- Emitech Certification a obtenu la notification officielle pour délivrer des certificats d’examen UE de type intégrant les exigences en cybersécurité prévues par le règlement délégué (UE) 2022/30 concernant les équipements radioélectriques commercialisés sur le marché européen.
Déjà organisme notifié pour plusieurs directives européennes – notamment la directive RED 2014/53/UE, la directive CEM 2014/30/UE, et le règlement (UE) 2019/945 relatif aux systèmes d’aéronefs sans équipage à bord (drones) – Emitech Certification a vu sa compétence élargie en décembre 2024, avec la validation de sa recevabilité opérationnelle par le Cofrac concernant les exigences de cybersécurité.
Cette avancée réglementaire s’inscrit dans un processus en plusieurs étapes, comprenant une demande de notification transmise par Emitech à la DGE (Direction Générale des Entreprises), l’émission d’un avis favorable par la DGE, puis la validation de cette notification au niveau européen. Depuis lors, Emitech Certification est officiellement reconnu en tant qu’Organisme Notifié (ON) pour le règlement délégué (UE) 2022/30.
Le règlement délégué (UE) 2022/30, publié en janvier 2022, complète la directive RED en activant trois exigences essentielles en cybersécurité (article 3.3) applicables à certains équipements radio connectés :
• 3.3 d) : la protection du réseau et la prévention des perturbations de service,
• 3.3 e) : la protection des données personnelles et de la vie privée,
• 3.3 f) : la protection contre la fraude.
Ce règlement s’appliquera à partir du 1er août 2025, à la suite d’un report décidé pour permettre l’élaboration de normes harmonisées par le CEN/CENELEC et l’ETSI.
Nouvelles exigences pour les équipements reliés à internet
Les fabricants devront démontrer la conformité de leurs équipements à ces exigences, soit en appliquant des normes harmonisées (dès leur publication), soit en sollicitant un organisme notifié comme Emitech Certification pour réaliser une évaluation tierce partie (examen UE de type ou système qualité).
Dans ce contexte, Emitech Certification jouera un rôle de tiers de confiance, en s’appuyant sur :
• des analyses de risques fournies par les fabricants,
• des rapports d’essais (ISO/CEI 17025, ou acceptés sous conditions),
• des référentiels techniques, notamment la série EN 18031, composée de trois normes harmonisées :
o EN 18031-1:2024 : Exigences générales de cybersécurité ;
o EN 18031-2:2024 : Protection de la vie privée et des données personnelles ;
o EN 18031-3:2024 : Protection contre la fraude.
Ces normes couvrent respectivement les exigences des articles 3.3 d), e) et f) de la directive RED, et confèrent une présomption de conformité à compter du 1er août 2025, sous réserve des restrictions d’application précisées par la Commission européenne. Elles permettent aux fabricants d’opter pour une auto-évaluation ou, en cas de clauses restreintes, de solliciter un organisme notifié. Emitech Certification reste ainsi un interlocuteur approprié pour les produits sortant du périmètre strictement couvert par les normes ou dans des cas innovants.
Un accompagnement structuré
Afin d’accompagner les fabricants dans leurs démarches techniques et administratives, Emitech Certification a mis au point un dispositif formalisé autour d’un formulaire dédié comportant plusieurs modules clés. On y retrouve entre autres un document ICS (« Implementation Conformance Statement ») permettant aux demandeurs de préciser comment sont mises en œuvre concrètement certaines fonctions critiques ; un IXIT (« Implementation eXtra Information for Testing »), centré quant à lui sur les paramètres pertinents pour réaliser des essais reproductibles ; enfin une trame guidant l’analyse des menaces identifiées lors du développement logiciel ou matériel. L’ensemble contribue à valider que les fonctions liées à la sécurité sont bien actives et robustes (authentification réseau sécurisée via chiffrement asymétrique, journalisation non falsifiable accessible uniquement localement…) et de garantir la conformité CE des produits connectés.
Cette évolution réglementaire s’inscrit dans une dynamique européenne plus large, en amont du Cyber Resilience Act(CRA), qui étendra ces exigences à tous les produits numériques d’ici 2027. En attendant, le RED et son acte délégué 2022/30 constituent le cadre juridique contraignant pour les objets connectés.
