Le 15 septembre 2022, la Commission européenne a présenté le Cyber Resilience Act (CRA) déjà annoncé en septembre 2021 par la présidente Ursula von der Leyen lors de son discours sur l’état de l’Union. Dès décembre 2020, elle avait dévoilé la nouvelle stratégie de cybersécurité de l’Union européenne (UE) pour la décennie numérique.

L’urgence de réformer le droit de l’UE par une nouvelle législation est notamment née d’un triple constat : premièrement, la cybercriminalité est en forte hausse, son coût annuel représentait notamment environ 5,5 milliards d’euros en 2021 à l’échelle de la planète ; deuxièmement, les utilisateurs ne comprennent pas et/ou n’ont pas accès aux informations leur permettant de choisir des produits adéquats en matière de cybersécurité ; et troisièmement, l’UE ne possède pas les outils nécessaires lui permettant de lutter efficacement contre la cybercriminalité liée aux produits comportant des éléments numériques, compte tenu du fait que la plupart des produits matériels et logiciels ne sont actuellement couverts par aucune législation relative à la cybersécurité.

Le CRA a donc pour ambition de fournir les moyens nécessaires à l’UE pour lutter contre la cybercriminalité. Le parti pris de la Commission européenne a été celui de faire peser l’entière responsabilité sur les fabricants, les importateurs et les distributeurs de produits. Comme l’indiquait Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique, la nouvelle législation « fera peser la responsabilité sur ceux qui doivent l’assumer, c’est-à-dire ceux qui mettent les produits sur le marché ».