En Janvier 2027, le Règlement sur les machines de l’UE (2023/1230/UE) entrera en vigueur, remplaçant la Directive sur les machines de l’UE (2006/42/CE).
La principale nouveauté est que les fabricants de machines devront désormais protéger leurs produits contre les risques cybernétiques. Cela inclut non seulement les cyberattaques, mais aussi les dysfonctionnements matériels et logiciels, les interruptions de connexion sans fil et les erreurs fonctionnelles dans les opérations autonomes ou pilotées par l’IA.
Qui est concerné par le règlement ?
Le règlement vise principalement les fabricants de machines. Leurs produits doivent respecter des normes de sécurité de base afin de ne pas mettre en danger les personnes, les animaux, les biens ou l’environnement.
Les distributeurs et importateurs doivent également éviter de mettre sur le marché des produits non conformes. Toutefois, s’ils — ou les opérateurs de machines — modifient l’équipement d’une manière qui affecte la sécurité, ils seront considérés comme des fabricants et devront assumer l’ensemble des obligations associées.
Combien de temps reste-t-il pour se préparer?
La plupart des exigences du règlement devront être respectées d’ici le 20 janvier 2027. Cette échéance peut sembler lointaine, mais aucune machine non conforme ne pourra être mise sur le marché de l’UE après cette date — ce qui signifie que le temps presse.
Étant donné les longs cycles de développement dans le secteur des machines, répondre aux nouvelles exigences demande des efforts considérables. Les fabricants doivent réaliser des évaluations des risques, définir les responsabilités et mettre en œuvre de nouveaux processus et solutions techniques. Ces étapes nécessitent du temps et une préparation rigoureuse.
Quelles sont les exigences du règlement?
Les changements les plus importants figurent dans l’annexe III, sections 1.1.9 (« Protection contre la corruption ») et 1.2.1 (« Sécurité et fiabilité des systèmes de commande »). Ces dispositions exigent que les fabricants garantissent que les connexions aux dispositifs et réseaux externes ne provoquent pas de situations dangereuses. Les composants matériels, les logiciels et les données doivent être protégés.
Toutes les modifications apportées aux logiciels ou aux configurations du système doivent être documentées via un journal de bord approprié.
Les systèmes de commande doivent être conçus pour que les influences externes — telles que les cyberattaques, les pannes matérielles et logicielles, les interruptions de connexion sans fil — ainsi que les erreurs humaines ou les défauts de logique de commande ne provoquent pas de situations dangereuses.
Le règlement introduit également des exigences spécifiques pour les systèmes d’IA fonctionnant de manière autonome ou semi-autonome — appelés comportements ou logiques auto-développés. Ces systèmes ne doivent pas activer les machines sans supervision et doivent bloquer toute modification de paramètres ou de règles pouvant entraîner des situations dangereuses. Toutes les décisions liées à la sécurité doivent être enregistrées, et les systèmes de commande IA doivent pouvoir être mis à jour à tout moment pour résoudre les problèmes de sécurité.
Les systèmes d’IA sont classés comme à haut risque en raison de leur autonomie et de leur transparence limitée, qui peuvent accroître la probabilité et la gravité des dommages. Ils relèvent donc de la catégorie des machines nécessitant une évaluation de conformité par un organisme indépendant.
Les fabricants doivent également documenter toutes les évaluations des risques et les mesures de sécurité pour se conformer au règlement. Si leurs produits ne respectent pas les exigences, ils doivent agir immédiatement pour corriger la situation ou retirer la machine du marché. Les autorités compétentes doivent être informées de tout danger et des mesures correctives prises.
Bien que le règlement impose des exigences strictes, il prévoit certaines simplifications. Par exemple, les notices d’utilisation et les déclarations de conformité pourront être fournies sous forme numérique. Ces documents devront rester accessibles en ligne pendant toute la durée de vie de la machine — ou au moins dix ans — et être disponibles gratuitement en version papier sur demande.
Quels sont les défis liés à la mise en œuvre?
Au-delà des délais serrés, le principal défi pour les fabricants réside dans les exigences strictes du règlement. La conformité nécessite des changements techniques et organisationnels importants, ainsi qu’une expertise approfondie en cybersécurité — des ressources qui ne sont pas toujours disponibles dans les équipes de développement. Beaucoup font face à des pénuries de personnel, de temps et de budget.
De plus, les fabricants doivent se conformer non seulement au règlement sur les machines, mais aussi à d’autres cadres de cybersécurité, tels que la directive NIS2 et le Cyber Resilience Act, selon leur secteur et leurs produits. Ces règlements introduisent leurs propres exigences de sécurité et obligations de déclaration, parfois redondantes.
La cybersécurité est donc devenue une priorité stratégique pour les fabricants, à aborder de manière coordonnée pour éviter la duplication des efforts.
Cependant, l’introduction de ces exigences représente aussi une opportunité. Les fabricants peuvent aider leurs clients à respecter leurs propres obligations de conformité en fournissant des machines sécurisées. De nouveaux processus — tels que les mécanismes d’installation de correctifs de sécurité et de mises à jour fonctionnelles, ainsi que les services par abonnement — peuvent également servir de base à des offres numériques.
Bien que le calendrier soit exigeant, de nombreux fabricants intègrent désormais des composants et services numériques dès le départ, afin que la cybersécurité soit intégrée dès la conception.
L’expérience montre que cette approche est plus simple et plus rentable que d’ajouter la sécurité après coup.
Comment NTT DATA peut vous aider
NTT DATA accompagne les fabricants dans la mise en œuvre du règlement sur les machines de l’UE grâce à des équipes spécialisées, couvrant l’ensemble du processus: évaluations des risques, analyses des écarts, recommandations et mise en œuvre de mesures techniques et organisationnelles appropriées.
Notre approche s’appuie sur des normes et cadres reconnus, notamment ISO/IEC 27005 pour la gestion des risques et ISA/IEC 62443 pour la protection des systèmes et réseaux.
Grâce à notre connaissance approfondie du secteur et notre vaste expérience dans les projets IT, OT, cybersécurité et conformité, nous offrons des conseils personnalisés et des solutions sur mesure. Les fabricants bénéficient d’une offre de services complète, avec un accompagnement fiable à long terme.