Ciberseguridad legal

Cyber Resilience Act (CRA)

Le Cyber Resilience Act impose aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques — matériels et logiciels connectés à un réseau ou à un autre appareil — d'intégrer la cybersécurité dès la conception et de notifier les vulnérabilités activement exploitées. Nous vous accompagnons pour déterminer si votre produit relève du champ d'application et pour préparer votre calendrier de conformité avant que les obligations ne deviennent exigibles.

Règlementrèglement (UE) 2024/2847
Notification des vulnérabilitésexigible dès le 11 septembre 2026
Application pleine et marquage CEà partir du 11 décembre 2027

Le règlement (UE) 2024/2847, connu sous le nom de Cyber Resilience Act (CRA), est entré en vigueur le 10 décembre 2024 et s'applique à tout produit comportant des éléments numériques mis sur le marché de l'UE : objets connectés, logiciels autonomes, composants matériels et leurs solutions de traitement des données à distance.

Ce n'est pas un règlement sectoriel. Si vous fabriquez ou distribuez un produit doté d'une connexion logique ou physique, directe ou indirecte, à un appareil ou à un réseau, vous relevez probablement du champ d'application.

Le calendrier n'est pas uniforme et il vaut mieux le connaître pour ne pas être pris de court. À partir du 11 septembre 2026, les obligations de notification des vulnérabilités activement exploitées et des incidents graves affectant la sécurité du produit deviennent exigibles (article 14).

Ces notifications suivent des délais courts : une alerte précoce sous 24 heures, une notification plus détaillée sous 72 heures et un rapport final ultérieur, via la plateforme unique de notification exploitée par l'ENISA.

L'application pleine et entière du règlement — exigences essentielles de cybersécurité, procédures d'évaluation de la conformité et marquage CE — arrive le 11 décembre 2027, trente-six mois après l'entrée en vigueur.

Pour une PME fabricante ou distributrice, le travail de fond se trouve à l'article 13 (obligations du fabricant) et à l'annexe I : les exigences essentielles de cybersécurité du produit et, de façon distincte, les exigences de gestion du cycle de vie des vulnérabilités pendant toute la période de support.

Cela suppose une documentation technique du produit, un véritable processus de gestion des vulnérabilités — pas seulement une politique écrite —, des mises à jour de sécurité mises à la disposition de l'utilisateur et des critères clairs pour décider quand une faille doit être notifiée aux autorités.

Nous vous aidons à évaluer si votre produit relève du champ d'application du CRA, à identifier les exigences essentielles qui lui sont applicables selon sa catégorie de risque et à construire le processus interne de gestion des vulnérabilités qu'exige le règlement, en vue du marquage CE.

Nous travaillons en parallèle avec la personne chargée de la conception et du développement du produit : le CRA ne se résout pas avec un document, il se résout en intégrant la cybersécurité dans le processus de fabrication.

Le processus Cyber Resilience Act (CRA).

Le processus · quatre étapes
01

Évaluation du périmètre

Nous analysons si votre produit comporte des éléments numériques connectés à un réseau ou à un autre appareil et s'il relève du CRA.

02

Identification des exigences essentielles

Nous déterminons quelles exigences de l'annexe I s'appliquent à votre produit selon sa catégorie de risque.

03

Processus de gestion des vulnérabilités

Nous construisons avec vous le processus interne pour détecter, documenter et notifier les vulnérabilités pendant toute la période de support du produit.

04

Accompagnement vers le marquage CE

Nous travaillons aux côtés de l'équipe de conception et de développement pour intégrer la cybersécurité dans le processus de fabrication, en vue du marquage CE.

Ce qui est inclus

Ce qu'inclut Cyber Resilience Act (CRA).

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Évaluation du périmètre CRA

    Détermination de l'appartenance de votre produit comportant des éléments numériques au champ du règlement.

  • Cartographie des exigences essentielles

    Liste des exigences de l'annexe I applicables selon la catégorie de risque du produit.

  • Processus de gestion des vulnérabilités

    Procédure interne pour détecter, documenter et décider quand notifier une vulnérabilité.

  • Critères de notification

    Définition des critères et délais (alerte précoce à 24 heures, notification à 72 heures) pour alerter les autorités.

  • Documentation technique du produit

    Support documentaire nécessaire pour démontrer les exigences essentielles de cybersécurité.

  • Coordination avec l'équipe de conception

    Travail conjoint avec l'équipe de développement du produit pour intégrer la cybersécurité dans le processus de fabrication.

Cluster Summum

Comment il se connecte aux sœurs.

Questions fréquentes sur Cyber Resilience Act (CRA).

Qu'est-ce qu'un « produit comportant des éléments numériques » au sens du CRA ?

Tout produit matériel ou logiciel, ainsi que ses solutions de traitement des données à distance associées, dont l'utilisation prévue ou raisonnablement prévisible comprend une connexion logique ou physique — directe ou indirecte — à un autre appareil ou à un réseau. Cela couvre aussi bien le produit physique que le logiciel qui l'accompagne ou le contrôle.

À partir de quand les notifications de vulnérabilités sont-elles obligatoires ?

À partir du 11 septembre 2026. À compter de cette date, le fabricant doit notifier toute vulnérabilité activement exploitée et tout incident grave affectant la sécurité du produit, avec des délais de 24 et 72 heures (article 14), via la plateforme unique de notification exploitée par l'ENISA et le CSIRT désigné.

Quand faut-il respecter le règlement dans son intégralité, marquage CE compris ?

L'application pleine et entière, y compris les exigences essentielles de l'annexe I et le marquage CE, est exigible à partir du 11 décembre 2027. Il s'agit d'un délai de trente-six mois à compter de l'entrée en vigueur, destiné à laisser le temps de repenser les processus de fabrication et de développement.

Le CRA équivaut-il à NIS2 ou à DORA ?

Non. NIS2 régit la cybersécurité de l'organisation qui exploite des services essentiels ou importants, et DORA la résilience numérique du secteur financier. Le CRA régit le produit : il exige que les matériels et logiciels connectés mis sur le marché soient sûrs dès la conception et le restent tout au long de leur vie utile. Une même entreprise peut devoir respecter plusieurs règlements à la fois si elle fabrique des produits connectés et exerce en outre comme entité régulée par NIS2 ou DORA.

Que se passe-t-il si mon produit porte déjà un autre marquage CE, par exemple au titre de la réglementation sur les machines ou les équipements radioélectriques ?

Le CRA est coordonné avec les autres textes d'harmonisation de l'UE afin d'éviter de dupliquer les évaluations de la conformité, mais les exigences essentielles de cybersécurité de l'annexe I sont propres au règlement et doivent être démontrées dans tous les cas. Il convient d'examiner au cas par cas quelle procédure d'évaluation de la conformité s'applique à votre produit selon sa catégorie de risque.