Emitech Certification : notification officielle pour la cybersécurité dans le cadre du marquage CE

Le Groupe Emitech annonce une avancée majeure dans les missions d’Emitech Certification, avec l’obtention de la notification officielle pour délivrer des certificats d’examen UE de type intégrant les exigences en cybersécurité prévues par le règlement délégué (UE) 2022/30. Cette avancée renforce sa position d’acteur incontournable de la conformité réglementaire des équipements radioélectriques sur le marché européen.

Une extension du champ de notification au service de la conformité

Déjà organisme notifié pour plusieurs directives européennes – notamment la directive RED 2014/53/UE, la directive CEM 2014/30/UE, et le règlement (UE) 2019/945 relatif aux systèmes d’aéronefs sans équipage à bord (drones) – Emitech Certification a vu sa compétence élargie en décembre 2024, avec la validation de sa recevabilité opérationnelle par le Cofrac concernant les exigences de cybersécurité. Cette avancée réglementaire s’inscrit dans un processus en plusieurs étapes, comprenant une demande de notification transmise par Emitech à la DGE (Direction Générale des Entreprises), l’émission d’un avis favorable par la DGE, puis la validation de cette notification au niveau européen. Depuis lors, Emitech Certification est officiellement reconnu en tant qu’Organisme Notifié (ON) pour le règlement délégué (UE) 2022/30. Le règlement délégué (UE) 2022/30, publié en janvier 2022, complète la directive RED en activant trois exigences essentielles en cybersécurité (article 3.3) applicables à certains équipements radio connectés : • 3.3 d) : la protection du réseau et la prévention des perturbations de service,

• 3.3 e) : la protection des données personnelles et de la vie privée,

• 3.3 f) : la protection contre la fraude.

De nouvelles exigences pour les équipements reliés à internet et un rôle accru pour les organismes notifiés

Les fabricants devront démontrer la conformité de leurs équipements à ces exigences, soit en appliquant des normes harmonisées (dès leur publication), soit en sollicitant un organisme notifié comme Emitech Certification pour réaliser une évaluation tierce partie (examen UE de type ou système qualité). Dans ce contexte, Emitech Certification jouera un rôle de tiers de confiance, en s’appuyant sur : • des analyses de risques fournies par les fabricants,

• des rapports d’essais (ISO/CEI 17025, ou acceptés sous conditions),

• des référentiels techniques, notamment la série EN 18031, composée de trois normes harmonisées :

o EN 18031-1:2024 : Exigences générales de cybersécurité ;

o EN 18031-2:2024 : Protection de la vie privée et des données personnelles ;

o EN 18031-3:2024 : Protection contre la fraude.

Ces normes couvrent respectivement les exigences des articles 3.3 d), e) et f) de la directive RED, et confèrent une présomption de conformité à compter du 1er août 2025, sous réserve des restrictions d’application précisées par la Commission européenne. Elles permettent aux fabricants d’opter pour une auto-évaluation ou, en cas de clauses restreintes, de solliciter un organisme notifié. Emitech Certification reste ainsi un interlocuteur clé pour les produits sortant du périmètre strictement couvert par les normes ou dans des cas innovants.

Un accompagnement structuré pour les industriels

Afin d’accompagner efficacement les fabricants dans leurs démarches techniques et administratives, Emitech Certification a mis au point un dispositif formalisé autour d’un formulaire dédié comportant plusieurs modules clés.

On y retrouve entre autres un document ICS (« Implementation Conformance Statement ») permettant aux demandeurs de préciser comment sont mises en œuvre concrètement certaines fonctions critiques ; un IXIT (« Implementation eXtra Information for Testing »), centré quant à lui sur les paramètres pertinents pour réaliser des essais reproductibles ; enfin une trame guidant l’analyse des menaces identifiées lors du développement logiciel ou matériel.

L’ensemble contribue à valider que les fonctions liées à la sécurité sont bien actives et robustes (authentification réseau sécurisée via chiffrement asymétrique, journalisation non falsifiable accessible uniquement localement…) et de garantir la conformité CE des produits connectés.

Une évolution européenne en faveur de la cybersécurité

Cette évolution réglementaire s’inscrit dans une dynamique européenne plus large, en amont du Cyber Resilience Act(CRA), qui étendra ces exigences à tous les produits numériques d’ici 2027. En attendant, le RED et son acte délégué 2022/30 constituent le cadre juridique contraignant pour les objets connectés. Le rôle des organismes notifiés, comme Emitech Certification est essentiel durant cette phase de transition, pour sécuriser l’innovation et accélérer l’adoption de produits « secure by design ».

www.emitech.fr

Pour plus d’informations, vous pouvez vous adresser à Monsieur Pascal Bonnenfant, Responsable Emitech Certification (p.bonnefant@emitech-group.com).

A propos du Groupe Emitech :

Emitech a été fondée en 1989 et, avec ses filiales Eurocem, Adetests, Environne'Tech, Pieme, Lefae, EMC, Emitech Engineering Africa et Emitech R&D Moteurs, elle forme le groupe Emitech. Le siège social d'Emitech est situé à Montigny-le-Bretonneux (78). Le Groupe exploite 19 sites (18 sites en France et 1 site au Maroc) avec des centres de test dédiés à la conception et à la validation de solutions de mobilité actuelles et futures, ainsi qu'à la qualification, au marquage CE et à la mise sur le marché de produits de toutes sortes. Les domaines d'expertise du groupe sont divers et complémentaires, couvrant la CEM, la radio, la sécurité électrique, les environnements mécaniques, vibratoires, acoustiques, NVH, les chocs, les environnements thermiques, physico-chimiques, le feu et l'hydraulique, ainsi que la mécatronique, les logiciels et la pollution. Le cœur de métier du groupe Emitech est la gestion des essais, mais il s'étend également à d'autres domaines tels que la conception de bancs d'essai, l'ingénierie, la formation et la métrologie. Le groupe Emitech emploie 670 personnes et devrait générer un chiffre d'affaires de 76 millions d'euros en 2024.

* * *

M4S TAKE

My take: certifications like this matter because they give buyers a defensible reason to shortlist a supplier. In a market where everyone claims quality, third-party validation is the difference between being considered and being ignored.

Simon McLoughlin