CRA pour l'automatisation industrielle : IEC 62443 et sécurité OT

Le CRA pour l'automatisation industrielle et l'OT : alignement IEC 62443, pourquoi PLC et SCADA relèvent de la catégorie par défaut et ce qui élève la classe.

Équipe CRA Evidence Publié 8 janvier 2026 Mis à jour 19 avril 2026
CRA pour l'automatisation industrielle : IEC 62443 et sécurité OT
Dans cet article

Les produits d'automatisation industrielle font face à des défis CRA spécifiques en raison de leur rôle critique dans la fabrication, l'énergie et les infrastructures. Beaucoup relèvent de la catégorie Important Classe II, ce qui impose une évaluation de la conformité par un tiers. La norme bien établie IEC 62443 fournit toutefois une base solide pour la conformité CRA.

Ce guide couvre la conformité CRA pour les fabricants de produits d'automatisation industrielle.

Résumé

  • De nombreux produits d'automatisation industrielle sont Important Classe II (évaluation par un tiers requise).
  • La certification IEC 62443 soutient significativement la conformité CRA (pas d'équivalence automatique).
  • Les environnements OT présentent des contraintes uniques en matière de mise à jour et de cycle de vie.
  • Une période d'assistance minimale de 5 ans s'applique au titre de l'Article 13, paragraphe 8 du CRA. Planifiez les cycles de vie en conséquence.
  • Les exigences SBOM s'appliquent aux systèmes de contrôle industriel.
  • L'intégration sûreté-sécurité est critique (IEC 62443 avec IEC 61508 et ISO 13849).
5 ans
Période d'assistance minimale
Article 13, paragraphe 8 du CRA
24 h
Alerte précoce
au CSIRT et à l'ENISA
72 h
Notification de vulnérabilité
Article 14, paragraphe 2, point b)
14 j
Rapport final
après remédiation

Source : Règlement (UE) 2024/2847, Article 13, paragraphe 8 (période d'assistance) et Article 14, paragraphe 2, points a), b) et c) (cadence de signalement).

Quels produits industriels sont concernés ?

Champ d'application du CRA pour l'automatisation industrielle

Le CRA s'applique aux « produits comportant des éléments numériques » mis sur le marché de l'UE. Pour l'automatisation industrielle, cela inclut :

Clairement dans le champ d'application :

  • Automates programmables industriels (PLC)
  • PC industriels et IHM
  • Logiciels SCADA
  • Systèmes DCS
  • Capteurs et passerelles IoT industriels
  • Routeurs et commutateurs industriels
  • Solutions d'accès à distance
  • Stations d'ingénierie et logiciels associés

Des exemptions peuvent s'appliquer :

  • Produits exclusivement destinés à la sécurité nationale
  • Produits conçus pour un usage militaire
  • Systèmes industriels uniques sur mesure (peuvent être qualifiés de « pièces de rechange »)

Classification CRA pour les produits industriels

La plupart des produits d'automatisation industrielle relèvent des catégories Important Classe I ou II.

Important Classe II

Évaluation de la conformité par un organisme notifié (Module B+C ou Module H) ou par un schéma de certification disponible et applicable. Certains produits industriels ont la fonctionnalité principale d'une catégorie de l'Annexe IV, comme les modules matériels de sécurité (HSM) et les passerelles de compteurs intelligents ; ce sont des produits Critiques, un niveau supérieur qui requiert également une évaluation par un tiers.

Exemples
  • Pare-feu à usage industriel
  • Systèmes IDS/IPS industriels
  • Microprocesseurs et microcontrôleurs inviolables pour applications industrielles
Important Classe I

Auto-évaluation possible avec des normes harmonisées, spécifications communes, ou un schéma de certification.

Exemples
  • PLC et contrôleurs industriels
  • Logiciels SCADA et DCS
  • Passerelles IoT industrielles
  • Solutions d'accès à distance et VPN
  • Routeurs, modems et commutateurs industriels
  • Microprocesseurs et microcontrôleurs avec fonctionnalités liées à la sécurité
Par défaut

Auto-évaluation.

Exemples
  • Capteurs basiques sans capacité réseau
  • Périphériques industriels simples
  • Équipements non connectés
Vérifiez auprès de la source primaire

La classification dépend des capacités spécifiques du produit. Consultez les Annexes III et IV du CRA pour une classification définitive.

Alignement IEC 62443 et CRA

Qu'est-ce que l'IEC 62443 ?

L'IEC 62443 est la série de normes internationales pour la sécurité des systèmes d'automatisation et de contrôle industriels (IACS). Elle couvre :

  • IEC 62443-4-1 : cycle de développement sécurisé.
  • IEC 62443-4-2 : exigences de sécurité des composants (4 niveaux de sécurité, SL 1 à SL 4).
  • IEC 62443-3-3 : exigences de sécurité système.
  • IEC 62443-2-4 : exigences pour les prestataires de services.

Couverture IEC 62443 ↔ CRA d'un coup d'œil

Bien couvert par IEC 62443
  • Processus de traitement des vulnérabilités
  • Contrôle d’accès
  • Cryptographie
  • Journalisation d’audit
  • Capacité de mise à jour
Partiellement couvert
  • Sécurité par défaut
  • Protection des données
  • Preuve d’absence de vulnérabilités connues
Ajouts propres au CRA
  • SBOM
  • Marquage CE / Déclaration UE de conformité
  • Signalement au titre de l’Article 14
  • Déclaration de période d’assistance

Là où les preuves IEC 62443 correspondent directement aux exigences CRA, là où elles ne couvrent qu'une partie de l'obligation, et là où le CRA ajoute de nouvelles obligations.

Correspondance IEC 62443 ↔ CRA

Exigence CRACouverture IEC 62443Statut
Sécurisé par défautExigences SL (4-2)Partiel, exigences CRA plus strictes
Gestion des vulnérabilités4-1 (SDL), 2-4 (maintenance)Bon alignement
Mises à jour de sécurité4-1, 2-4Alignement sur le processus
Absence de vulnérabilités connues4-1 (gestion des vulnérabilités)Processus aligné
Protection des données4-2 (confidentialité)Partiel
Contrôle d'accès4-2 (authentification, autorisation)Fort alignement
Cryptographie4-2 (exigences de chiffrement)Bon alignement
Journalisation d'audit4-2 (journaux d'audit)Bon alignement
Capacité de mise à jour4-2 (mise à jour du firmware)Alignement
SBOMNon couvert par l'IEC 62443Écart
Marquage CENon couvert par l'IEC 62443Écart
Assistance 5 ansNon spécifiéÉcart

IEC 62443 comme base, pas comme équivalence

Important

La certification IEC 62443 ne signifie PAS automatiquement la conformité CRA. Utilisez-la comme base et comme preuve, pas comme équivalence.

Ce que l'IEC 62443 apporte :

  • Une base technique de sécurité solide.
  • Un cycle de développement de sécurité mature.
  • Des capacités de sécurité bien documentées.
  • Des preuves pour l'évaluation de la conformité.

Ce que le CRA ajoute au-delà de l'IEC 62443 :

  • Exigences SBOM (nouveau).
  • Signalement des vulnérabilités au CSIRT désigné comme coordinateur et à l'ENISA (24 heures pour l'alerte précoce, 72 heures pour la notification de vulnérabilité, 14 jours pour le rapport final, au titre de l'Article 14, paragraphe 2 du CRA).
  • Marquage CE et déclaration UE de conformité.
  • Engagement d'assistance minimale de 5 ans au titre de l'Article 13, paragraphe 8 du CRA.
  • Exigences spécifiques de format de documentation.
  • Coordination de la surveillance du marché.

Tirer parti de l'IEC 62443 pour le CRA

  1. Si vous disposez d'une certification IEC 62443-4-1. Réutilisez la documentation SDL pour la documentation technique CRA, démontrez votre cycle de développement sécurisé, et présentez-la comme preuve de l'approche d'évaluation des risques.
  2. Si vous disposez d'une certification IEC 62443-4-2. Réutilisez la documentation des capacités de sécurité, associez chaque niveau de sécurité atteint aux exigences essentielles du CRA, et présentez-la comme preuve de la mise en œuvre des fonctions de sécurité.
  3. Ajoutez par-dessus les éléments propres au CRA. Générez un SBOM, mettez en place la capacité de signalement à l'ENISA, documentez l'engagement d'assistance de 5 ans, préparez la déclaration UE de conformité et apposez le marquage CE.

Contraintes de conformité propres à l'OT

Contraintes de mise à jour et de correctifs

Les environnements industriels présentent des contraintes uniques sur les mises à jour.

Contraintes :

  • Opérations 24/7, sans fenêtre de maintenance.
  • Revalidation des systèmes de sûreté après mise à jour.
  • Intégration avec des systèmes hérités.
  • Environnements isolés ou semi-connectés.
  • Longs cycles de qualification.

Les exigences CRA s'appliquent toujours :

  • Des mises à jour de sécurité doivent être fournies pendant au moins 5 ans (Article 13, paragraphe 8 du CRA).
  • Un mécanisme de livraison des mises à jour doit exister.
  • Les vulnérabilités doivent être corrigées dans un délai raisonnable.
  1. Déploiement par étapes. Environnements de test d'abord, puis lignes de production pilotes, puis déploiement complet avec surveillance.
  2. Planification des mises à jour. Coordonnez-les avec la maintenance planifiée, fournissez un préavis de plusieurs semaines ou mois, et prenez en charge des cycles de mise à jour programmés par le client.
  3. Livraison hors ligne. Packages de mise à jour sur USB, serveurs de mise à jour internes au réseau OT, ou mécanismes de transfert de fichiers sécurisés pour les sites isolés.
  4. Revalidation de sûreté. Documentez l'impact de la mise à jour sur les fonctions de sûreté, fournissez des guides de revalidation, et envisagez la co-ingénierie sûreté-sécurité.

Longs cycles de vie des produits

Les produits industriels ont souvent des cycles de vie de 15 à plus de 20 ans, mais le CRA n'exige qu'un minimum de 5 ans.

Année 1 à 5

Ventes actives et période d'assistance CRA (minimum). Les mises à jour de sécurité et la gestion des vulnérabilités s'appliquent pleinement.

Année 5 à 10

Assistance étendue. Le fabricant peut continuer à fournir des mises à jour de sécurité au-delà du plancher CRA, notamment lorsque le produit est toujours utilisé.

Année 10 à 15

Assistance héritée. Mises à jour limitées. Une plus grande partie du risque opérationnel est transférée au client.

Année 15+

Fin de vie. Responsabilité du client. Communiquez clairement la date de fin d'assistance au moment de la vente.

Règle de période d'assistance CRA

Minimum de 5 ans à compter de la mise sur le marché de chaque unité (Article 13(8)), ou plus si la durée de vie prévue du produit dépasse 5 ans. Planifiez la période d'assistance en fonction de la durée de vie raisonnable du produit, pas uniquement du plancher CRA.

Besoins de documentation :

  • Communiquez clairement la période d'assistance au moment de l'achat.
  • Fournissez une date de fin d'assistance.
  • Documentez les responsabilités du client après la fin de l'assistance.

Intégration sûreté-sécurité

Les produits industriels ont souvent des exigences de sûreté (niveaux SIL selon IEC 61508 et ISO 13849). Le CRA ajoute des exigences de sécurité.

1
Évaluation des risques

Modélisation combinée des menaces sûreté et sécurité. Traitez les menaces de sécurité pesant sur les fonctions de sûreté comme un mode de défaillance à part entière.

2
Exigences

Les exigences de sûreté (SIL 1 à SIL 4) et les exigences de sécurité (SL 1 à SL 4) cohabitent. Aucune mesure de sécurité ne doit compromettre la sûreté.

3
Validation

Validation de sûreté, tests de sécurité et tests de scénarios combinés sont tous menés avant la mise sur le marché. Chaque discipline se prononce de manière indépendante.

4
Gestion des changements

Revalidation de sûreté pour les correctifs de sécurité. Évaluation de sécurité pour les modifications de sûreté. Les deux boucles sont obligatoires, pas optionnelles.

Principe fondamental

Aucune mesure de sécurité ne doit compromettre la sûreté. Lorsque les deux disciplines entrent en conflit, la sûreté l'emporte, et la conception de sécurité est adaptée.

SBOM pour les systèmes industriels

Contraintes d'identification des composants

Les produits industriels contiennent souvent :

  • Des systèmes d'exploitation temps réel (RTOS).
  • Du firmware propriétaire.
  • Des bibliothèques tierces (piles OPC UA, MQTT, Modbus).
  • Des composants matériels avec firmware.
  1. Composants logiciels. RTOS et noyau, piles de protocoles (OPC UA, Modbus, EtherNet/IP, PROFINET), bibliothèques de sécurité (TLS, crypto), middleware tiers, et logiciel applicatif.
  2. Firmware. Bootloader, firmware de l'appareil, et composants programmables sur le terrain.
  3. Profondeur. Les composants primaires sont contrôlés par le fabricant. Demandez les SBOM aux fournisseurs pour les composants tiers. Descendez aussi loin que possible dans les composants imbriqués.
Format
CycloneDX ou SPDX. Les deux sont acceptables.
Identifiants
Incluez les identifiants PURL lorsqu'ils sont disponibles.
Composants sur mesure
Documentez explicitement les composants personnalisés et propriétaires.

Complexité de la chaîne d'approvisionnement

Les produits industriels ont souvent des chaînes d'approvisionnement complexes.

Niveau 1
Votre produit

Votre logiciel et votre firmware. SBOM complet requis.

Niveau 2
Fournisseurs directs

Composants tiers. Demandez un SBOM à chaque fournisseur et incluez-le dans votre propre SBOM.

Niveau 3
Sous-fournisseurs

Composants dans les composants. Inclusion au mieux. Documentez les limitations connues.

Actions :

  • Mettez à jour les accords fournisseurs pour y intégrer les exigences SBOM.
  • Définissez un format d'échange SBOM avec vos fournisseurs.
  • Créez un processus d'intégration des SBOM.
  • Documentez les limitations de la chaîne d'approvisionnement.

Évaluation de la conformité pour les produits industriels

Module B+C (examen UE de type)

Pour les produits industriels Important Classe II, l'évaluation requiert un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable :

  1. Module B, examen de type. L'organisme notifié examine la complétude de la documentation technique, l'adéquation de l'évaluation des risques, la couverture des exigences de sécurité, toute certification IEC 62443 présentée comme preuve, la qualité du SBOM et les résultats des tests. Livrable : un certificat d'examen UE de type.
  2. Module C, conformité au type. Le fabricant garantit que la production correspond au type examiné, maintient un contrôle qualité interne pour la production, et tient la documentation à jour. Livrable : une auto-déclaration de conformité au type.

Utilisation de la certification IEC 62443

Si vous disposez d'une certification IEC 62443-4-2 :

  1. Présentation à l'organisme notifié. Soumettez le certificat IEC 62443-4-2, le niveau de sécurité atteint (SL 1 à SL 4), le certificat ISASecure le cas échéant, et le rapport d'évaluation.
  2. Évaluation par l'organisme notifié. L'organisme notifié reconnaît l'IEC 62443 comme preuve, vérifie la couverture des exigences CRA, identifie les écarts éventuels, et peut réduire la portée des tests.
  3. Preuves supplémentaires encore requises. SBOM (non couvert par l'IEC 62443), capacité de signalement à l'ENISA, engagement d'assistance de 5 ans documenté, et documentation utilisateur.

Conseils par segment industriel

PLC et contrôleurs

Généralement Important Classe I ou II.

Exigences clés. Capacité de démarrage sécurisé, communications chiffrées (optionnelles, tendant vers la valeur par défaut), authentification forte, journalisation d'audit, mécanisme de mise à jour du firmware, SBOM pour le firmware et le runtime.

Alignement IEC 62443. Utilisez IEC 62443-4-2 SL2+ comme référence, documentez les capacités de sécurité, testez les fonctions de sécurité.

Points de vigilance. Contraintes temps réel face au traitement de sécurité. Protection des fonctions de sûreté. Prise en charge des protocoles hérités (Modbus et autres).

Logiciels SCADA et DCS

Généralement Important Classe I.

Exigences clés. Architecture sécurisée, contrôle d'accès basé sur les rôles, communications chiffrées, piste d'audit, mécanisme de mise à jour, SBOM pour tous les composants.

Points de vigilance. Sécurité des bases de données, configuration de sécurité OPC UA, protection des données historian, sécurité de l'accès distant.

Passerelles IoT industrielles

Généralement Important Classe I.

Exigences clés. Démarrage sécurisé, prise en charge de la segmentation réseau, protocoles chiffrés (MQTT-TLS et similaires), authentification des appareils, mécanisme de mise à jour du firmware, SBOM.

Points de vigilance. Sécurité de l'edge computing, sécurité de la connectivité cloud, sécurité de la traduction de protocoles, filtrage et validation des données.

Feuille de route pratique de conformité

Phase 1: Évaluation

Inventaire des produits.

  • Listez tous les produits comportant des éléments numériques.
  • Classez selon les catégories CRA.
  • Identifiez les produits Important Classe II.

Certifications existantes.

  • Listez les certifications IEC 62443.
  • Associez-les aux exigences CRA.
  • Identifiez les écarts.

Analyse des écarts.

  • Capacité SBOM.
  • Préparation au signalement des vulnérabilités.
  • Planification de l'assistance de 5 ans.
  • Lacunes documentaires.

Phase 2: Préparation

Technique.

  • Mettez en place la génération de SBOM.
  • Établissez un processus de gestion des vulnérabilités.
  • Préparez la capacité de signalement à l'ENISA.
  • Mettez à jour les référentiels de sécurité produit.

Documentation.

  • Structure de la documentation technique.
  • Mises à jour de la documentation de sécurité.
  • Guide utilisateur pour un déploiement sécurisé.
  • Communication de la période d'assistance.

Commercial.

  • Définitions des périodes d'assistance.
  • Mises à jour des contrats clients.
  • Révision tarifaire lorsque les coûts de conformité sont significatifs.

Phase 3: Conformité

À compter du 11 septembre 2026.

  • Signalement des vulnérabilités opérationnel.
  • Plateforme unique de signalement en service.

Au cours de 2027.

  • Finalisation des évaluations de conformité.
  • Engagement des organismes notifiés (Important Classe II).
  • Obtention des certificats d'examen UE de type.
  • Mise à jour de toute la documentation produit.

D'ici le 11 décembre 2027.

  • Tous les produits concernés conformes au CRA.
  • Marquage CE apposé.
  • Communication client finalisée.

Ressources sectorielles

Organismes de normalisation

  • IEC (Commission électrotechnique internationale). Série IEC 62443. iec.ch
  • ISA (International Society of Automation). Développement ISA/IEC 62443, programme de certification ISASecure. isa.org
  • NAMUR (association de l'industrie des procédés). Recommandations NE pour la sécurité OT. namur.net
  • NIST. Cybersecurity Framework, SP 800-82 (guide de sécurité OT). nist.gov

Associations industrielles

Association Focus Site web
ZVEI (Allemagne) Industrie électrique zvei.org
ORGALIM Ingénierie européenne orgalim.eu
VDMA (Allemagne) Machines vdma.org
GAMBICA (Royaume-Uni) Automatisation industrielle gambica.org.uk
ODVA Réseaux industriels odva.org

Si vous fabriquez des machines comportant des éléments numériques, consultez notre guide pour les fabricants de machines pour des conseils spécifiques sur la double conformité avec le CRA et le règlement Machines de l'UE.

Checklist pour l'automatisation industrielle

Classification produit

  • Classification déterminée (Par défaut / Important I / Important II).
  • Voie d'évaluation de la conformité sélectionnée.
  • Organisme notifié identifié, si nécessaire.

Certifications existantes

  • IEC 62443-4-1 (SDL).
  • IEC 62443-4-2 (sécurité des composants).
  • Certification ISASecure.
  • Mappées aux exigences CRA.

Conformité technique

  • Configuration sécurisée par défaut.
  • Mécanisme de mise à jour sécurisé.
  • Capacité de génération de SBOM.
  • Processus de gestion des vulnérabilités.
  • Capacité de signalement à l'ENISA.

Documentation

  • Documentation technique préparée.
  • Évaluation des risques documentée.
  • Architecture de sécurité documentée.
  • Guide de sécurité utilisateur préparé.

Cycle de vie

  • Période d'assistance de 5 ans définie.
  • Mécanisme de livraison des mises à jour.
  • Planification de fin de vie.
  • Processus de revalidation de sûreté pour les mises à jour.

Chaîne d'approvisionnement

  • Exigences SBOM pour les fournisseurs.
  • Évaluation de sécurité des composants.
  • Documentation de la chaîne d'approvisionnement.
Entités essentielles NIS 2

La classification d'un produit d'automatisation industrielle dépend de sa fonctionnalité principale au regard des Annexes III et IV (Article 7(1)) ; le secteur de l'acheteur ne détermine pas à lui seul la classe.

Longueur d'avance IEC 62443

L'alignement IEC 62443 vous donne une longueur d'avance sur la conformité CRA. De nombreuses exigences se recoupent, ce qui réduit votre charge de conformité additionnelle.

Questions fréquentes

La certification IEC 62443 équivaut-elle à la conformité CRA ?

Non. La certification IEC 62443 ne signifie pas automatiquement la conformité CRA. Elle fournit une base technique de sécurité solide et des preuves qu'un organisme notifié peut réutiliser, mais le CRA ajoute des obligations que l'IEC 62443 ne couvre pas : exigences SBOM, signalement d'incidents à l'ENISA au titre de l'Article 14, marquage CE et déclaration UE de conformité, et engagement d'assistance minimale de 5 ans au titre de l'Article 13, paragraphe 8.

Quels produits d'automatisation industrielle relèvent d'Important Classe II ?

Les pare-feu industriels, les systèmes IDS/IPS industriels, et les microprocesseurs et microcontrôleurs inviolables. Les modules matériels de sécurité (HSM) et les passerelles de compteurs intelligents peuvent relever de l'Annexe IV (Critique) selon leur fonctionnalité principale. Les produits Important Classe II nécessitent un organisme notifié (Module B+C ou Module H) ou un schéma de certification disponible et applicable. Consultez le guide de classification des produits pour l'arbre de décision complet.

La période d'assistance minimale de 5 ans du CRA s'applique-t-elle aussi aux produits dont le cycle de vie industriel est de 15 à 20 ans ?

Oui. Cinq ans est le plancher fixé par l'Article 13, paragraphe 8 du CRA. Lorsque le produit est raisonnablement destiné à être utilisé plus longtemps, le fabricant doit déterminer une période d'assistance plus longue reflétant cette durée de vie. Les produits industriels dont le cycle de vie atteint 15 à 20 ans doivent typiquement planifier une assistance bien au-delà du plancher de 5 ans et communiquer clairement la date de fin d'assistance au moment de la vente.

Comment gérer les mises à jour de sécurité CRA dans des environnements OT sans fenêtres de maintenance ?

Utilisez une combinaison de déploiement par étapes (test, pilote, production complète), de fenêtres de mise à jour coordonnées avec la maintenance planifiée, de mécanismes de livraison hors ligne comme les packages USB ou les serveurs de mise à jour internes au réseau OT, et d'une revalidation de sûreté documentée pour chaque mise à jour. Le CRA n'impose pas une connectivité en ligne permanente, mais il impose qu'un mécanisme de livraison des mises à jour existe et que les vulnérabilités soient corrigées dans un délai raisonnable.

Quelles exigences CRA ne sont pas couvertes par l'IEC 62443 ?

La génération et la maintenance du SBOM, le signalement des vulnérabilités et incidents graves au CSIRT désigné comme coordinateur et à l'ENISA selon la cadence 24 heures / 72 heures / 14 jours fixée par l'Article 14, paragraphe 2 du CRA, le marquage CE accompagné d'une déclaration UE de conformité, l'engagement d'assistance minimale de 5 ans, et la coordination de la surveillance du marché. Les preuves IEC 62443 aident sur les exigences techniques mais ne libèrent d'aucune de ces obligations.

La certification IEC 62443-4-2 peut-elle réduire la portée des tests de l'organisme notifié ?

Oui. Un organisme notifié qui reconnaît l'IEC 62443-4-2 comme preuve vérifiera la couverture des exigences CRA, identifiera les écarts éventuels, et pourra réduire la portée des tests en conséquence. Présentez le certificat, le niveau de sécurité atteint (SL 1 à SL 4), le certificat ISASecure le cas échéant, et le rapport d'évaluation. Vous devez néanmoins fournir en supplément les preuves SBOM, la capacité de signalement à l'ENISA, un engagement d'assistance de 5 ans documenté, et la documentation utilisateur. Consultez le guide de décision sur l'évaluation de la conformité pour la comparaison complète des modules.

Prochaines étapes

  1. Classez chaque produit (Par défaut / Important I / Important II) à l'aide du guide de classification des produits CRA.
  2. Intégrez vos preuves IEC 62443 dans la structure de documentation technique CRA décrite dans le guide de l'Annexe VII.
  3. Ajoutez la génération de SBOM à votre chaîne de build. L'IEC 62443 ne couvre pas ce point. Consultez le guide de génération de SBOM.
  4. Mettez en place le signalement d'incidents ENISA 24 heures / 72 heures / 14 jours avant le 11 septembre 2026 à l'aide du guide de signalement.
  5. Définissez la période d'assistance et communiquez-la au moment de la vente à l'aide du guide de planification de la période d'assistance.
  6. Si un produit est Important Classe II, choisissez le module d'évaluation de la conformité avec le guide de décision Module A / B+C / H.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.

CRA Normes de Sécurité Classes de Produits Industriel
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide