Loi de l’UE sur la résilience cybernétique à partir de 2026 : Ce que les DSI doivent vérifier lors de l’achat de produits numériques

3 min de lecture

La loi de l’UE sur la résilience cybernétique (CRA) est entrée en vigueur le 10 décembre 2024. À compter de septembre 2026, les obligations de déclaration s’appliqueront, et à partir de décembre 2027, tous les produits numériques sur le marché européen devront satisfaire aux exigences complètes en matière de sécurité. Pour les DSI, ce n’est pas seulement la conformité propre qui change, mais toute la logique d’approvisionnement : pas de marquage CE sans preuve de cybersécurité, pas d’accès au marché européen sans déclaration de conformité.

L’essentiel

🔒 Le CRA s’applique en tant que règlement européen directement dans tous les États membres. Aucune transposition nationale n’est nécessaire (contrairement à NIS2).
⚠️ À partir du 11 septembre 2026 : obligation de déclarer aux 24 heures près à l’ENISA les vulnérabilités activement exploitées.
🛡️ À partir du 11 décembre 2027 : conformité complète. Sans marquage CE conforme au CRA, pas de commercialisation dans l’UE.
📊 Amendes : jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel.
🔧 Les DSI ont besoin de nouveaux critères d’achat : déclaration de conformité, SBOM, durée de support, politique de mise à jour.

Ce que régule le CRA

Le CRA concerne tous les « produits dotés d’éléments numériques » : matériels et logiciels mis sur le marché européen. Peu importe que le fabricant ait son siège dans l’UE. Un capteur IoT de Shenzhen, un client VPN de Californie et un pare-feu de Munich sont soumis aux mêmes règles.

La loi distingue trois classes. Les produits standard (la majorité) peuvent être certifiés par auto-évaluation. Les produits de classe I (notamment les gestionnaires de mots de passe, les produits VPN, les navigateurs web, les appareils domotiques et les systèmes d’exploitation) sont soumis à des procédures plus strictes. Les produits de classe II (pare-feux, systèmes de détection d’intrusion, microprocesseurs inviolables) nécessitent une évaluation tierce par un organisme notifié.

Sont exclus les logiciels open source à but non commercial, les dispositifs médicaux, les véhicules et les produits destinés à la sécurité nationale. Tout le reste qui est numérique et vendu relève du CRA.

Sept. 2026

Obligations de déclaration actives

Dez. 2027

Conformité complète

15 Mio. €

Amende maximale

Les cinq obligations principales pour les fabricants

1. Sécurité intégrée dès la conception et par défaut. La cybersécurité doit être intégrée dès le début du développement. Pas de mots de passe par défaut faibles, surface d’attaque minimisée, chiffrement des données stockées et transmises. La possibilité de mises à jour automatiques de sécurité doit être assurée.

2. Gestion des vulnérabilités et SBOM. Les fabricants doivent établir une nomenclature des composants logiciels (Software Bill of Materials, SBOM). Nuance importante : la publication de la SBOM n’est pas obligatoire. Elle sert au traitement interne des vulnérabilités et doit être présentée sur demande de l’autorité de surveillance du marché. En outre, un processus de divulgation coordonnée des vulnérabilités doit être mis en place.

3. Obligations de déclaration à partir de septembre 2026. En cas de vulnérabilités activement exploitées, les fabricants doivent envoyer un avertissement précoce à l’ENISA dans les 24 heures. Un rapport détaillé doit suivre dans les 72 heures. Le rapport final est exigé après 14 jours.

4. Marquage CE pour la cybersécurité. Sans conformité au CRA, pas de marquage CE. Sans marquage CE, pas d’accès au marché européen. Les fabricants doivent établir une déclaration de conformité UE. Les importateurs doivent conserver ce document pendant dix ans.

5. Mises à jour de sécurité gratuites pendant au moins cinq ans. Les fabricants doivent communiquer la date de fin de support et fournir gratuitement des mises à jour de sécurité pendant toute la durée du support.

« Le CRA change les règles du jeu pour l’ensemble du marché numérique européen. Pour la première fois, la cybersécurité devient une condition préalable au marquage CE des produits numériques. »
BSI (Office fédéral de la sécurité informatique), page d’information sur la loi sur la résilience cybernétique

Ce que les DSI doivent modifier dès maintenant dans leurs achats

Le CRA n’oblige pas uniquement les fabricants, mais tous les acteurs économiques de la chaîne d’approvisionnement. Pour les DSI et les acheteurs informatiques, cela signifie : les critères d’achat doivent être mis à jour.

Sept questions que les achats devront poser à partir de 2026 :

1. Une déclaration de conformité UE (DoC) au CRA est-elle disponible ?

2. Le marquage CE est-il présent et lié aux exigences du CRA ?

3. Quelle est la durée du support annoncée ? Que se passe-t-il à la fin du support ?

4. Une SBOM est-elle disponible (sur demande) ?

5. Quelle voie d’évaluation de la conformité a été choisie ?

6. Existe-t-il un processus documenté de divulgation coordonnée des vulnérabilités ?

7. Le fabricant dispose-t-il d’une politique de mises à jour automatiques de sécurité ?

Les contrats d’achat devraient inclure explicitement les preuves de conformité au CRA, les obligations de mise à jour et les modalités de fin de support. Le CRA fixe la norme pour ce qui constitue un défaut de produit.

Distinction : CRA, NIS2, DORA et AI Act

Le CRA régule les produits avant leur mise sur le marché. NIS2 régule les organisations en exploitation. DORA régule les entreprises financières et leurs fournisseurs TIC. L’AI Act régule les systèmes d’IA selon des classes de risque. Le CRA et NIS2 peuvent s’appliquer simultanément.

24 h

Délai de déclaration des vulnérabilités activement exploitées à l’ENISA (à partir de sept. 2026)

Source : Règlement européen 2024/2847 (Cyber Resilience Act)

Conclusion : la cybersécurité devient une condition d’accès au marché

Le CRA fait de la cybersécurité un sas d’entrée sur le marché européen. Pas de marquage CE sans preuve de sécurité, pas de commercialisation sans déclaration de conformité, aucune vulnérabilité sans déclaration dans les 24 heures. Les obligations de déclaration entrent déjà en vigueur en septembre 2026. Celui qui attend jusque-là aura un problème de timing.

Questions fréquentes

Le CRA s’applique-t-il aussi aux logiciels ?

Oui. Le CRA concerne tous les « produits dotés d’éléments numériques », donc matériels et logiciels. Les logiciels open source à but non commercial sont exclus.

La SBOM doit-elle être publiée ?

Non. La SBOM doit être établie et pouvoir être présentée sur demande de l’autorité de surveillance du marché. Une publication obligatoire n’est pas prévue.

Que se passe-t-il en cas de non-conformité ?

Des amendes allant jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel. En outre, les autorités de surveillance du marché peuvent interdire la commercialisation ou ordonner des rappels de produits. En Allemagne, le BSI (Office fédéral de la sécurité informatique) est compétent.

Quel lien existe-t-il entre CRA et NIS2 ?

Le CRA régule les produits (avant la mise sur le marché), NIS2 régule les organisations (en exploitation). Les deux peuvent s’appliquer simultanément.

Que doit faire le DSI d’ici septembre 2026 ?

Mettre à jour les critères d’achat, vérifier la préparation au CRA des fournisseurs existants, compléter les contrats d’achat par des preuves de conformité et des obligations de mise à jour.

Lectures recommandées par la rédaction

Plus d’informations depuis le réseau MBF Media

→ Sovereignty-Washing : Cloud Act et souveraineté des données (cloudmagazin)
→ Cybersecurity-Boom : NIS2 comme moteur de croissance (MyBusinessFuture)

Source de l’image : Pexels

Imprimer l'article

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow

Aussi disponible en

Español English Deutsch