01Ce qu’est le CRA
Le Cyber Resilience Act est la première loi à l’échelle de l’UE à fixer des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques ; matériels et logiciels ; tout au long de leur cycle de vie. Il fait peser la responsabilité de la sécurité sur les organisations qui mettent ces produits sur le marché, plutôt que sur les utilisateurs. Art. 1
En pratique, un produit ne peut être mis à disposition sur le marché de l’UE que s’il respecte les exigences essentielles de l’annexe I et si le fabricant a rempli les obligations correspondantes. La conformité est signalée par le marquage CE.
Si votre produit comporte des éléments numériques et atteint le marché de l’UE, il doit être conçu, fabriqué et maintenu selon un niveau de cybersécurité défini ; et vous devez pouvoir le démontrer.
02À qui il s’applique
Le règlement couvre les produits comportant des éléments numériques dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion de données directe ou indirecte. Les obligations sont réparties le long de la chaîne d’approvisionnement : Art. 13–28
- Fabricants ; portent les obligations principales : conception, documentation, évaluation de la conformité et gestion des vulnérabilités.
- Importateurs ; ne peuvent mettre sur le marché que des produits conformes et doivent vérifier que les obligations du fabricant ont été remplies.
- Distributeurs ; doivent agir avec la diligence requise et vérifier la présence du marquage CE et de la documentation.
Les produits déjà couverts par des règles sectorielles ; tels que les dispositifs médicaux, les véhicules à moteur et l’aviation civile ; sont exclus, de même que les composants open source non commerciaux.
03Classes de produits
La procédure de conformité requise dépend du caractère critique du produit. La plupart des produits s’auto-évaluent ; les catégories à risque plus élevé listées dans les annexes suivent des procédures plus strictes. Art. 6–7 · Annex III–IV
| Classe | Exemples | Procédure de conformité |
|---|---|---|
| Par défaut | La majorité des produits comportant des éléments numériques | Auto-évaluation |
| Important ; I | Gestionnaires de mots de passe, gestion de réseau, VPN | Normes ou tierce partie |
| Important ; II | Systèmes d’exploitation, pare-feu, microprocesseurs | Évaluation par un tiers |
| Critique | Compteurs intelligents, cartes à puce, éléments sécurisés | Certification obligatoire |
04Obligations clés
Les exigences essentielles de l’annexe I se répartissent en deux groupes ; les propriétés que le produit doit présenter, et les processus que le fabricant doit mettre en œuvre. Annexe I
- Sécurisé dès la conception et par défaut ; livré avec une configuration sécurisée et une surface d’attaque réduite.
- Aucune vulnérabilité exploitable connue ; expédié sans faille exploitable connue.
- Gestion des vulnérabilités ; un processus pour identifier, documenter, corriger et divulguer les problèmes.
- Mises à jour de sécurité ; des mises à jour gratuites et rapides pendant toute la période de support définie.
- Nomenclature logicielle (SBOM) ; tenir à jour un SBOM couvrant les composants du produit.
- Signalement ; notifier les vulnérabilités activement exploitées et les incidents graves à l’ENISA et au CSIRT compétent, avec une alerte précoce sous 24 heures.
05Calendrier et sanctions
Le règlement est déjà en vigueur ; ses obligations s’appliquent progressivement au cours des années suivantes. Art. 71
- Oct. 2024Adopté et promulgué.
- Déc. 2024Entré en vigueur.
- Sept. 2026Les obligations de signalement s’appliquent (21 mois après l’entrée en vigueur).
- Déc. 2027Application complète ; la plupart des dispositions s’appliquent (36 mois).
Le non-respect des exigences essentielles peut entraîner des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.
06Que faire ensuite
Commencez par confirmer si le règlement s’applique à votre produit, puis suivez le guide correspondant à votre rôle.