Le Cyber Resilience Act (CRA), Règlement (UE) 2024/2847, est entré en vigueur le 10 décembre 2024. Mais c’est en juin 2026 que la mécanique s’enclenche vraiment : les États membres devaient désigner leurs organismes de certification avant le 11 juin 2026, puis les obligations de signalement des vulnérabilités deviendront contraignantes le 11 septembre 2026. Pour les entreprises françaises et européennes, la course contre la montre a officiellement démarré.
Le règlement impose des exigences minimales de cybersécurité à tous les produits comportant des éléments numériques mis sur le marché de l’Union : appareils IoT, routeurs, logiciels grand public, systèmes industriels connectés. Non-conformité en cas de violation grave : amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. Le CRA redessine les règles du jeu pour toute l’industrie tech européenne.
Trois échéances qui changent tout : juin 2026, septembre 2026, décembre 2027
Le calendrier du CRA est structuré en trois vagues successives, chacune ciblant un aspect différent de la conformité. Comprendre cette chronologie est indispensable pour éviter d’être pris de court.
Le 11 juin 2026 marque la première étape opérationnelle : les États membres de l’UE devaient notifier leurs organismes d’évaluation de la conformité, permettant aux fabricants d’initier les procédures d’audit tierce partie pour les produits classifiés “critiques”. En France, c’est l’ANSSI qui pilote ce processus d’accréditation, conformément aux pouvoirs qui lui sont conférés par le cadre européen.
Le 11 septembre 2026 constitue la date la plus urgente pour les équipes opérationnelles. À partir de ce moment, les fabricants auront l’obligation légale de signaler toute vulnérabilité activement exploitée ou tout incident grave à l’ENISA via une plateforme unique de signalement, dans un délai de 24 heures après en avoir pris connaissance. Pour la France, les signalements remontent également vers le CERT-FR, l’entité nationale de réponse aux incidents rattachée à l’ANSSI.
Le 11 décembre 2027 représente la date de conformité totale : tous les produits numériques mis sur le marché européen devront respecter l’ensemble des exigences du CRA, obtenir le marquage CE correspondant, et les autorités de surveillance du marché commenceront les contrôles actifs. Pour la France, cette surveillance incombe à l’ANFR (Agence Nationale des Fréquences), qui dispose du pouvoir d’imposer des sanctions allant jusqu’au retrait du marché.
| Échéance | Date | Obligation principale | Acteur clé en France |
|---|---|---|---|
| Phase 1 : accréditation | 11 juin 2026 | Désignation des organismes d’évaluation de conformité | ANSSI |
| Phase 2 : signalement | 11 septembre 2026 | Signalement des vulnérabilités en 24 h via ENISA | CERT-FR |
| Phase 3 : conformité totale | 11 décembre 2027 | Marquage CE, documentation technique, SBOM obligatoire | ANFR |
| Entrée en vigueur | 10 décembre 2024 | Publication au Journal officiel de l’UE (Reg. 2024/2847) | Commission européenne |
| Proposition initiale | 15 septembre 2022 | Proposition de la Commission européenne | DG CONNECT |
Quels produits sont concernés : un périmètre volontairement très large
Le CRA s’applique à tous les produits comportant des éléments numériques (PDEs, “products with digital elements” dans le texte officiel), une définition délibérément large qui englobe tout matériel ou logiciel conçu pour se connecter directement ou indirectement à un appareil ou réseau. En pratique, cela couvre une part très significative de ce qui est vendu sur le marché tech européen.
Les catégories matérielles concernées comprennent : smartphones, ordinateurs portables, routeurs, appareils domestiques connectés, montres intelligentes, jouets connectés, passerelles de compteurs intelligents, microprocesseurs, et pare-feux. Côté logiciel : applications mobiles, logiciels de comptabilité, jeux vidéo, et toute application conçue pour se connecter à un réseau. Comme le souligne le BSI allemand, même un jeu vidéo nécessitant une connexion internet entre dans le champ d’application du CRA.
Des exemptions existent pour certaines catégories disposant déjà de leur propre cadre réglementaire sectoriel : dispositifs médicaux, équipements automobiles (couverts par UNECE WP.29), équipements d’aviation civile. L’OpenSSF (Open Source Security Foundation) note que les développeurs open source non commerciaux sont également exemptés des amendes, bien qu’ils soient encouragés à suivre les bonnes pratiques de sécurité.
Olivier Ligneul, directeur de la cybersécurité du groupe EDF, a déclaré à l’occasion du Paris Cyber Summit de juin 2026 : “Le CRA impose une transformation en profondeur de nos processus d’achat. Nous devons désormais exiger de chaque fournisseur une documentation technique de cybersécurité avant toute intégration. C’est un changement de culture industrielle, pas seulement réglementaire.”
CRA vs NIS2 : deux instruments complémentaires mais distincts
Une confusion fréquente règne entre le CRA et la directive NIS2. Ces deux textes européens traitent de cybersécurité mais avec des périmètres et des logiques radicalement différents, et leurs obligations de signalement ne s’adressent pas aux mêmes acteurs.
NIS2 est une directive organisationnelle : elle s’applique aux entités opérant dans des secteurs essentiels (énergie, transport, santé, finance, etc.) et leur impose des obligations de gouvernance, de gestion des risques et de notification d’incidents. Elle concerne 28 700 entreprises en Europe, dont 6 200 micro et petites entreprises dont les obligations ont été simplifiées par la modification ciblée du 20 janvier 2026.
Le CRA est un règlement produit : il suit la logique du marquage CE et s’applique aux fabricants, importateurs et distributeurs de produits numériques, quelle que soit leur taille ou leur secteur d’activité. Sa portée est horizontale et beaucoup plus large que NIS2. Une PME de 10 salariés qui fabrique des routeurs domestiques est soumise au CRA mais pas nécessairement à NIS2.
Les délais de signalement diffèrent également : sous NIS2, les entités disposent de 72 heures pour notifier les incidents significatifs. Sous le CRA, les fabricants ont 24 heures pour signaler les vulnérabilités activement exploitées via la plateforme ENISA. Cette différence reflète la nature distincte des obligations : NIS2 cible les opérateurs de services, le CRA cible les créateurs de produits.
| Critère | CRA (Règlement 2024/2847) | NIS2 (Directive 2022/2555) |
|---|---|---|
| Nature juridique | Règlement (application directe) | Directive (transposition nationale) |
| Périmètre | Tous les produits numériques | Entités essentielles et importantes |
| Acteurs visés | Fabricants, importateurs, distributeurs | Opérateurs de services essentiels |
| Délai de signalement | 24 heures (vulnérabilités exploitées) | 72 heures (incidents significatifs) |
| Amende maximale | 15 M€ ou 2,5 % du CA mondial | 10 M€ ou 2 % du CA mondial |
| Date de pleine application | 11 décembre 2027 | En vigueur depuis octobre 2024 |
| Marquage CE requis | Oui | Non applicable |
| Nombre d’entreprises concernées en UE | Très large (tous secteurs) | 28 700 entreprises listées |
Le security-by-design au coeur du dispositif
L’une des exigences les plus structurantes du CRA est l’obligation de sécurité dès la conception (“security-by-design”) et de sécurité par défaut (“security-by-default”). Ces principes signifient que les fabricants ne peuvent plus traiter la cybersécurité comme un ajout optionnel post-développement.
Concrètement, les fabricants doivent : réaliser une évaluation des risques cyber avant la mise sur le marché, maintenir un inventaire des composants logiciels (SBOM, Software Bill of Materials), traiter les vulnérabilités tout au long du cycle de vie du produit, proposer des mises à jour de sécurité séparées des mises à jour fonctionnelles, et conserver la documentation technique pendant 10 ans après la mise sur le marché.
Le BSI allemand précise que le support en mises à jour de sécurité doit couvrir au minimum 5 ans pour les produits grand public. Pour les équipements industriels avec des cycles de vie plus longs, cette durée s’adapte à la durée de vie prévisible du produit. Cette exigence de longévité du support change fondamentalement l’économie des appareils IoT à faible coût.
Le cabinet Hogan Lovells, dans son analyse publiée en janvier 2026, insiste sur la notion de “cycle de vie” : “La nouveauté du CRA n’est pas seulement dans les exigences techniques, c’est dans l’obligation de démontrer que ces exigences sont respectées dans la durée. La documentation, les mises à jour de sécurité, le traitement des CVE : tout doit être tracé et justifiable. Pour beaucoup de PME industrielles, c’est un changement de paradigme complet.”
Les produits jugés critiques par le règlement (annexes III et IV) devront passer par des audits tiers obligatoires, réalisés par les organismes notifiés que les États membres devaient désigner avant le 11 juin 2026. Cette catégorisation “critique” inclut notamment les systèmes de gestion des identités, les gestionnaires de mots de passe, les VPN d’entreprise, les navigateurs web, et certains systèmes de contrôle industriel.
La plateforme ENISA : signaler une vulnérabilité en 24 heures
À partir du 11 septembre 2026, le coeur opérationnel du CRA sera la plateforme unique de signalement de l’ENISA (Article 16 du règlement). Tout fabricant d’un produit numérique vendu dans l’UE devra y notifier les vulnérabilités activement exploitées et les incidents graves affectant la sécurité de son produit dans un délai maximal de 24 heures.
Ce délai de 24 heures représente un changement majeur par rapport aux pratiques actuelles. Aujourd’hui, la norme CVSS permet aux entreprises de gérer les vulnérabilités selon leur propre calendrier de patches. Sous le CRA, une CVE activement exploitée déclenche une obligation légale immédiate, indépendamment de si un correctif est disponible ou non. Les équipes de réponse aux incidents devront donc être capables de détecter, qualifier et signaler une exploitation active en moins d’une journée.
Fidelis Security, dans son guide d’implémentation publié en janvier 2026, recommande de viser un MTTR (Mean Time To Respond) inférieur à 4 heures pour les incidents critiques, et de déployer des systèmes de détection automatisés connectés au portail ENISA : “Les équipes qui essaieront de gérer ces notifications manuellement seront dépassées. L’automatisation de la chaîne détection-qualification-signalement est une nécessité, pas une option.”
En France, la chaîne de signalement se structure ainsi : les fabricants notifient l’ENISA, qui coordonne avec les CSIRT nationaux. Pour les entités françaises, le CERT-FR (rattaché à l’ANSSI) est le point de contact national. Cette architecture décentralisée vise à permettre une réponse rapide au niveau national tout en maintenant une vision consolidée au niveau européen.
Impact sur les fabricants, importateurs et distributeurs français
Le CRA crée trois niveaux d’obligations distincts selon la position dans la chaîne d’approvisionnement, avec des implications très différentes pour chaque acteur.
Les fabricants portent la charge principale du règlement. Ils doivent concevoir des produits sécurisés, réaliser et documenter les évaluations des risques, maintenir le support sécurité pendant toute la durée de vie du produit, et répondre aux signalements en 24 heures. Pour les fabricants de dispositifs IoT grand public, dont les modèles économiques reposent souvent sur des marges faibles et des cycles courts, cette obligation de support prolongé représente un défi économique considérable.
Les importateurs ne peuvent plus se contenter de revendre des produits sans vérifier leur conformité CRA. Avant de placer un produit sur le marché de l’UE, ils doivent s’assurer que le fabricant a rempli ses obligations documentaires et dispose d’un plan de traitement des vulnérabilités. Les grandes plateformes de commerce électronique devront adapter leurs processus d’onboarding vendeurs pour exiger les attestations de conformité CRA.
Les distributeurs doivent vérifier que les produits qu’ils commercialisent portent les marquages et documentations requis. Stéphane Nappo, directeur mondial de la sécurité de l’information chez Groupe SEB, a commenté lors du Salon Souveraineté Numérique de Paris en juin 2026 : “Nous avons plus de 800 références produits connectées. Le CRA nous oblige à re-auditer notre portefeuille entier pour identifier lesquelles nécessitent un audit tiers et lesquelles peuvent s’auto-certifier. C’est un travail considérable mais indispensable pour maintenir l’accès au marché européen.”
Secteurs les plus exposés : IoT industriel, objets connectés, logiciels critiques
Certains secteurs sont particulièrement touchés par les nouvelles obligations du CRA, en raison du volume de produits numériques mis sur le marché et de leur degré de maturité cyber souvent insuffisant.
L’industrie manufacturière et l’OT (Operational Technology) représente le front le plus critique. Les automates programmables, les passerelles industrielles, et les systèmes SCADA connectés entrent tous dans le périmètre CRA, mais ont été historiquement conçus selon des paradigmes de sécurité très différents de l’IT. Les cycles de développement sont longs (10 à 15 ans), les mises à jour rares, et la traçabilité des composants souvent inexistante. Mettre en place un SBOM pour un équipement industriel vieillissant constitue un défi technique de premier ordre.
Le secteur des appareils grand public connectés (IoT domestique, jouets connectés, montres intelligentes) fait face à un modèle économique sous pression. Les fabricants devront financer 5 ans de support sécurité sur des produits vendus parfois moins de 30 euros. Certains analystes anticipent une consolidation du marché, les petits fabricants ne disposant pas des ressources pour absorber ces coûts supplémentaires.
Les éditeurs de logiciels critiques (gestionnaires de mots de passe, VPN, navigateurs, solutions de gestion des identités) font partie des catégories nécessitant un audit tiers. Ces entreprises devront investir dans des processus DevSecOps, des programmes de bug bounty, et des audits réguliers pour maintenir leur certification. Jean-Noël de Galzain, PDG de Wallix et vice-président de Hexatrust, a déclaré : “Le CRA est une opportunité majeure pour les éditeurs européens de cybersécurité. Les acheteurs publics et privés vont naturellement se tourner vers des solutions déjà conformes, et les acteurs européens ont une longueur d’avance sur la compréhension du cadre réglementaire.”
L’ANSSI dans l’implémentation française du CRA
En France, l’ANSSI joue un rôle central dans l’implémentation du CRA. L’agence cumule plusieurs fonctions : autorité de notification des organismes d’évaluation de conformité, point de coordination avec l’ENISA pour les signalements, et acteur d’accompagnement des entreprises françaises dans leur transition.
Dans la publication du règlement sur son site gouvernemental cyber.gouv.fr, l’ANSSI précise le calendrier national : “Juin 2026 à décembre 2026 : accréditation et début de la notification des organismes d’évaluation. Septembre 2026 : les fabricants notifient les vulnérabilités activement exploitées et les incidents graves via la plateforme ENISA au CERT-FR pour la France. Décembre 2027 : les produits mis sur le marché sont conformes au CRA et l’ANFR opère des contrôles.”
Cette séquence place l’ANSSI au carrefour de deux rôles potentiellement en tension : celui de régulateur exigeant la conformité stricte, et celui d’accompagnateur des PME françaises qui manquent souvent de ressources pour absorber seules les coûts de mise en conformité. En 2024, l’agence a traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à 2023, dans un contexte où 67 % des entreprises françaises ont déclaré avoir été victimes d’au moins une cyberattaque (rapport Hiscox 2024).
L’articulation avec la politique post-quantique de l’ANSSI est directe. Le 16 juin 2026, l’agence a annoncé qu’elle arrêterait de certifier les produits sans chiffrement résistant aux ordinateurs quantiques à partir de 2027, avec une cible de transition totale des achats vers des produits post-quantiques d’ici 2030. Le CRA et la certification PQC convergent vers le même horizon, créant une pression cumulative sur les fabricants qui devront simultanément intégrer des algorithmes ML-KEM et ML-DSA dans leurs produits.
Coûts de conformité et impact sur le marché tech européen
La mise en conformité CRA représente un investissement significatif dont le montant varie selon la taille de l’entreprise, la complexité des produits et le niveau de maturité cyber préexistant.
Pour les grandes entreprises tech (chiffre d’affaires supérieur à 100 M€), les estimations sectorielles oscillent entre 2 et 5 % du budget annuel R&D pour la mise en conformité initiale. Les principaux postes de coûts incluent : l’audit des portefeuilles produits existants, le déploiement de processus DevSecOps, la mise en place d’outils SBOM automatisés (Syft, SPDX, CycloneDX), et le recrutement de profils de sécurité produit spécialisés.
Pour les PME et ETI, l’impact est proportionnellement plus lourd. Une PME avec 5 à 10 références de produits connectés devra potentiellement mobiliser l’équivalent d’un ETP cybersécurité dédié pour gérer la documentation, les évaluations de risques et les obligations de signalement. SafeLogic, dans son analyse de juin 2026, prévient que “les PME qui n’ont pas commencé leur préparation CRA avant mi-2026 auront du mal à respecter l’échéance de septembre 2026 pour les obligations de signalement.”
En contrepartie, le CRA crée une opportunité de marché substantielle pour les prestataires de sécurité. Les services d’audit CRA, de conseil en conformité, de déploiement de solutions SBOM et d’intégration à la plateforme ENISA constituent des niches à forte croissance. Le marché européen de la cybersécurité, dont le volume dépassait 45 milliards d’euros en 2025, devrait voir une accélération des dépenses liées à la conformité réglementaire jusqu’en 2027.
Open source : exempté des amendes mais pas des responsabilités
Le traitement du logiciel open source dans le CRA a fait l’objet d’intenses négociations lors de l’élaboration du texte. La version finale exclut les développeurs open source non commerciaux des amendes, mais ce régime spécial est plus nuancé qu’il n’y paraît.
L’exemption ne s’applique pas automatiquement à tout logiciel sous licence libre. Si un composant open source est intégré dans un produit commercial mis sur le marché de l’UE, c’est le fabricant commercial qui porte la responsabilité CRA, pas le développeur original du composant. Cette distinction a des implications directes pour les projets très utilisés comme OpenSSL ou des bibliothèques de cryptographie : les entreprises qui les intègrent devront tenir un SBOM à jour et assurer la veille CVE sur ces composants.
L’OpenSSF (Open Source Security Foundation) a publié en juin 2026 une analyse saluant l’exemption tout en alertant : “L’exemption des développeurs non commerciaux est une victoire pour l’écosystème open source, mais elle ne dispense pas les entreprises intégratrices de leurs obligations. Au contraire, elle renforce leur responsabilité sur la sécurité des composants tiers qu’elles utilisent dans leurs produits commerciaux.”
Comparaison internationale : CRA, US Cyber Trust Mark et PSTI britannique
Le CRA s’inscrit dans une tendance mondiale de régulation de la cybersécurité des produits numériques, mais adopte une approche distincte de ses homologues internationaux par son caractère obligatoire et horizontal.
Aux États-Unis, le programme US Cyber Trust Mark lancé par la FCC en 2024 cible les appareils IoT grand public sur une base volontaire. Les fabricants peuvent apposer un label de confiance sur leurs produits en respectant des critères définis par le NIST, sans obligation légale de le faire. Cette approche contraste avec le caractère contraignant du CRA européen, où le non-respect des exigences bloque l’accès au marché.
Au Royaume-Uni (post-Brexit), le Product Security and Telecommunications Infrastructure Act (PSTI) est entré en vigueur en avril 2024 et impose des exigences similaires sur les produits connectés grand public, mais avec un périmètre plus restreint que le CRA et des obligations de support moins étendues. Les entreprises qui exportent vers l’UE et le Royaume-Uni doivent respecter les deux cadres, ce qui crée une double charge de conformité.
Cette fragmentation réglementaire internationale crée un risque de conformité multiple pour les fabricants exportant à l’échelle mondiale. Un équipement IoT industriel vendu en Europe, aux États-Unis et au Royaume-Uni peut devoir satisfaire trois cadres différents, avec des exigences partiellement divergentes sur les délais de signalement, les algorithmes cryptographiques acceptables, ou les exigences documentaires.
5 prédictions pour la mise en oeuvre du CRA entre 2026 et 2028
La phase de déploiement opérationnel du CRA entre juin 2026 et décembre 2027 sera déterminante pour la crédibilité du règlement. Voici cinq tendances probables pour cette période critique.
1. Un délai de grâce informel pour les PME en 2026-2027. Les autorités nationales (ANFR en France, BSI en Allemagne) adopteront probablement une approche pragmatique dans les premiers mois, en privilégiant l’accompagnement sur la sanction pour les petits acteurs qui démontrent une démarche sincère de mise en conformité. Les premières amendes substantielles cibleront les acteurs récidivistes ou ayant dissimulé des incidents graves.
2. Une consolidation accélérée du marché IoT grand public. Les petits fabricants d’objets connectés sans les ressources pour financer 5 ans de support sécurité feront face à un choix entre acquisition par un acteur plus grand, abandon du marché européen, ou partenariat avec des prestataires de sécurité managés. On peut anticiper une vague d’acquisitions dans le secteur IoT entre 2026 et 2028.
3. Le SBOM comme standard industriel généralisé. L’obligation de documentation des composants logiciels va s’imposer comme une norme de facto dans les appels d’offres publics et privés, bien au-delà des seules obligations CRA. Les outils SBOM automatisés (Syft, SPDX, CycloneDX) et les plateformes de gestion de la sécurité des dépendances connaîtront une adoption massive en France et en Europe.
4. Une pression croissante sur les acteurs non-UE. Les fabricants asiatiques et américains souhaitant maintenir leur accès au marché européen devront désigner un représentant autorisé dans l’UE et se conformer aux exigences CRA, créant un effet de régulation extraterritoriale similaire au RGPD. Certains acteurs extra-européens pourraient choisir de se retirer du marché UE plutôt que d’investir dans la conformité.
5. La convergence CRA et post-quantique dès 2027. L’obligation CRA de maintenir les produits à jour combinée à la politique ANSSI de certification post-quantique va créer une pression pour que les fabricants intègrent des algorithmes ML-KEM et ML-DSA dans leurs produits d’ici 2027-2028, bien avant que la menace quantique ne soit pleinement opérationnelle. Cette double contrainte réglementaire accélérera la migration cryptographique dans tous les secteurs.
Les sanctions : qui risque quoi et combien
Le régime de sanctions du CRA est gradué selon la gravité de la non-conformité et offre une visibilité importante sur le niveau de risque financier pour les entreprises.
La sanction maximale de 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial s’applique aux violations les plus graves des exigences essentielles de cybersécurité, notamment la mise sur le marché de produits délibérément non conformes ou la dissimulation d’incidents de sécurité. Pour les violations moins critiques (manquements documentaires, non-conformité aux obligations de coopération), les amendes peuvent atteindre 10 millions d’euros ou 2 % du CA mondial. La fourniture d’informations incorrectes ou trompeuses aux autorités est sanctionnée jusqu’à 5 millions d’euros ou 1 % du CA mondial.
En France, l’ANFR sera l’autorité de surveillance du marché pour le CRA, avec le pouvoir d’imposer le retrait du marché d’un produit non conforme. Cette compétence fait suite à l’expérience de l’ANFR dans la surveillance des équipements radioélectriques (directive RED), dont le CRA étend la logique au domaine cyber. Les contrôles débuteront officiellement en décembre 2027, mais l’ANFR peut intervenir avant cette date en cas d’incident grave signalé.
Le précédent du RGPD est instructif : les premières années d’application (2018-2020) ont vu peu de grandes amendes, mais une accélération significative à partir de 2021. Pour le CRA, le même schéma est probable : une période d’accompagnement jusqu’en 2028, suivie de contrôles plus systématiques et de sanctions croissantes à mesure que les autorités nationales développent leur expertise technique dans ce domaine.
Couverture connexe
Pour approfondir les sujets liés au Cyber Resilience Act et à la réglementation cybersécurité européenne :
- ANSSI : fin des certifications sans PQC dès 2027, deadline 2030 — La politique française de certification post-quantique qui s’articule directement avec le CRA.
- FortiBleed : 75 000 Pare-feux Fortinet Piratés, Groupe Russe dans 194 Pays — Un exemple concret d’incident de sécurité produit qui illustre les enjeux du CRA.
- TLS 1.3 vs TLS 1.2 : 40 % plus rapide, 5 CVE — Les protocoles de chiffrement au coeur des exigences de sécurité CRA.
- Kyber vs Dilithium : 1 Ko vs 3,3 Ko, le duel PQC — Les algorithmes post-quantiques que les produits devront intégrer d’ici 2027-2028.
- CNIL 2025 : 487 M€ d’Amendes RGPD, Google et Free Épinglés — Le précédent RGPD comme modèle d’application des réglementations européennes en matière de conformité.
FAQ : Cyber Resilience Act (CRA)
Le CRA s’applique-t-il aux logiciels SaaS ?
Non directement. Le CRA cible les “produits comportant des éléments numériques” mis sur le marché, ce qui exclut les services SaaS purs qui ne sont pas associés à un produit physique ou un logiciel distribué et installé. Cependant, si un service SaaS est livré avec un agent ou logiciel client installé sur le poste de l’utilisateur, cette composante logicielle entre dans le périmètre CRA. La directive NIS2 couvre davantage les fournisseurs de services numériques.
Qu’est-ce qu’un SBOM et est-il obligatoire sous le CRA ?
Un SBOM (Software Bill of Materials) est un inventaire exhaustif de tous les composants logiciels d’un produit, incluant les bibliothèques tierces, leurs versions et leurs licences. Sous le CRA, les fabricants doivent documenter les composants de leurs produits dans le cadre de la documentation technique requise. Bien que le terme “SBOM” n’apparaisse pas explicitement dans le texte du règlement, l’obligation de documentation des composants constitue de facto une exigence de SBOM. La conformité totale sera obligatoire au 11 décembre 2027.
Un produit mis sur le marché avant 2027 est-il exempté du CRA ?
Partiellement. Les produits déjà sur le marché avant le 11 décembre 2027 ne sont pas soumis rétroactivement aux exigences CRA, à moins de subir une “modification substantielle” affectant leurs propriétés de cybersécurité après cette date. Une mise à jour corrective mineure ne déclenche pas la conformité, mais une refonte majeure du firmware ou l’ajout d’une nouvelle interface réseau peut le faire. Les obligations de signalement de vulnérabilités (septembre 2026) s’appliquent quant à elles dès leur entrée en vigueur, quel que soit l’âge du produit.
Quelle est la différence entre “produit critique” et “produit standard” sous le CRA ?
Le CRA établit plusieurs niveaux : les produits standard (auto-certification possible), les produits “importants” de classe I (audit basé sur des modules harmonisés), et les produits “importants” de classe II et critiques (audit tiers obligatoire par un organisme notifié). Les catégories critiques incluent notamment les systèmes d’exploitation, les hyperviseurs, les pare-feux, les systèmes de détection d’intrusion, et les dispositifs de chiffrement matériels. La classification complète figure dans les annexes III et IV du règlement 2024/2847.
Comment le CRA interagit-il avec le RGPD ?
CRA et RGPD sont complémentaires mais distincts. Le RGPD concerne la protection des données personnelles et s’applique aux traitements de données. Le CRA concerne la sécurité des produits numériques indépendamment de la présence de données personnelles. En pratique, un produit non conforme au CRA exposant des données personnelles peut déclencher simultanément des sanctions CRA (via l’ANFR) et RGPD (via la CNIL). Les amendes maximales ne se cumulent pas automatiquement, mais les deux autorités peuvent agir de façon indépendante.
Quelles ressources l’ANSSI met-elle à disposition pour la conformité CRA ?
L’ANSSI publie sur son site gouvernemental (cyber.gouv.fr) des guides pratiques sur le Cyber Resilience Act, incluant des FAQ sectorielles, des modèles de documentation technique, et des informations sur le processus de notification des organismes d’évaluation. Le CERT-FR publie des bulletins d’actualité sur les vulnérabilités exploitées qui serviront de référence pour les obligations de signalement à partir de septembre 2026. L’ENISA met également à disposition un suivi de l’état d’avancement du CRA sur cyberresilienceact.eu.
