Résumé

À compter du 1er août 2025, les dispositions de cybersécurité de la directive européenne sur les équipements radio (RED) pour les produits connectés entreront en vigueur. Pour la recharge des véhicules électriques, tout chargeur équipé du Wi-Fi, du réseau cellulaire ou du BLE devra respecter les exigences de sécurité dès la conception ; les appareils traitant des données personnelles devront intégrer des protections de confidentialité ; et les produits permettant les paiements devront mettre en œuvre des contrôles antifraude.

La Commission européenne a répertorié les normes EN 18031-1/-2/-3:2024 comme normes harmonisées permettant de présumer la conformité. Les listes du JO comportent des restrictions ; seules les clauses normatives correctement appliquées confèrent donc une présomption. Les appareils sans module sans fil ne sont généralement pas concernés par l'article 3(3), mais la conformité au niveau du système s'applique toujours au chargeur dans son ensemble.

Ce qui a changé et pourquoi c'est important

• La portée va désormais au-delà de la conformité RF. Les fonctionnalités connectées sont soumises à des contrôles obligatoires de sécurité, de confidentialité et de lutte contre la fraude.

• Il existe une procédure de conformité claire. L'adoption de la norme EN 18031 peut constituer une présomption ; sinon, il faut recourir à un organisme notifié.

• Les marchés publics seront plus stricts. Les appels d'offres et les audits de l'UE exigeront des mises à jour signées, des politiques d'identification, des SBOM, la gestion des vulnérabilités et des conseils aux utilisateurs.

Qui est concerné dans l'écosystème de recharge ?

• Chargeurs DC et AC avec connectivité intégrée (LTE, Wi-Fi, BLE).

• Fonctionnalités intégrées au back-office qui s'appuient sur les informations d'identification de l'appareil, les journaux ou les mises à jour OTA.

• Chargeurs acceptant les paiements ad hoc ou prenant en charge les jetons de paiement.

• Les accessoires matériels sans modules sans fil sont généralement hors de portée, tandis que le chargeur en tant que système reste dans le champ d'application.

Dates clés et étapes importantes

Remarque : Les listes de la norme EN 18031 dans le JO incluent des restrictions ; seules les dispositions normatives correctement appliquées confèrent une présomption de conformité.

Jalon | Ce que cela signifie pour la recharge des véhicules électriques

30 janvier 2025 | EN 18031-1/-2/-3:2024 répertoriée au Journal officiel, permettant une présomption de conformité lorsqu'elle est correctement appliquée.

1er août 2025 | Les dispositions de cybersécurité RED (articles 3(3)(d)(e)(f)) sont applicables aux équipements radio concernés, y compris les chargeurs connectés.

2025–2026 | Les fabricants et les opérateurs alignent les dossiers de documentation (évaluation des risques, rapports d’essais, SBOM, politique de mise à jour) et déploient le renforcement sur le terrain.

Critères d'évaluation des fournisseurs pour les chargeurs de véhicules électriques conformes à la norme RED de l'UE (liste de contrôle EN 18031)

Utilisez la liste de contrôle EN 18031 suivante pour examiner rapidement les systèmes.

Sécurité et mises à jour du firmware (images signées, protection contre le retour en arrière, canaux cryptés, rotation des clés).

Clarificateur : empêchez le code non autorisé et assurez une récupération en toute sécurité.

Contrôle d'accès (pas de mot de passe par défaut ou vide, modification lors de la première connexion, verrouillage et limitation du débit, comptes à privilèges minimum).

Clarificateur : bloquer les effractions faciles et limiter les mouvements latéraux.

Protection contre les abus de réseau pour OCPP/MQTT/HTTPS (limitation, détection d'anomalies, protections contre la relecture et les inondations, services renforcés).

Clarificateur : arrêtez l'inscription des botnets et les tempêtes de trafic.

Confidentialité et journaux (minimisation des données, calendriers de conservation, avis de confidentialité destiné aux utilisateurs, exportation sécurisée des journaux).

Précision : ne collectez que ce dont vous avez besoin et conservez-le en lieu sûr.

Paiements, si présents (cryptage et signature de bout en bout, conception inviolable, double contrôle pour les remboursements et les règlements).

Précision : protéger le transfert de valeur et réduire le risque de fraude.

Ensemble de preuves (matrice de couverture EN 18031, rapports de test, divulgation des vulnérabilités et accords de niveau de service (SLA) de correctifs, section sécurité du manuel d'utilisation, déclaration de conformité UE, index des dossiers techniques).

Précision : montrez des preuves, pas des promesses.

Carte des exigences et des cas d'utilisation

Exigence RED | Cas d'utilisation typique de la recharge de véhicules électriques | Exemples de contrôles acceptables

3(3)(d) Abus du réseau | Empêcher l'inscription à un botnet ou les attaques DDoS via le modem du chargeur | Pare-feu, limites de débit, authentification mutuelle TLS, services renforcés

3(3)(e) Protection des données | Gestion des identifiants de conducteur, des données de session et des métadonnées | Minimisation des données, pseudonymisation, journalisation des accès et politique de conservation

3(3)(f) Prévention de la fraude | Paiements ponctuels par code QR ou carte | Preuves cryptographiques, éléments sécurisés ou HSM, double contrôle des remboursements

Comment opérationnaliser la conformité (flux prêt à l'emploi)

Identifier la portée → Évaluation des menaces et des lacunes → Mettre en œuvre des contrôles (firmware, informations d'identification, communications, paiement, confidentialité) → Valider (tests internes et, si nécessaire, un organisme notifié) → Compiler un dossier technique (analyse des risques, SBOM, rapports de test, cartographie EN 18031, instructions d'utilisation) → Émettre une déclaration de conformité et un label UE → Surveiller et corriger avec des SLA de divulgation et de correction définis.

Plan d'action de 30 à 60 à 90 jours

Jours 0 à 30 : Confirmer quels modèles incluent des modules sans fil ; cartographier l'applicabilité de l'article 3(3)(d)(e)(f) ; rédiger le SBOM et l'évaluation initiale des risques ; aligner la couverture EN 18031.

Jours 31 à 60 : Politiques d’identification des navires et mise à jour sécurisée ; renforcement de l’OCPP/MQTT/HTTPS ; minimisation et documentation des données ; définition des contrôles de fraude pour les flux de paiement ; planification d’un examen par un tiers ou un organisme notifié si la conformité à la norme EN 18031 n’est pas totale.

Jours 61 à 90 : Finalisation des tests, du dossier technique et de la déclaration de conformité de l'UE ; étiquetage et publication ; renforcement pilote sur le terrain sur des sites sélectionnés ; publication des accords de niveau de service de gestion des vulnérabilités et de correctifs.

Impact sur les feuilles de route des produits

• Les chargeurs compatibles 15118 et les back-ends OCPP 2.x mettront l'accent sur une gestion plus stricte des informations d'identification et des certificats.

• Les appels d’offres prendront en compte les opérations de mise à jour de sécurité et la qualité des preuves autant que la puissance nominale.

• Une OTA fiable réduit les visites sur site et permet de réduire les coûts de cycle de vie.

Note de Workersbee

Workersbee soutient les projets européens avec des assemblages de connecteurs et de câbles et aligne les directives d'intégration des chargeurs sur les contrôles de cybersécurité RED. Pour les programmes de centres de données qui recherchent une présomption de conformité, notre équipe d'ingénierie peut fournir une liste de contrôle concise de la couverture de la norme EN 18031 et un exemple de formulation de dossier technique via les ancrages : directives d'ingénierie Workersbee, savoir-faire Workersbee en matière de connecteurs CC.

FAQ

Q : Si un chargeur n’a pas de fonction de paiement, l’article 3(3)(f) s’applique-t-il toujours ?

R : Non. Seuls les appareils permettant des paiements ou des transferts de valeur monétaire relèvent de l'article 3(3)(f). Le même chargeur peut néanmoins être soumis aux articles 3(3)(d) et 3(3)(e).

Q : Ai-je besoin d’un organisme notifié si j’adopte complètement la norme EN 18031 ?

R : L'application intégrale et correcte des normes harmonisées peut donner lieu à une présomption. En cas d'adoption partielle ou d'incertitude, le recours à un organisme notifié réduit les risques.

Q : Les restrictions du JO signifient-elles que la norme EN 18031 seule est toujours suffisante ?

R : Non. Seules les clauses normatives correctement appliquées confèrent une présomption. En cas de divergence ou d'ambiguïté, faites appel à un organisme notifié.

Q : Quelles preuves les auditeurs demandent-ils généralement en premier ?

A : Politique de mise à jour signée, politique de mot de passe, SBOM, flux de travail de gestion des vulnérabilités, table de mappage EN 18031 et déclaration de conformité de l'UE.