CRA et NIS2 : Où les Réglementations de Cybersécurité Se Chevauchent pour les Entreprises de Produits

Vous fabriquez des dispositifs IoT pour le secteur de l'énergie. Vous êtes soumis à la fois à NIS2 (en tant qu'opérateur de services essentiels) et au CRA (en tant que fabricant de produits). Deux réglementations, des exigences qui se chevauchent, un seul budget de conformité.

Ce guide explique comment le CRA et NIS2 interagissent et comment gérer la conformité avec les deux.

CRA vs NIS2 : Différence Fondamentale

CRA : Réglementation Produit

Ce qu'il réglemente : Les produits avec éléments numériques mis sur le marché UE

À qui il s'applique : Fabricants, importateurs, distributeurs de produits avec éléments numériques

Focus : Sécurité du produit tout au long du cycle de vie

• Conception et développement sécurisés
• Gestion des vulnérabilités pour les produits
• Mises à jour de sécurité pour les produits
• Signalement d'incidents au niveau produit

NIS2 : Réglementation Organisationnelle

Ce qu'il réglemente : La cybersécurité des entités essentielles et importantes

À qui il s'applique : Organisations dans des secteurs spécifiés atteignant des seuils de taille

Focus : Cybersécurité organisationnelle

• Gouvernance et gestion des risques
• Gestion des incidents pour les services
• Sécurité de la chaîne d'approvisionnement
• Continuité d'activité

La Zone de Chevauchement

┌─────────────────────────────────────────────────────────────┐
│                    VOTRE ORGANISATION                        │
│                                                              │
│  ┌──────────────────────┐    ┌──────────────────────┐       │
│  │    PÉRIMÈTRE NIS2    │    │    PÉRIMÈTRE CRA     │       │
│  │                      │    │                      │       │
│  │ - Vos systèmes IT    │    │ - Produits que vous  │       │
│  │ - Vos services       │    │   fabriquez          │       │
│  │ - Vos opérations     │    │ - Produits que vous  │       │
│  │ - Votre chaîne       │    │   importez           │       │
│  │   d'appro (acheteur) │    │ - Produits que vous  │       │
│  │                      │    │   distribuez         │       │
│  │        ┌─────────────┴────┴───────────┐         │       │
│  │        │      CHEVAUCHEMENT           │         │       │
│  │        │                              │         │       │
│  │        │ - Gestion vulnérabilités     │         │       │
│  │        │ - Signalement incidents      │         │       │
│  │        │ - Sécurité chaîne appro      │         │       │
│  │        │ - Gouvernance sécurité       │         │       │
│  │        └──────────────────────────────┘         │       │
│  └──────────────────────┘    └──────────────────────┘       │
└─────────────────────────────────────────────────────────────┘

Qui Fait Face aux Deux Réglementations ?

Scénario 1 : Entité Essentielle qui Fabrique des Produits

Exemple : Entreprise énergétique qui fabrique des composants de réseau intelligent

• NIS2 s'applique : Entité secteur énergie au-dessus du seuil
• CRA s'applique : Fabricant de produits avec éléments numériques

Les deux réglementations exigent :

• Gestion des risques de cybersécurité
• Gestion des vulnérabilités
• Signalement d'incidents (à différents organismes, différents déclencheurs)
• Sécurité de la chaîne d'approvisionnement

Scénario 2 : Entité Importante qui Fabrique de l'IoT

Exemple : Entreprise manufacturière qui fabrique des capteurs IoT industriels

• NIS2 s'applique : Entité secteur manufacturier au-dessus du seuil
• CRA s'applique : Fabricant de produits avec éléments numériques

Scénario 3 : Fournisseur d'Infrastructure Numérique

Exemple : Fournisseur cloud qui vend aussi des appliances matérielles

• NIS2 s'applique : Fournisseur d'infrastructure numérique
• CRA s'applique : Fabricant de produits matériels

Scénario 4 : Fabricant de Produits de Santé

Exemple : Entreprise adjacente aux dispositifs médicaux (dispositifs non couverts par MDR)

• NIS2 s'applique : Entité secteur santé
• CRA s'applique : Produits non couverts par l'exclusion MDR

Exigences Qui Se Chevauchent

Gestion des Vulnérabilités

Opportunité de coordination : Programme unifié de gestion des vulnérabilités couvrant à la fois les produits et les systèmes organisationnels.

Signalement d'Incidents

Distinction clé : Une vulnérabilité dans votre produit pourrait déclencher un signalement CRA même si vos services ne sont pas affectés. Une panne de service pourrait déclencher un signalement NIS2 même si aucune vulnérabilité produit n'existe.

Sécurité de la Chaîne d'Approvisionnement

Opportunité de coordination : Gestion intégrée des fournisseurs couvrant à la fois les composants produits et les fournisseurs organisationnels.

Comparaison des Signalements

Chemin de Signalement CRA

VULNÉRABILITÉ PRODUIT (activement exploitée)
         │
         ▼
    ALERTE PRÉCOCE 24 HEURES
    Vers : Plateforme Unique de Signalement ENISA
         │
         ▼
    NOTIFICATION DÉTAILLÉE 72 HEURES
    Vers : ENISA + CSIRTs concernés
         │
         ▼
    RAPPORT FINAL 14 JOURS (vulnérabilité)
    RAPPORT FINAL 30 JOURS (incident)

Chemin de Signalement NIS2

INCIDENT SIGNIFICATIF (affectant les services)
         │
         ▼
    ALERTE PRÉCOCE 24 HEURES
    Vers : Autorité nationale compétente ou CSIRT
         │
         ▼
    NOTIFICATION D'INCIDENT 72 HEURES
    Vers : Autorité nationale compétente ou CSIRT
         │
         ▼
    RAPPORT FINAL 1 MOIS
    Vers : Autorité nationale compétente ou CSIRT

Quand les Deux S'Appliquent

Un seul événement pourrait déclencher les deux :

Exemple : Un zero-day dans votre produit est activement exploité, affectant des clients qui sont des entités essentielles (comme des entreprises énergétiques utilisant vos équipements de réseau intelligent).

Signalement CRA : Vous signalez la vulnérabilité activement exploitée (vous êtes le fabricant)

Signalement NIS2 : Vos clients affectés peuvent signaler l'incident (ils sont les entités essentielles)

Votre signalement interne : Si vous êtes aussi une entité essentielle utilisant vos propres produits, vous pourriez signaler sous les deux

Opportunités d'Harmonisation

Gouvernance de Sécurité Unifiée

Au lieu de programmes de conformité CRA et NIS2 séparés :

GOUVERNANCE CYBERSÉCURITÉ UNIFIÉE

Niveau Conseil :
- Supervision unique des risques de cybersécurité
- Reporting combiné à la direction

Niveau Opérationnel :
- Un programme de gestion des vulnérabilités
  ├── Vulnérabilités produit (focus CRA)
  └── Vulnérabilités système (focus NIS2)

- Une capacité de réponse aux incidents
  ├── Incidents produit (signalement CRA)
  └── Incidents service (signalement NIS2)

- Un programme de sécurité chaîne d'approvisionnement
  ├── Composants produit (SBOM, CRA)
  └── Fournisseurs de services (NIS2)

Cartographie des Processus

Efficacité Documentaire

Certaine documentation peut servir les deux :

Application Différente

Application CRA

• Les autorités de surveillance du marché surveillent les produits
• Focus sur la conformité des produits
• Pénalités jusqu'à 15M€ ou 2,5% du chiffre d'affaires mondial
• Retrait/rappel de produit possible

Application NIS2

• Les autorités nationales compétentes supervisent les entités
• Focus sur la conformité organisationnelle
• Pénalités jusqu'à 10M€ ou 2% du chiffre d'affaires mondial
• Responsabilité personnelle de la direction possible

Double Peine ?

Une seule défaillance pourrait théoriquement déclencher une application sous les deux :

Exemple : Une mauvaise gestion des vulnérabilités mène à un produit non corrigé ET des systèmes internes non corrigés.

• CRA : Non-conformité avec les exigences de gestion des vulnérabilités
• NIS2 : Non-conformité avec les mesures de gestion des risques

En pratique : Les régulateurs devraient coordonner. Démontrer une conformité unifiée aide.

Chronologie d'Interaction de Conformité

Chronologie NIS2

• Octobre 2024 : Date limite de transposition NIS2
• 2024-2025 : Mise en œuvre par les États membres
• En continu : Conformité requise

Chronologie CRA

• Septembre 2026 : Début des obligations de signalement
• Décembre 2027 : Conformité complète requise
• En continu : Obligations sur le cycle de vie du produit

Approche Coordonnée

2024                    2025                    2026                    2027
│                       │                       │                       │
▼                       ▼                       ▼                       ▼
┌───────────────────────────────────────────────────────────────────────┐
│ NIS2 : Conformité organisationnelle requise tout au long              │
└───────────────────────────────────────────────────────────────────────┘
                                                │                       │
                                                ▼                       ▼
                                        ┌───────────────────────────────┐
                                        │ CRA : Signalement│ CRA : Complet│
                                        └───────────────────────────────┘

RECOMMANDATION :
Construisez maintenant un programme de cybersécurité unifié qui sert les deux.
Ne construisez pas de programmes de conformité NIS2 et CRA séparés.

Liste de Contrôle Pratique de Coordination

Intégration de la Gouvernance

LISTE DE CONTRÔLE GOUVERNANCE DOUBLE RÉGLEMENTATION

ORGANISATIONNEL :
[ ] Structure de gouvernance cybersécurité unique
[ ] Supervision niveau conseil couvre sécurité produit et service
[ ] Stratégie de cybersécurité combinée
[ ] Allocation budgétaire unifiée

GESTION DES RISQUES :
[ ] Évaluation des risques intégrée (produits + services)
[ ] Registre des risques combiné
[ ] Processus de traitement des risques unifié
[ ] Cadre de reporting des risques unique

GESTION DES VULNÉRABILITÉS :
[ ] Un canal de réception des vulnérabilités
[ ] Processus de triage combiné
[ ] Workflow de remédiation intégré
[ ] Métriques et reporting unifiés

RÉPONSE AUX INCIDENTS :
[ ] Plan de réponse aux incidents combiné
[ ] Routage clair pour signalement CRA vs NIS2
[ ] Procédures de communication intégrées
[ ] Revue post-incident unifiée

Intégration du Signalement

MATRICE DE SIGNALEMENT DOUBLE RÉGLEMENTATION

Type d'Événement                      Signaler Sous
─────────────────────────────────────────────────────────────
Vuln. produit (non exploitée)         Aucun (processus CVD uniquement)
Vuln. produit (exploitée)             CRA → ENISA
Incident service (pas de produit)      NIS2 → Autorité nationale
Les deux (vuln. produit → service)    Les deux (coordonner)
─────────────────────────────────────────────────────────────

Escalade Interne :
1. L'équipe sécurité évalue l'événement
2. Déterminer : Impact produit ? Impact service ?
3. Router vers le(s) chemin(s) de signalement approprié(s)
4. Coordonner si les deux s'appliquent

Questions Courantes

Dois-je signaler le même incident deux fois ?

Pas habituellement. CRA et NIS2 ont différents déclencheurs :

• CRA : Vulnérabilité activement exploitée dans votre produit
• NIS2 : Incident significatif affectant vos services

Si une vulnérabilité produit exploitée cause un incident de service, vous pourriez devoir signaler sous les deux, mais les signalements vont à différents destinataires et se concentrent sur différents aspects.

La conformité NIS2 peut-elle couvrir les exigences CRA ?

Partiellement. Une forte conformité NIS2 démontre :

• Capacité de gouvernance de sécurité
• Maturité de gestion des vulnérabilités
• Capacité de réponse aux incidents

Mais le CRA a des exigences spécifiques au produit (SBOM, évaluation de conformité, marquage CE) que NIS2 ne couvre pas.

La conformité CRA peut-elle couvrir les exigences NIS2 ?

Non. Le CRA est orienté produit. NIS2 exige :

• Gestion des risques organisationnels
• Continuité d'activité
• Sécurité de la chaîne d'approvisionnement (plus large que les composants produit)
• Mesures de gouvernance

Laquelle est plus exigeante ?

Périmètre différent, exigences différentes :

Aucune n'est strictement « plus exigeante », elles exigent des choses différentes.

Important : Le CRA s'applique aux PRODUITS. NIS2 s'applique aux ORGANISATIONS exploitant des services essentiels/importants. Une entreprise peut etre soumise aux DEUX reglements.

Conseil : Si vous travaillez deja sur la conformite NIS2, exploitez vos mesures de reponse aux incidents et de securite de la chaine d'approvisionnement pour le CRA.

Guides connexes :

• EU Cyber Resilience Act : Calendrier Complet de Mise en Oeuvre 2025-2027
• Sanctions CRA en Pratique : A Quoi Ressemble Reellement la Surveillance du Marche

Comment CRA Evidence Aide

CRA Evidence soutient les organisations faisant face aux deux réglementations :

• Focus produit : Capacités complètes de conformité CRA
• Prêt pour l'intégration : Données de gestion des vulnérabilités exportables
• Gestion SBOM : Sert le CRA directement, soutient la chaîne d'approvisionnement NIS2
• Suivi des incidents : Peut router vers les chemins de signalement appropriés
• Documentation : Centralisée pour les demandes réglementaires

Gérez votre conformité produit sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.