Classification des produits CRA : Votre produit est-il Par défaut, Important ou Critique ?
Guide pratique pour déterminer la catégorie CRA de votre produit. Inclut des arbres de décision, les listes de produits des Annexes III/IV et les implications pour l'évaluation de conformité.
In this article
La voie d'évaluation de conformité CRA, et son coût, dépend de la classification de votre produit. Les produits "Importants" et "Critiques" font face à une évaluation obligatoire par un tiers. Les produits "Par défaut" peuvent s'auto-certifier.
Ce guide vous aide à déterminer votre catégorie et ce que cela signifie pour la conformité.
Points clés
- Le CRA définit quatre catégories : Par défaut, Important Classe I, Important Classe II, Critique
- Par défaut : Auto-évaluation (Module A) autorisée
- Important Classe I : Évaluation par tiers sauf si respect total des normes harmonisées
- Important Classe II et Critique : Évaluation par tiers obligatoire
- La classification est basée sur la fonction et le risque du produit, pas sur le secteur de marché
- En cas de doute, optez pour une classification plus élevée (plus sûr pour l'application)
Conseil : Environ 90% des produits entrent dans la catégorie Par défaut. Vérifiez d'abord l'Annexe III et IV — si votre produit n'y figure pas, vous êtes Par défaut.
Les quatre catégories de produits CRA
Le CRA classe les produits comportant des éléments numériques en quatre niveaux basés sur le risque de cybersécurité :
Produits par défaut
La grande majorité des produits entre ici. Si votre produit n'est pas spécifiquement listé dans l'Annexe III ou IV, il est "Par défaut".
Évaluation de conformité : L'auto-évaluation (Module A) suffit.
Exemples :
- Capteurs IoT simples
- Électronique grand public de base
- Logiciels métier standard
- Applications à usage général
- Appareils embarqués non connectés
Important Classe I (Annexe III, Partie I)
Produits à risque élevé en raison de leur fonction ou base d'utilisateurs.
Évaluation de conformité : Auto-évaluation autorisée SI vous appliquez pleinement les normes harmonisées pertinentes. Sinon, évaluation par tiers requise.
Liste complète de l'Annexe III, Partie I :
- Systèmes de gestion d'identité et logiciels/matériels de gestion des accès privilégiés
- Navigateurs web autonomes
- Gestionnaires de mots de passe
- Logiciels de recherche, suppression ou mise en quarantaine de malwares
- Produits avec fonctionnalité VPN
- Systèmes de gestion de réseau
- Systèmes SIEM (gestion des informations et événements de sécurité)
- Gestionnaires de démarrage
- Logiciels PKI et d'émission de certificats numériques
- Interfaces réseau physiques et virtuelles
- Systèmes d'exploitation non couverts par la Classe II
- Routeurs et modems pour connexion Internet
- Microprocesseurs avec fonctionnalités liées à la sécurité
- Microcontrôleurs avec fonctionnalités liées à la sécurité
- ASIC avec fonctionnalités liées à la sécurité
- FPGA avec fonctionnalités liées à la sécurité
- Assistants virtuels domestiques intelligents
- Produits domestiques intelligents avec fonctions de sécurité (serrures, caméras, babyphones, alarmes)
- Jouets connectés à Internet avec fonctions interactives ou géolocalisation
- Dispositifs portables pour surveillance de santé (non dispositifs médicaux)
Important Classe II (Annexe III, Partie II)
Produits à risque plus élevé nécessitant une évaluation obligatoire par tiers.
Évaluation de conformité : Évaluation par un organisme notifié requise. Pas d'option d'auto-évaluation.
Liste complète de l'Annexe III, Partie II :
- Hyperviseurs et systèmes d'exécution de conteneurs
- Pare-feu, systèmes de détection et prévention d'intrusion (couche réseau)
- Microprocesseurs inviolables
- Microcontrôleurs inviolables
- Systèmes d'exploitation pour serveurs, postes de travail et appareils mobiles
- IACS (systèmes d'automatisation et de contrôle industriel) pour entités essentielles NIS 2
- IoT industriel non couvert ailleurs
- Composants de détection et d'actionnement de robots pour usage industriel/professionnel
- Passerelles de compteurs intelligents pour systèmes de comptage intelligent
Produits critiques (Annexe IV)
La catégorie à plus haut risque. Modules de sécurité matériels et similaires.
Évaluation de conformité : Évaluation par tiers PLUS certification EUCC (Union européenne pour la cybersécurité) au niveau "substantiel" ou supérieur.
Liste complète de l'Annexe IV :
- Dispositifs matériels avec boîtiers de sécurité
- Passerelles de compteurs intelligents dans l'infrastructure de comptage avancée
- Lecteurs de cartes à puce ou dispositifs similaires
- Jetons matériels pour la sécurité/cryptographie
- Modules de sécurité matériels (HSM)
- Cartes à puce ou dispositifs similaires, y compris éléments sécurisés
- Cryptoprocesseurs sécurisés
Arbre de décision : Trouver votre catégorie
Utilisez ce processus pour classer votre produit :
DÉBUT : Votre produit a-t-il des éléments numériques ?
│
├─ NON → Hors champ CRA. Arrêtez ici.
│
└─ OUI → Est-il listé dans l'Annexe IV (Produits critiques) ?
│
├─ OUI → CRITIQUE
│ Tiers + certification EUCC requise
│
└─ NON → Est-il listé dans l'Annexe III, Partie II (Important Classe II) ?
│
├─ OUI → IMPORTANT CLASSE II
│ Évaluation par tiers requise
│
└─ NON → Est-il listé dans l'Annexe III, Partie I (Important Classe I) ?
│
├─ OUI → IMPORTANT CLASSE I
│ Tiers OU auto-évaluation avec normes
│
└─ NON → PAR DÉFAUT
Auto-évaluation (Module A) autorisée
Ce que la classification signifie pour votre calendrier
Des classifications plus élevées nécessitent plus de temps de préparation :
| Catégorie | Temps d'évaluation | Préparation totale typique |
|---|---|---|
| Par défaut | 1-2 mois | 6-12 mois |
| Important Classe I | 2-4 mois | 9-15 mois |
| Important Classe II | 4-8 mois | 12-18 mois |
| Critique | 6-12+ mois | 18-24+ mois |
Commencez maintenant. Si vous découvrez que vous êtes Classe II ou Critique, vous avez besoin de temps pour l'engagement avec l'organisme notifié.
Avertissement : La capacité des organismes notifiés pour les évaluations CRA est limitée. Si votre produit nécessite une évaluation par un tiers, engagez-vous tôt pour éviter les retards.
Important : La classification est basée sur la fonction du produit, pas sur le secteur de marché, la taille de l'entreprise ou la complexité du produit. Vérifiez toujours les listes des Annexes III et IV.
Comment CRA Evidence peut vous aider
CRA Evidence inclut un support intégré de classification des produits :
- Assistant de classification guidé : Répondez aux questions, obtenez votre catégorie
- Mapping des annexes : Suivez quelles exigences s'appliquent
- Guide des voies de conformité : Comprenez vos options d'évaluation
- Modèles de documentation : Structure de dossier technique spécifique à la catégorie
Commencez votre évaluation de classification sur app.craevidence.com.
Suivant: Une fois votre classification connue, déterminez votre parcours d'évaluation de conformité.
Calendrier: Consultez le calendrier de mise en oeuvre du CRA pour les échéances clés.
SBOMs: Toutes les catégories nécessitent des SBOMs. Consultez notre guide des exigences SBOM.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques en matière de conformité, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.
Sujets traités dans cet article
Articles connexes
Les caméras intelligentes sont-elles des produits...
Les caméras de sécurité connectées sont classifiées comme Produits...
11 minCybersecurity Act 2 de l'UE : Interdictions dans la...
Le 20 janvier 2026, l'UE a proposé de remplacer entièrement le Cybersecurity...
12 minÉvaluation de Conformité CRA : Guide de Décision Module...
Comment choisir la bonne voie d'évaluation de conformité pour votre produit....
12 minDoes the CRA apply to your product?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d’application du Cyber Resilience Act de l’UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.