer) | UE et EEE |
Les deux référentiels traitent largement les mêmes sujets : mot de passe par défaut, mise à jour, communications sécurisées, gestion des vulnérabilités, stockage des secrets. Un produit conforme à EN 18031 niveau substantial couvre déjà l'essentiel d'EN 303 645, et inversement. Le travail principal de double conformité consiste à compléter la documentation et à organiser les preuves selon les deux ICS (celle d'EN 18031 et celle de TS 103 701).
Cas d'usage : choisir le bon référentiel
Section intitulée « Cas d'usage : choisir le bon référentiel »Le tableau suivant suggère le référentiel à privilégier selon la nature du produit et le marché visé.
| Produit | Marchés visés | Référentiel principal | Référentiel complémentaire |
|---|---|---|---|
| Caméra IP Wi-Fi grand public | UE | EN 18031 (RED 3.3) | EN 303 645 pour export UK/Asie |
| Détecteur de fumée Zigbee | UE seule | EN 18031 | aucun |
| Routeur Wi-Fi 6 | UE + Singapour | EN 18031 + EN 303 645 niveau CLS visé | TS 103 701 pour CLS niveau 3 |
| Bracelet de sport BLE | UE + UK + US | EN 18031 + EN 303 645 (PSTI) | guides FCC pour US |
| Hub domestique Ethernet uniquement (sans radio) | UE | EN 303 645 (hors champ RED) | préparation CRA 2027 |
| Caméra IP Ethernet uniquement | UE + UK | EN 303 645 + PSTI | préparation CRA 2027 |
| Jouet connecté BLE | UE + UK | EN 18031 + EN 303 645 | code australien si export AU |
| Thermostat Wi-Fi vendu en Inde | Inde | EN 303 645 via programme CCS | aucun |
Le critère décisif reste la présence d'une radio et le marché européen. Avec radio + UE, EN 18031 est obligatoire. Sans radio en UE, EN 303 645 est de facto le seul référentiel disponible aujourd'hui, jusqu'à ce que le CRA prenne le relais en 2027.
Pour un fabricant : démarche pratique
Section intitulée « Pour un fabricant : démarche pratique »Une démarche cybersécurité IoT consommateur sérieuse combine trois temps documentés dès la phase de conception :
1. Cadrage référentiel. Lister les marchés visés et identifier pour chacun le référentiel applicable (EN 18031 pour UE, EN 303 645 pour UK / Singapour / Australie / Inde, code de pratique sectoriel pour des cas particuliers comme la santé connectée). Pour un produit pluri-marché, prévoir une matrice de provisions consolidée. Voir aussi notre checklist RED pour la dimension européenne.
2. Conception alignée sur les provisions. Intégrer les exigences mandatory dès l'architecture : pas de credential commun à la flotte, mécanisme de mise à jour signée avec rollback, stockage de secrets dans un élément matériel ou TEE, désactivation des interfaces de debug en production, validation systématique des entrées. Ces choix doivent figurer dans le dossier de conception et l'analyse de risques.
3. Évaluation et documentation. Planifier une évaluation TS 103 701 par un laboratoire accrédité, idéalement en parallèle des tests RED si le produit comporte une radio. Conserver tous les artefacts (ICS, PIXIT, journaux, rapports) avec le dossier technique pendant toute la durée de support déclarée plus la période réglementaire d'archivage.
Limites du référentiel et perspectives
Section intitulée « Limites du référentiel et perspectives »EN 303 645 reste un référentiel "outcome-based" : il définit ce qu'un produit doit garantir, sans imposer de technologie. Cette neutralité fait sa force (large applicabilité) et sa limite (exigences parfois interprétables, comparaison entre rapports d'évaluation complexe).
Trois évolutions sont à surveiller :
- Mise à jour vers V4 : ETSI a engagé en 2025 les travaux préparatoires d'une V4 attendue en 2027, censée clarifier le statut des provisions conditionnelles et intégrer les retours TS 103 701.
- Articulation avec CRA : le Cyber Resilience Act, applicable le 11 décembre 2027, couvrira l'ensemble des produits comportant des éléments numériques, y compris ceux du périmètre EN 303 645. Une partie des normes harmonisées CRA reprendra vraisemblablement la structure d'EN 303 645.
- Convergence internationale : les travaux ISO/IEC SC 27 et SC 41 visent une normalisation mondiale unique. EN 303 645 figure parmi les références citées.
Pour aujourd'hui, EN 303 645 reste l'un des deux référentiels qu'un fabricant d'IoT grand public examine, avec EN 18031 en Europe. La maîtrise des treize provisions, articulée avec la RED 3.3 et le marquage CE, constitue un socle technique pour la mise sur le marché internationale.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Checklist RED : démarche projet de conformité RED phase par phase
- Activation RED 3.3 : règlement délégué 2022/30 applicable depuis le 1 août 2025
- Publication des normes EN 18031 : présomption de conformité RED 3.3
- Tests RED : panorama des essais 3.1(a), 3.1(b), 3.2 et 3.3
- Marquage CE : cadre transversal européen
- Glossaire : définitions des termes ETSI, ENISA, CENELEC
Sources & références
- ETSI EN 303 645 V3.1.3 (2024-09), cybersecurity for consumer IoT , ETSI www.etsi.org/deliver/etsi_en/303600_303699/303645/
- ETSI TS 103 701, cybersecurity assessment for consumer IoT , ETSI www.etsi.org/deliver/etsi_ts/103700_103799/103701/
- UK Product Security and Telecommunications Infrastructure Act 2022 , UK Legislation www.legislation.gov.uk/ukpga/2022/46/contents
- Règlement délégué (UE) 2022/30, activation de l'article 3.3 RED , EUR-Lex eur-lex.europa.eu/eli/reg_del/2022/30/oj
- CENELEC, portail des normes européennes harmonisées (série EN 18031) , CENELEC www.cenelec.eu/
- Singapore Cybersecurity Labelling Scheme (CLS) , Cyber Security Agency of Singapore www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme