Qu’est-ce que le CRA ? Obligations pour les produits numériques
Qu’est-ce que le Cyber Resilience Act ? Le Cyber Resilience Act (CRA), règlement (UE) 2024/2847, est un règlement européen concernant les produits dotés d’éléments numériques. Il impose aux fabricants de matériel et de logiciels une approche de sécurité dès la conception (Security-by-Design), des mises à jour de sécurité tout au long du cycle de vie du produit, ainsi que la déclaration des vulnérabilités exploitées. Les obligations de déclaration entreront en vigueur le 11 septembre 2026, tandis que les principales obligations s’appliqueront à partir du 11 décembre 2027.
Points clés
- Nature juridique : Règlement européen applicable directement dans tous les États membres. Contrairement à une directive, aucune transposition nationale n’est nécessaire.
- Champ d’application : Produits dotés d’éléments numériques, c’est-à-dire matériel et logiciels ayant une connexion directe ou indirecte à un appareil ou à un réseau.
- Obligations principales : Approche de sécurité dès la conception, mises à jour de sécurité gratuites pendant toute la durée du support, marquage CE après évaluation de la conformité.
- Échéances : En vigueur depuis le 10 décembre 2024. Les obligations de déclaration entrent en vigueur le 11 septembre 2026, et l’application complète à partir du 11 décembre 2027.
- À retenir : Le CRA régit le produit, la directive NIS2 encadre l’exploitant, et le règlement DORA concerne spécifiquement le secteur financier.
Ce que le Règlement sur la Résilience Cyber (Cyber Resilience Act) implique concrètement
Le Règlement sur la Résilience Cyber (CRA) se concentre sur la mise sur le marché. Un produit doté d’éléments numériques ne pourra plus être commercialisé dans l’Union européenne que s’il respecte les exigences essentielles en matière de cybersécurité définies par ce règlement. Cette mesure transfère ainsi la responsabilité au début de la chaîne d’approvisionnement : le fabricant doit intégrer la sécurité dès la conception du produit, avant même qu’il n’atteigne le client.
Les obligations ne s’arrêtent pas à la vente. Les fabricants doivent traiter les vulnérabilités pendant toute la durée de support, qui correspond à la durée de vie attendue du produit et s’élève, en règle générale, à au moins cinq ans. Les mises à jour de sécurité doivent être fournies gratuitement. Avant leur mise sur le marché, les produits doivent faire l’objet d’une évaluation de conformité assortie du marquage CE. Pour certaines catégories de produits critiques, des procédures plus strictes s’appliquent.
Les produits relevant déjà d’un régime sectoriel spécifique de sécurité, comme les dispositifs médicaux, les véhicules automobiles ou les technologies aéronautiques certifiées, peuvent être exemptés, dans la mesure où les réglementations européennes en vigueur dans ces secteurs s’appliquent.
À qui le CRA s’applique-t-il ?
Les premiers concernés sont les fabricants, quel que soit leur siège social. Les entreprises situées en dehors de l’UE qui livrent sur le marché intérieur doivent désigner un mandataire établi dans l’UE. Les importateurs et les distributeurs ont, eux aussi, des obligations de diligence spécifiques. Une précision importante s’applique aux logiciels open source : le simple fait de mettre du code à disposition sur des dépôts (repositories) ne constitue pas, en soi, une mise sur le marché. Ce qui compte, c’est la fourniture de ce logiciel dans le cadre d’une activité commerciale.
Indirectement, le CRA impacte chaque processus d’achat : pour les RSSI et les décideurs IT, la conformité au CRA deviendra rapidement un critère d’acquisition incontournable. En cas de manquement aux obligations essentielles, les fabricants s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Ce que les entreprises doivent vérifier dès maintenant
Les entreprises manufacturières devraient commencer par un inventaire de leur portefeuille : tout produit disposant d’une connexion de données est potentiellement concerné par cette réglementation. Il convient ensuite de définir les engagements de support, de mettre en place les processus de signalement et de préparer l’évaluation de conformité.
À vérifier dès maintenant
- ✓Inventaire des produits : recenser tous les produits, y compris ceux distribués, disposant d’une connexion de données
- ✓Définir par écrit les engagements de support pour chaque produit et prévoir une mise à jour gratuite
- ✓Mettre en place un processus de signalement avec des délais de 24 et 72 heures, et désigner les responsables
- ✓Préparer l’évaluation de conformité et, pour les classes de produits critiques, sécuriser un organisme certificateur
- ✓Compléter la politique d’achat : intégrer la conformité au règlement CRA (Cyber Resilience Act) comme critère d’approvisionnement à partir de 2026
Différenciation avec les concepts apparentés
Le RCR (Règlement (UE) 2024/2847) est souvent confondu avec la directive NIS2 et le règlement DORA. Ces trois actes juridiques se complètent sans se substituer. Le tableau ci-dessous illustre leur répartition des rôles respectifs.
| Acte juridique | Régit | Destinataires |
|---|---|---|
| RCR (Règlement (UE) 2024/2847) | Les produits dotés d’éléments numériques | Fabricants, importateurs, distributeurs |
| NIS2 (Directive (UE) 2022/2555) | L’exploitation des infrastructures critiques et importantes | Opérateurs et organisations |
| DORA (Règlement (UE) 2022/2554) | La résilience opérationnelle numérique dans le secteur financier | Entreprises financières et prestataires de services TIC |
Les deux actes juridiques voisins font l’objet de nos articles Qu’est-ce que la NIS2 ? et Qu’est-ce que le DORA ?. Pour comprendre ce que le RCR implique pour les produits déjà commercialisés, consultez notre analyse Le Règlement sur la résilience cyber touche également votre parc existant.
Foire aux questions
Chaque question est verrouillée. Un clic déverrouille la réponse.
À partir de quand le Règlement sur la résilience cyber (CRA) entrera-t-il en vigueur ?
Le règlement est entré en vigueur le 10 décembre 2024. Les obligations de déclaration pour les fabricants s’appliquent à partir du 11 septembre 2026, et les principales obligations complètes à compter du 11 décembre 2027.
Le CRA (Critical-Raw-Materials Act) est-il une loi réservée uniquement aux fabricants ?
Les fabricants portent la responsabilité principale. Les importateurs et les distributeurs ont leurs propres obligations de diligence. Les fabricants situés en dehors de l’UE doivent en outre désigner un mandataire au sein de l’UE.
Quand un fabricant doit-il signaler une vulnérabilité ?
En cas d’exploitation active de vulnérabilités ou d’incidents graves, une alerte précoce doit être émise dans les 24 heures suivant leur découverte. Le rapport détaillé doit ensuite être transmis sous 72 heures via la plateforme centrale de déclaration au CSIRT coordinateur et à l’ENISA. Un rapport final clôture la procédure.
Le règlement CRA s’applique-t-il également aux logiciels open source ?
Le simple fait de mettre à disposition un logiciel sur des dépôts ou des plateformes ne constitue pas en soi une mise sur le marché. Les obligations prévues par le CRA s’appliquent dès qu’une organisation fournit le logiciel dans le cadre d’une activité commerciale et se positionne ainsi en tant que fabricant.
Quelles sont les différences entre le CRA, la directive NIS2 et le règlement DORA ?
Le CRA (Cyber Resilience Act, Règlement sur la cybersécurité) encadre les produits dotés d’éléments numériques ainsi que leurs fabricants. La NIS2 (Network and Information Security Directive, Directive sur la sécurité des réseaux et de l’information) réglemente l’exploitation des infrastructures critiques et essentielles. Le DORA (Digital Operational Resilience Act, Règlement sur la résilience opérationnelle numérique) vise à renforcer la résilience numérique du secteur financier. Ensemble, ces trois textes couvrent les produits, les opérateurs et le secteur financier.
Les choix de la rédaction
À lireLe Cyber Resilience Act concerne aussi votre parc existantÀ lireQu’est-ce que DORA ? Définition, obligations et délais
Plus du réseau MBF Media
cloudmagazinInterdire l’IA fantôme est le réflexe le plus coûteux en cybersécuritéMyBusinessFutureAllègement des prix de l’électricité 2026 : Ce que les entreprises manufacturières doivent vérifierDigital ChiefsLe Chief AI Officer est là. Le problème persiste.




