CRA et NIS2 : où les réglementations de cybersécurité se chevauchent pour les Entreprises de Produits

Vous fabriquez des dispositifs IoT pour le secteur de l'énergie. Vous êtes soumis à la fois à NIS2 (en tant qu'opérateur de services essentiels) et au CRA (en tant que fabricant de produits). Deux réglementations, des exigences qui se chevauchent, un seul budget de conformité.

Ce guide explique comment le CRA et NIS2 interagissent et comment gérer la conformité avec les deux.

CRA vs NIS2 : différence fondamentale

CRA : réglementation produit

Ce qu'il réglemente : Les produits comportant des éléments numériques mis sur le marché UE

À qui il s'applique : Fabricants, importateurs, distributeurs de produits comportant des éléments numériques

Focus : Sécurité du produit tout au long du cycle de vie

• Conception et développement sécurisés
• Gestion des vulnérabilités pour les produits
• Mises à jour de sécurité pour les produits
• Signalement d'incidents au niveau produit

NIS2 : réglementation organisationnelle

Ce qu'il réglemente : La cybersécurité des entités essentielles et importantes

À qui il s'applique : Organisations dans des secteurs spécifiés atteignant des seuils de taille

Focus : Cybersécurité organisationnelle

• Gouvernance et gestion des risques
• Gestion des incidents pour les services
• Sécurité de la chaîne d'approvisionnement
• Continuité d'activité

La zone de chevauchement

PÉRIMÈTRE NIS2                        PÉRIMÈTRE CRA
+----------------------+          +----------------------+
| - Systèmes IT        |          | - Produits que vous  |
| - Services           |          |   fabriquez          |
| - Opérations         |          | - Produits que vous  |
| - Chaîne             |          |   importez           |
|   d'approvisionnement|          | - Produits que vous  |
|   (en tant qu'achet.)|          |   distribuez         |
+----------+-----------+          +-----------+----------+
            \                                /
             \                              /
              +----------------------------+
              |       CHEVAUCHEMENT        |
              |                            |
              | - Gestion des vuln.        |
              | - Notif. d'incidents       |
              | - Sécurité chaîne log.     |
              | - Gouvernance sécurité     |
              +----------------------------+

Qui fait face aux deux réglementations ?

Scénario 1 : entité essentielle qui fabrique des produits

Exemple : Entreprise énergétique qui fabrique des composants de réseau intelligent

• NIS2 s'applique : Entité secteur énergie au-dessus du seuil
• CRA s'applique : Fabricant de produits comportant des éléments numériques

Les deux réglementations exigent :

• Gestion des risques de cybersécurité
• Gestion des vulnérabilités
• Signalement d'incidents (à différents organismes, différents déclencheurs)
• Sécurité de la chaîne d'approvisionnement

Scénario 2 : entité importante qui fabrique de l'IoT

Exemple : Entreprise manufacturière qui fabrique des capteurs IoT industriels

• NIS2 s'applique : Entité secteur manufacturier au-dessus du seuil
• CRA s'applique : Fabricant de produits comportant des éléments numériques

Scénario 3 : fournisseur d'infrastructure numérique

Exemple : Fournisseur cloud qui vend aussi des appliances matérielles

• NIS2 s'applique : Fournisseur d'infrastructure numérique
• CRA s'applique : Fabricant de produits matériels

Scénario 4 : fabricant de produits de santé

Exemple : Entreprise adjacente aux dispositifs médicaux (dispositifs non couverts par MDR)

• NIS2 s'applique : Entité secteur santé
• CRA s'applique : Produits non couverts par l'exclusion MDR

Exigences qui se chevauchent

Gestion des vulnérabilités

Opportunité de coordination : Programme unifié de gestion des vulnérabilités couvrant à la fois les produits et les systèmes organisationnels.

Signalement d'incidents

Distinction clé : Une vulnérabilité dans votre produit pourrait déclencher un signalement CRA même si vos services ne sont pas affectés. Une panne de service pourrait déclencher un signalement NIS2 même si aucune vulnérabilité produit n'existe.

Sécurité de la chaîne d'approvisionnement

Opportunité de coordination : Gestion intégrée des fournisseurs couvrant à la fois les composants produits et les fournisseurs organisationnels.

Comparaison des signalements

Chemin de signalement CRA

VULNÉRABILITÉ PRODUIT (activement exploitée)
         │
         ▼
    ALERTE PRÉCOCE 24 HEURES
    Vers : Plateforme Unique de Signalement ENISA
         │
         ▼
    NOTIFICATION DÉTAILLÉE 72 HEURES
    Vers : ENISA + CSIRTs concernés
         │
         ▼
    RAPPORT FINAL 14 JOURS (vulnérabilité)
    RAPPORT FINAL 30 JOURS (incident)

Chemin de signalement NIS2

INCIDENT SIGNIFICATIF (affectant les services)
         │
         ▼
    ALERTE PRÉCOCE 24 HEURES
    Vers : Autorité nationale compétente ou CSIRT
         │
         ▼
    NOTIFICATION D'INCIDENT 72 HEURES
    Vers : Autorité nationale compétente ou CSIRT
         │
         ▼
    RAPPORT FINAL 1 MOIS
    Vers : Autorité nationale compétente ou CSIRT

Quand les deux s'appliquent

Un seul événement pourrait déclencher les deux :

Exemple : Un zero-day dans votre produit est activement exploité, affectant des clients qui sont des entités essentielles (comme des entreprises énergétiques utilisant vos équipements de réseau intelligent).

Signalement CRA : Vous signalez la vulnérabilité activement exploitée (vous êtes le fabricant)

Signalement NIS2 : Vos clients affectés peuvent signaler l'incident (ils sont les entités essentielles)

Votre signalement interne : Si vous êtes aussi une entité essentielle utilisant vos propres produits, vous pourriez signaler sous les deux

Comment gérer un seul programme de sécurité pour la CRA et NIS2

Gouvernance de sécurité unifiée

Au lieu de programmes de conformité CRA et NIS2 séparés :

GOUVERNANCE CYBERSÉCURITÉ UNIFIÉE

Niveau Conseil :
- Supervision unique des risques de cybersécurité
- Reporting combiné à la direction

Niveau Opérationnel :
- Un programme de gestion des vulnérabilités
  ├── Vulnérabilités produit (focus CRA)
  └── Vulnérabilités système (focus NIS2)

- Une capacité de réponse aux incidents
  ├── Incidents produit (signalement CRA)
  └── Incidents service (signalement NIS2)

- Un programme de sécurité chaîne d'approvisionnement
  ├── Composants produit (SBOM, CRA)
  └── Fournisseurs de services (NIS2)

Cartographie des processus

Efficacité documentaire

Certaine documentation peut servir les deux :

Différences d'application entre la CRA et NIS2

Application CRA

• Les autorités de surveillance du marché surveillent les produits
• Focus sur la conformité des produits
• Pénalités jusqu'à 15M€ ou 2,5% du chiffre d'affaires mondial
• Retrait/rappel de produit possible

Application NIS2

• Les autorités nationales compétentes supervisent les entités
• Focus sur la conformité organisationnelle
• Pénalités jusqu'à 10M€ ou 2% du chiffre d'affaires mondial
• Responsabilité personnelle de la direction possible

Double peine ?

Une seule défaillance pourrait théoriquement déclencher une application sous les deux :

Exemple : Une mauvaise gestion des vulnérabilités mène à un produit non corrigé ET des systèmes internes non corrigés.

• CRA : Non-conformité avec les exigences de gestion des vulnérabilités
• NIS2 : Non-conformité avec les mesures de gestion des risques

En pratique : Les régulateurs devraient coordonner. Démontrer une conformité unifiée aide.

Chronologie d'interaction de conformité

Chronologie NIS2

• Octobre 2024 : Date limite de transposition NIS2
• 2024-2025 : Mise en œuvre par les États membres
• En continu : Conformité requise

Chronologie CRA

• Septembre 2026 : Début des obligations de signalement
• Décembre 2027 : Conformité complète requise
• En continu : Obligations sur le cycle de vie du produit

Approche coordonnée

2024                    2025                    2026                    2027
│                       │                       │                       │
▼                       ▼                       ▼                       ▼
┌───────────────────────────────────────────────────────────────────────┐
│ NIS2 : Conformité organisationnelle requise tout au long              │
└───────────────────────────────────────────────────────────────────────┘
                                                │                       │
                                                ▼                       ▼
                                        ┌───────────────────────────────┐
                                        │ CRA : Signalement│ CRA : Complet│
                                        └───────────────────────────────┘

RECOMMANDATION :
Construisez maintenant un programme de cybersécurité unifié qui sert les deux.
Ne construisez pas de programmes de conformité NIS2 et CRA séparés.

Liste de contrôle pratique de coordination

Intégration de la gouvernance

LISTE DE CONTRÔLE GOUVERNANCE DOUBLE RÉGLEMENTATION

ORGANISATIONNEL :
[ ] Structure de gouvernance cybersécurité unique
[ ] Supervision niveau conseil couvre sécurité produit et service
[ ] Stratégie de cybersécurité combinée
[ ] Allocation budgétaire unifiée

GESTION DES RISQUES :
[ ] Évaluation des risques intégrée (produits + services)
[ ] Registre des risques combiné
[ ] Processus de traitement des risques unifié
[ ] Cadre de reporting des risques unique

GESTION DES VULNÉRABILITÉS :
[ ] Un canal de réception des vulnérabilités
[ ] Processus de triage combiné
[ ] Workflow de remédiation intégré
[ ] Métriques et reporting unifiés

RÉPONSE AUX INCIDENTS :
[ ] Plan de réponse aux incidents combiné
[ ] Routage clair pour signalement CRA vs NIS2
[ ] Procédures de communication intégrées
[ ] Revue post-incident unifiée

Intégration du signalement

MATRICE DE SIGNALEMENT DOUBLE RÉGLEMENTATION

Type d'Événement                      Signaler Sous
─────────────────────────────────────────────────────────────
Vuln. produit (non exploitée)         Aucun (processus CVD uniquement)
Vuln. produit (exploitée)             CRA → ENISA
Incident service (pas de produit)      NIS2 → Autorité nationale
Les deux (vuln. produit → service)    Les deux (coordonner)
─────────────────────────────────────────────────────────────

Escalade Interne :
1. L'équipe sécurité évalue l'événement
2. Déterminer : Impact produit ? Impact service ?
3. Router vers le(s) chemin(s) de signalement approprié(s)
4. Coordonner si les deux s'appliquent

Cas limites à double périmètre nécessitant une délimitation précise

Systèmes de contrôle industriel

Les IACS (systèmes d'automatisation et de contrôle industriels) présentent une complexité particulière :

• CRA : Si vous fabriquez des IACS pour des entités essentielles (NIS2), ils relèvent de la Classe II Importante
• NIS2 : Si vous exploitez des IACS en tant qu'entité essentielle, ils entrent dans le périmètre

Double exigence : Le produit doit satisfaire au CRA ; l'exploitation doit satisfaire à NIS2.

Services cloud et produits

Les fournisseurs cloud qui vendent également des appliances matérielles :

• NIS2 : Opérations du service cloud
• CRA : Appliances matérielles vendues

Exemple : L'appliance pare-feu d'un fournisseur cloud doit être conforme au CRA ; ses opérations de service cloud doivent être conformes à NIS2.

Secteur de la santé adjacent

Les fabricants de dispositifs médicaux peuvent avoir :

• Certains produits couverts par le RDM (exclus du CRA)
• Certains produits couverts par le CRA (non couverts par le RDM)
• L'organisation soumise à NIS2 (entité du secteur santé)

Délimitation rigoureuse requise : Associer chaque produit à la réglementation applicable.

FAQ sur la CRA et NIS2 pour les fabricants de produits

Quand un même événement déclenche-t-il les obligations de notification CRA et NIS2 ?

Lorsqu'une vulnérabilité activement exploitée dans votre produit cause également un incident significatif affectant vos services. La notification CRA est déclenchée par la vulnérabilité du produit exploité : vous déposez une alerte précoce sous 24 heures auprès de l'ENISA, puis une notification sous 72 heures. La notification NIS2 est déclenchée séparément si vos services sont perturbés : vous la déposez auprès de votre autorité nationale compétente ou de votre CSIRT selon le même calendrier de 24/72 heures. Les deux rapports portent sur des sujets différents. Le CRA se concentre sur le produit et la vulnérabilité. NIS2 se concentre sur l'impact sur le service et votre réponse. Les deux peuvent être requis pour un même événement déclencheur.

Qui dépose le rapport si le fabricant est aussi une entité essentielle ?

Vous déposez les deux, et vous les déposez séparément. En tant que fabricant du produit, vous signalez la vulnérabilité exploitée à l'ENISA au titre du CRA. En tant qu'entité essentielle, vous signalez l'incident de service à votre autorité nationale compétente ou à votre CSIRT au titre de NIS2. Les deux dépôts sont indépendants : formulaires différents, destinataires différents, délais parfois différents. Désignez un responsable nommément identifié pour chaque chemin de notification avant qu'un incident ne survienne. Ne supposez pas qu'un rapport satisfait à l'autre.

Un seul registre des risques peut-il servir à la fois pour la CRA et pour NIS2 ?

Oui, à condition qu'il sépare les risques produit des risques organisationnels. Structurez le registre de sorte que les risques au niveau du produit (vulnérabilités des composants, défaillances des mises à jour, écarts de conformité) soient clairement distincts des risques organisationnels (continuité des services, défaillances de gouvernance, perturbations de la chaîne logistique). Les deux catégories de risques peuvent figurer dans le même document et partager une méthodologie de notation commune. Ce qui ne peut pas être fusionné, c'est le traitement : le traitement des risques CRA conduit à des contrôles produit et à des mises à jour du dossier technique ; le traitement des risques NIS2 conduit à des mesures organisationnelles et à des modifications de politiques. Conservez les entrées distinctes afin que chaque audit puisse trouver ce dont il a besoin.

Comment la diligence raisonnable envers les fournisseurs doit-elle différer entre composants et prestataires de services ?

Pour les composants produit relevant du CRA, la diligence raisonnable est technique : vous avez besoin d'un SBOM couvrant le composant, d'éléments probants attestant que le fournisseur assure une surveillance des vulnérabilités, et d'une obligation contractuelle de vous notifier dans un délai défini toute vulnérabilité exploitable. Pour les prestataires de services relevant de NIS2, la diligence raisonnable est organisationnelle : vous évaluez leur gouvernance de sécurité, leur capacité de réponse aux incidents, leur continuité d'activité, et leur conformité aux mesures de sécurité NIS2 applicables à votre secteur. Les deux types peuvent s'appuyer sur un modèle de questionnaire commun, mais les critères d'évaluation et les clauses contractuelles sont différents.

Quelles preuves conserver pour démontrer une conformité coordonnée aux deux régimes ?

Conservez trois éléments. Premièrement, un document de cartographie montrant quels processus internes servent quelle obligation réglementaire, afin qu'un auditeur puisse tracer toute exigence CRA ou NIS2 jusqu'à un contrôle spécifique. Deuxièmement, des enregistrements d'incidents montrant que les deux chemins de notification ont été correctement déclenchés lorsque les événements le justifiaient, avec horodatages et confirmations des destinataires. Troisièmement, des rapports à la direction ou au conseil d'administration couvrant à la fois la sécurité des produits et la sécurité organisationnelle dans une structure de gouvernance unifiée, démontrant que la supervision est intégrée. Si vous êtes audité au titre du CRA et de NIS2 la même année, ces preuves sont ce qui démontre que vous gérez un seul programme, et non deux programmes déconnectés.

Comment les différences de transposition nationale de NIS2 affectent-elles un fabricant opérant dans plusieurs pays ?

NIS2 est une directive, non un règlement, ce qui signifie que chaque État membre de l'UE la transpose dans son droit national. Les obligations fondamentales (gestion des risques, notification des incidents, sécurité de la chaîne logistique) sont cohérentes, mais l'autorité compétente, les seuils sectoriels et parfois la structure des sanctions diffèrent selon les pays. Un fabricant opérant en Allemagne, en France et en Pologne doit identifier quelle autorité nationale supervise chaque entité, s'enregistrer auprès du bon organisme dans chaque juridiction et acheminer les notifications d'incidents NIS2 vers le bon CSIRT national. Le CRA, en revanche, est un règlement et s'applique de manière uniforme dans toute l'UE. Si vous vendez un produit dans un pays de l'UE, les mêmes obligations CRA s'appliquent.

Prochaines étapes

Commencez par confirmer si votre entreprise est à la fois fabricant de produits et entité essentielle ou importante au titre de NIS2. Utilisez le guide de classification des produits pour associer chaque produit à sa classe CRA. Cartographiez ensuite les risques produit et les risques de service séparément dans un registre unique qui les maintient distincts. Définissez les déclencheurs de notification interne pour la CRA et NIS2 respectivement, et désignez un responsable nommément identifié pour chaque chemin. Unifiez vos processus d'intégration des fournisseurs et de gestion des vulnérabilités afin que les deux types de fournisseurs transitent par un même processus. Pour une vue complète des échéances CRA, consultez le calendrier de mise en oeuvre du CRA. Organisez ensuite un exercice de simulation commun simulant un incident produit affectant également vos services : cela révélera les lacunes de votre réponse à double périmètre avant qu'un événement réel ne les expose.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.