Entretien avec Luca Cedric Biggiogera

Luca Cedric Biggiogera a une expérience en politique numérique et en affaires européennes. Depuis le début de 2025, il occupe le poste de Technical Affairs Manager IT & Cybersecurity chez UNIFE, l’association européenne de l’industrie ferroviaire. Dans cette fonction, il dirige le groupe de travail Cybersécurité de l’UNIFE, le groupe de travail UNIFE Safety Assurance and ECM ainsi que l’initiative interassociative Cybersecurity Rail Sector Group, dans laquelle l’UNIFE collabore avec le CER, l’EIM et l’UITP sur le Cyber Resilience Act.

Le Cyber Resilience Act (CRA) est un nouveau règlement européen majeur en matière de cybersécurité. Pouvez-vous expliquer brièvement ses principaux objectifs et pourquoi il est pertinent pour les entreprises ferroviaires ?

Le CRA a été une entreprise difficile et singulière pour le ferroviaire : bien qu’il s’applique à nous à plusieurs niveaux, il n’a pas été rédigé en pensant au secteur. L’interpréter et comprendre comment le mettre en œuvre pour le ferroviaire a été une priorité absolue pour nous ces derniers mois. L’objectif du CRA est d’élever le niveau de cybersécurité de tous les produits numériques, des plus basiques aux plus complexes. Il s’inscrit dans une initiative globale de l’UE visant à sécuriser l’infrastructure numérique européenne dont notre société dépend de plus en plus. Pensez aux assistants domestiques connectés ou aux jouets. Ceux-ci sont souvent vendus avec peu ou pas de sécurité et sans capacité de recevoir des mises à jour de sécurité. Dans un mauvais environnement, ils peuvent devenir un point d’entrée facile pour des acteurs hostiles. Le CRA introduit des exigences essentielles en matière de cybersécurité pour tous ces produits numériques. Comme le ferroviaire – contrairement à l’aviation et au maritime – n’avait pas encore de législation sectorielle spécifique de l’UE en matière de cybersécurité, il relève désormais du CRA.

Quels types de produits, systèmes ou entreprises liés au ferroviaire entrent dans le champ d’application du CRA ? Comment est-il décidé quels produits sont considérés comme critiques ou réglementés ?

C’est précisément cette question qui a déclenché notre effort à l’échelle du secteur pour former le Cybersecurity Rail Sector Group, dont l’objectif est d’analyser le CRA et de fournir des orientations expertes sur le sujet sous la forme d’un document détaillé. Le champ d’application du CRA est très large, car il s’applique à tout produit logiciel ou matériel. La définition, en particulier « produit avec éléments numériques », n’est pas facile à transposer au secteur ferroviaire et a d’abord provoqué beaucoup d’incertitude. En analysant la loi et la pratique européenne existante, nos experts ont conclu que le CRA s’appliquera à tous les produits ferroviaires contenant des éléments numériques (logiciels ou matériels) qui ont été mis sur le marché de l’UE en tant qu’unité. Des capteurs au matériel roulant et même jusqu’aux trains complets, toute la chaîne d’approvisionnement ferroviaire devra prêter attention aux exigences du CRA. « Critiques » et « Importants » sont des catégories de produits qui nécessitent des procédures d’évaluation particulières. Seuls les produits mentionnés dans le CRA appartiennent à ces catégories, et ce ne sont généralement pas des produits ferroviaires. Bien que la liste puisse être élargie à l’avenir, pour l’instant, la plupart des produits ferroviaires relèvent de la catégorie par défaut d’auto-évaluation.

Le CRA introduit des exigences telles que des mises à jour de sécurité continues tout au long du cycle de vie d’un produit. Dans le secteur ferroviaire, les produits sont souvent utilisés pendant 30 ans ou plus. Comment les entreprises peuvent-elles gérer de manière réaliste de telles obligations à long terme ?

Le CRA impose des mises à jour de sécurité pendant au moins cinq ans, ou pendant toute la durée de vie du produit si celle-ci est inférieure à cinq ans. Pour les produits durables, courants dans le ferroviaire, la période de support devrait couvrir une partie raisonnable du cycle de vie attendu du produit. Lors de la détermination de cette période, les fabricants doivent tenir compte de l’usage prévu du produit, des attentes des utilisateurs et d’autres facteurs, tels que les périodes de support des composants tiers intégrés et de l’environnement d’exploitation. Les exigences du CRA entraîneront certainement un large changement dans la manière dont le secteur ferroviaire gère la cybersécurité et en particulier les mises à jour. Cependant, le règlement offre également une certaine flexibilité aux fabricants pour définir avec leurs clients la durée des périodes de support pour ces produits de longue durée.

Pour de nombreuses entreprises, la conformité en matière de cybersécurité reste un territoire inconnu. Quelles premières étapes pratiques recommandez-vous ?

La première étape pour chaque entreprise est de se préparer en temps voulu : avant la date d’application du règlement, en décembre 2027, les entreprises devraient se familiariser avec le CRA et déterminer de quelle manière il s’applique à leurs produits. L’adaptation des processus peut prendre du temps, et il est essentiel que le secteur arrive bien préparé et avec une compréhension commune du règlement pour éviter incertitudes et inefficacités. À cette fin, l’UNIFE et le secteur élaborent un document explicatif résultant d’une compréhension commune du texte entre exploitants, fabricants et gestionnaires d’infrastructures. Ce sera une ressource clé pour l’ensemble du secteur, constituant la base d’une application cohérente du CRA et fournissant une ressource plus accessible pour les entreprises qui ne peuvent pas elles-mêmes approfondir le texte juridique.

L’UNIFE joue un rôle central dans le processus réglementaire de l’UE. Comment travaillez-vous avec la Commission européenne sur le CRA et quelles priorités ou préoccupations soulevez-vous au nom de l’industrie ferroviaire ?

Le CRA a été l’un des sujets les plus importants de l’UNIFE au cours de l’année écoulée et même avant, et nous avons développé une approche à deux volets vis-à-vis de la Commission européenne pour obtenir davantage de clarté sur la législation et permettre une mise en œuvre plus fluide. D’une part, l’UNIFE participe activement à l’élaboration de lignes directrices et d’aides à la mise en œuvre. Nous participons activement au groupe d’experts CRA de la Commission et nous coordonnons également les travaux du Cybersecurity Rail Sector Group pour fournir au secteur des orientations en vue d’une mise en œuvre efficace et raisonnée du CRA. D’autre part, l’UNIFE a récemment publié un document de position demandant l’inclusion du CRA, du Data Act et de l’AI Act dans le futur Digital Omnibus for Simplification, une initiative de la Commission visant à rendre le paysage numérique de l’UE plus lisible. Notamment, le document demande l’exclusion des projets en cours des obligations du CRA. Les discussions sont en cours et le résultat est incertain, mais une inclusion réussie du CRA dans l’Omnibus pourrait conduire à des adaptations très nécessaires du texte pour mieux refléter les contraintes des secteurs industriels.

Merci pour cet entretien !