Cyber Resilience Act de l'UE : Calendrier complet de mise en œuvre 2025-2027
Guide pratique des échéances d'application du CRA et ce que les fabricants doivent préparer à chaque étape.
In this article
Le Cyber Resilience Act de l'UE (Règlement 2024/2847) représente la législation la plus importante en matière de cybersécurité pour les produits comportant des éléments numériques (PEN) dans l'Union européenne. Avec une application débutant en 2025 et une conformité totale requise d'ici décembre 2027, les fabricants doivent comprendre le calendrier et se préparer en conséquence.
Dates clés en un coup d'œil
| Date | Étape |
|---|---|
| Décembre 2024 | Entrée en vigueur du CRA |
| Septembre 2026 | Début des obligations de signalement des vulnérabilités |
| Décembre 2027 | Application complète pour tous les produits |
Avertissement : Septembre 2026 est la première échéance ferme. Le signalement des vulnérabilités à l'ENISA devient obligatoire — les fabricants doivent être prêts à signaler les vulnérabilités activement exploitées dans les 24 heures.
Que change septembre 2026 ?
La première grande échéance de conformité arrive en septembre 2026, lorsque les obligations de signalement des vulnérabilités entrent en vigueur. Cela signifie :
- Notification sous 24 heures : Toute vulnérabilité activement exploitée doit être signalée à l'ENISA dans les 24 heures suivant sa découverte
- Rapport détaillé sous 72 heures : Un rapport complet sur la vulnérabilité avec les détails techniques
- Mise à jour sous 14 jours : Rapport d'avancement sur les mesures d'atténuation
- Rapport final : Analyse complète de l'incident dans les 30 jours
Préparer votre workflow de gestion des vulnérabilités
Pour respecter ces délais, les fabricants doivent établir :
- Surveillance des vulnérabilités pour tous les composants logiciels de vos produits
- Procédures d'escalade interne pouvant se déclencher en heures, pas en jours
- Modèles de notification ENISA prêts à l'emploi immédiat
- SBOM (Software Bill of Materials) pour identifier rapidement les produits affectés
Décembre 2027 : Conformité totale
D'ici décembre 2027, tous les produits comportant des éléments numériques vendus dans l'UE doivent être conformes aux exigences complètes du CRA :
Exigences essentielles de cybersécurité (Annexe I)
- Sécurité dès la conception et par défaut
- Protection contre les accès non autorisés
- Confidentialité et intégrité des données
- Surface d'attaque minimale
- Mécanismes de mise à jour sécurisés
Documentation technique (Annexe VII)
Chaque produit nécessite un dossier technique complet incluant :
- Documentation d'évaluation des risques
- Preuves d'évaluation de la conformité
- SBOM avec traçabilité au niveau des composants
- Procédures de gestion des vulnérabilités
- Déclaration de période de support (minimum 5 ans)
La classification des produits compte
Le CRA définit trois catégories de produits avec différentes exigences d'évaluation de conformité :
| Catégorie | Exemples | Évaluation |
|---|---|---|
| Par défaut | La plupart des IoT grand public, logiciels simples | Auto-évaluation |
| Important Classe I | Gestion d'identité, VPN, gestion de réseau | Tiers ou conformité aux normes |
| Important Classe II | Pare-feu, microprocesseurs inviolables | Tiers obligatoire |
| Critique | Compteurs intelligents, systèmes de contrôle industriel | Examen de type UE |
Commencez à vous préparer maintenant
Même si l'application complète est en 2027, le travail requis est substantiel. Nous recommandons aux fabricants de commencer maintenant avec :
- Inventoriez vos produits - Quels PEN vendez-vous dans l'UE ?
- Classifiez vos produits - Par défaut, Important ou Critique ?
- Implémentez la génération de SBOM - Automatisée, précise et complète
Conseil : Commencez par la génération de SBOM. C'est le fondement de la surveillance des vulnérabilités et cela apporte une valeur de conformité immédiate.
- Établissez des processus de vulnérabilité - Surveiller, détecter, signaler, corriger
- Documentez tout - Les dossiers techniques prennent du temps à préparer
Important : L'échéance de décembre 2027 peut sembler lointaine, mais les évaluations par des tiers peuvent prendre de 4 à 10 mois. Les produits nécessitant l'intervention d'un organisme notifié doivent commencer MAINTENANT.
Comment CRA Evidence peut vous aider
CRA Evidence fournit une plateforme complète pour gérer votre parcours de conformité CRA :
- Gestion des SBOM : Téléchargez, validez et maintenez les SBOM de tous vos produits
- Suivi des vulnérabilités : Analyse automatique avec suivi des délais ENISA
- Export du dossier technique : Générez des packages de documentation conformes à l'Annexe VII
- Piste d'audit : Traçabilité complète pour les évaluations de conformité
L'échéance de décembre 2027 peut sembler lointaine, mais construire des processus conformes prend du temps. Commencez votre évaluation de préparation CRA dès aujourd'hui.
Classification: Déterminez la catégorie de votre produit avec notre guide de classification des produits.
SBOM: Construisez votre infrastructure SBOM avec notre guide des exigences SBOM.
Signalement: Découvrez la règle des 24 heures dans notre guide de signalement des vulnérabilités ENISA.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques en matière de conformité, consultez un conseiller juridique qualifié.
Sujets traités dans cet article
Articles connexes
Les caméras intelligentes sont-elles des produits...
Les caméras de sécurité connectées sont classifiées comme Produits...
11 minCybersecurity Act 2 de l'UE : Interdictions dans la...
Le 20 janvier 2026, l'UE a proposé de remplacer entièrement le Cybersecurity...
12 minClassification des produits CRA : Votre produit est-il...
Guide pratique pour déterminer la catégorie CRA de votre produit. Inclut des...
6 minDoes the CRA apply to your product?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d’application du Cyber Resilience Act de l’UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.