CRA vs ISO 27001 : les lacunes de conformité que votre SMSI ne couvre pas

ISO 27001 ne couvre pas le CRA. Ce guide montre précisément où votre SMSI aide, où il manque et ce qu'il faut ajouter avant l'échéance 2027.

CRA Evidence Team Publié 12 janvier 2026 Mis à jour 30 mai 2026
CRA vs ISO 27001 : lacunes de conformité que votre SMSI ne couvre pas
Dans cet article

Si votre entreprise est certifiée ISO 27001, vous pourriez supposer être bien placé pour le règlement sur la cyberrésilience (CRA). Ce n'est pas le cas. Du moins pas sans un travail supplémentaire important.

ISO 27001 protège les actifs informationnels de votre organisation. Le règlement sur la cyberrésilience (Règlement (UE) 2024/2847) exige que chaque produit comportant des éléments numériques que vous mettez sur le marché de l'UE soit sécurisé dès la conception, livré avec un software bill of materials (SBOM) et pris en charge par des mises à jour de sécurité pendant toute sa durée de vie prévue. Ce sont des obligations au niveau du produit, non au niveau de l'organisation. Le non-respect est passible d'amendes allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (Art. 64). Consultez le guide sur les sanctions CRA.

Les obligations de signalement de l'Article 14 débutent le 11 septembre 2026. La conformité complète est requise avant le 11 décembre 2027. Voir le calendrier complet de mise en œuvre du CRA.

Ce guide ISO 27001 vs CRA cartographie précisément où votre SMSI aide, où il est insuffisant et ce qu'il faut ajouter.

Résumé

  • ISO 27001 = gestion de la sécurité organisationnelle et d'entreprise
  • CRA = exigences de cybersécurité produit (Annexe I, Règlement (UE) 2024/2847)
  • ISO 27001 n'équivaut PAS à la conformité CRA
  • ISO 27001 fournit une base pour les processus de développement sécurisé
  • Le CRA exige des preuves spécifiques au produit : SBOM, gestion des vulnérabilités, marquage CE
  • Les deux ensemble = posture de sécurité globale solide
15 M€
Amende maximale
ou 2,5 % du chiffre d'affaires annuel mondial
11 sept. 2026
Signalement Article 14
obligations sur les vulnérabilités
11 déc. 2027
Application complète du CRA
évaluation de la conformité requise
5 ans
Assistance minimale
ou durée de vie prévue du produit (Art. 13(8))

Source : Règlement (UE) 2024/2847, articles 13, 14 et 64.

Que couvre ISO 27001 par rapport à ce qu'exige le CRA ?

Ce que couvre ISO 27001

ISO 27001 est un standard de système de management de la sécurité de l'information (SMSI) pour les contrôles au niveau organisationnel.

Contrôles au niveau organisationnel
  • Politiques de sécurité de l'information
  • Gestion des actifs
  • Contrôle d'accès aux systèmes et aux données
  • Utilisation de la cryptographie
  • Sécurité physique, opérationnelle et des communications
  • Relations avec les fournisseurs
  • Gestion des incidents
  • Continuité d'activité
  • Gestion de la conformité

Objet : protéger les actifs informationnels de votre organisation.

Ce que couvre le CRA

Le CRA est un règlement produit couvrant les exigences de cybersécurité des produits comportant des éléments numériques (Annexe I).

Exigences au niveau produit
  • Sécurité dès la conception dans les produits
  • Aucune vulnérabilité exploitable connue
  • Configuration par défaut sécurisée
  • Protection contre les accès non autorisés dans le produit
  • Protection des données et capacité de mise à jour du produit
  • Gestion des vulnérabilités et signalement ENISA
  • SBOM pour les composants du produit (Annexe I, Partie II(1))
  • Politique de divulgation coordonnée des vulnérabilités (Annexe I, Partie II(5))
  • Contact public pour les vulnérabilités (Annexe I, Partie II(6))
  • Marquage CE et évaluation de la conformité

Objet : s'assurer que les produits que vous vendez sont sécurisés.

Le CRA classe les produits en catégories : par défaut, Important Classe I, Important Classe II et Critique (Annexe III et IV). Chaque catégorie implique des exigences d'évaluation de la conformité différentes. Un produit Important Classe II nécessite une évaluation obligatoire par un tiers (organisme notifié), quel que soit votre statut de certification ISO 27001. Voir le guide de classification des produits CRA.

La différence fondamentale

Diagramme ISO 27001 vs CRA : couches de couverture de sécurité montrant trois couches empilées, sécurité organisationnelle couverte par ISO 27001, processus de développement partagés, et sécurité produit requise par le CRA

PÉRIMÈTRE ISO 27001 vs CRA

ISO 27001 :
"Comment votre ORGANISATION gère-t-elle la sécurité ?"
+---------------------------------------------+
| Votre entreprise                            |
| +---------+ +---------+ +---------+         |
| |Systèmes | |Données  | |Personnes|         |
| \---------+ \---------+ \---------+         |
| +---------+ +---------+ +---------+         |
| |Processus| |Réseau   | |Locaux   |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

CRA :
"Vos PRODUITS vendus sont-ils sécurisés ?"
+---------------------------------------------+
| Vos produits (vendus aux clients)           |
| +---------+ +---------+ +---------+         |
| |Produit A| |Produit B| |Produit C|         |
| \---------+ \---------+ \---------+         |
|                                             |
| Chaque produit doit répondre aux exigences  |
| du CRA                                      |
\---------------------------------------------+

Là où ISO 27001 aide le CRA et là où il est insuffisant

Là où ISO 27001 aide le CRA

Exigence CRA Soutien ISO 27001 Comment cela aide
Développement sécurisé A.8.25-28 (développement sécurisé) Base de processus
Gestion des vulnérabilités A.8.8 (vulnérabilités techniques) Processus organisationnel
Réponse aux incidents A.5.24-26 (gestion des incidents) Capacité de réponse
Gestion des fournisseurs A.5.19-22 (relations fournisseurs) Sécurité de la chaîne d'approvisionnement
Contrôle d'accès A.5.15-18, A.8.2-5 Sécurité de l'environnement de développement
Cryptographie A.8.24 (cryptographie) Base de politique crypto
Documentation A.5.1 (politiques), 7.5 (info. documentée) Culture de la documentation
Évaluation des risques 6.1 (évaluation des risques) Méthodologie de risque

Là où ISO 27001 est insuffisant

Exigence CRA Lacune ISO 27001 Ce qui manque
SBOM Partiel : A.8.26/A.8.28 couvrent la connaissance des composants, pas le format SBOM lisible par machine SBOM lisible par machine couvrant au moins les dépendances de niveau supérieur (Annexe I, Partie II(1))
Marquage CE Non couvert Processus d'évaluation de la conformité
Tests de sécurité produit Limité Preuves de tests spécifiques au produit pour le dossier technique
Sécurisé par défaut Non orienté produit Exigences de configuration produit
Période d'assistance Non couvert Au moins 5 ans, ou durée de vie prévue du produit si inférieure (Art. 13(8))
Signalement ENISA Non couvert Notification 24 h/72 h + rapport final au CSIRT national via la plateforme de notification unique (Art. 14)
Politique CVD Non couvert Politique documentée de divulgation coordonnée des vulnérabilités (Annexe I, Partie II(5))
Contact public pour vulnérabilités Non couvert Point de contact public pour les signalements de vulnérabilités, ex. security.txt (Annexe I, Partie II(6))
Documentation utilisateur Limité Instructions de sécurité produit
Dossier technique Non couvert Format de documentation CRA selon Annexe VII

Résumé de l'analyse des écarts

Base solide (ISO 27001 aide significativement) :

  • Culture de sécurité et sensibilisation
  • Méthodologie de gestion des risques
  • Capacité de réponse aux incidents
  • Gestion de la sécurité des fournisseurs
  • Politiques de cycle de vie de développement sécurisé
  • Cadre de contrôle d'accès
  • Pratiques de documentation

Couverture partielle (ISO 27001 aide mais est insuffisant) :

  • Gestion des vulnérabilités (périmètre organisationnel vs périmètre produit)
  • Cryptographie (politique vs implémentation produit)
  • Tests de sécurité (systèmes d'entreprise vs tests produit)
  • Gestion des changements (changement IT vs modification produit)
  • SBOM (connaissance des composants dans A.8.26/A.8.28 vs format SBOM lisible par machine)

Lacunes (spécifiques au CRA, non couvertes par ISO 27001) :

  • Génération et maintenance du SBOM dans un format standardisé
  • Évaluation de la conformité produit
  • Processus de marquage CE
  • Signalement des vulnérabilités au CSIRT national via la plateforme de notification unique (Art. 14)
  • Dossier technique spécifique au produit (Annexe VII)
  • Engagement sur la période d'assistance (Art. 13(8))
  • Vérification de la configuration par défaut sécurisée
  • Exigences relatives au mécanisme de mise à jour du produit
  • Politique de divulgation coordonnée des vulnérabilités (Annexe I, Partie II(5))
  • Contact public pour les signalements de vulnérabilités (Annexe I, Partie II(6))

Comment utiliser ISO 27001 pour le CRA

Utiliser votre SMSI comme fondation

Si vous êtes certifié ISO 27001, vous disposez de bases solides sur lesquelles construire. L'essentiel est d'étendre les processus existants vers les obligations produit plutôt que de repartir de zéro.

Étendre les processus existants :

Processus ISO 27001 Extension CRA
Évaluation des risques (6.1) Évaluation des risques produit
Gestion des vuln. (A.8.8) Gestion des vulnérabilités produit + signalement CSIRT
Gestion fournisseurs (A.5.19-22) Collecte du SBOM auprès des fournisseurs
Gestion incidents (A.5.24-26) Signalement CSIRT selon Art. 14
Dév. sécurisé (A.8.25-28) Tests de sécurité produit et dossier technique

Nouveaux processus à ajouter :

Nouveau processus Objet
Génération du SBOM Suivi des composants selon Annexe I, Partie II(1)
Évaluation de la conformité Marquage CE
Dossier technique produit Documentation réglementaire selon Annexe VII
Gestion de la période d'assistance Engagement selon Art. 13(8)
Procédure de signalement ENISA Notification des vulnérabilités via le CSIRT national
Politique CVD Divulgation coordonnée selon Annexe I, Partie II(5)

Étapes pratiques d'intégration

Étape 1 : extension du périmètre

  • Ajouter la sécurité produit au périmètre de votre SMSI
  • Inclure le développement produit dans l'évaluation des risques
  • Étendre l'inventaire des actifs pour inclure les composants produit

Étape 2 : mises à jour des processus

  • Mettre à jour la procédure de vulnérabilités pour le signalement au CSIRT national via la plateforme de notification unique
  • Ajouter le SBOM à la gestion des changements
  • Intégrer les délais d'avertissement précoce 24 h, de notification initiale 72 h et de rapport final dans votre processus de réponse aux incidents

Étape 3 : ajouts documentaires

  • Dossiers techniques produit
  • Registres SBOM
  • Preuves d'évaluation de la conformité
  • Documentation de la période d'assistance

Étape 4 : rôles et responsabilités

  • Attribuer la responsabilité de la sécurité produit
  • Définir la responsabilité de signalement au CSIRT
  • Établir la responsabilité de maintenance du SBOM
  • Attribuer la responsabilité de la politique CVD

Contrôles de l'Annexe A d'ISO 27001 et le CRA

Contrôles les plus pertinents

Contrôle Rôle ISO 27001 Utilisation CRA
A.8.25 Cycle de vie de développement sécurisé

Rôle ISO 27001Politiques pour le développement sécurisé.

Utilisation CRABase pour les exigences de sécurité produit (Annexe I, Partie I).

A.8.26 Exigences de sécurité des applications

Rôle ISO 27001Exigences de sécurité dans le développement.

Utilisation CRABase pour les exigences essentielles produit ; base partielle pour l’inventaire des composants SBOM.

A.8.27 Architecture système sécurisée

Rôle ISO 27001Principes d’architecture sécurisée.

Utilisation CRAArchitecture de sécurité produit.

A.8.28 Codage sécurisé

Rôle ISO 27001Pratiques de codage sécurisé incluant le suivi des dépendances.

Utilisation CRASécurité du code produit ; base partielle pour la connaissance des composants SBOM.

A.8.8 Gestion des vulnérabilités techniques

Rôle ISO 27001Gestion organisationnelle des vulnérabilités.

Utilisation CRAÉtendre aux vulnérabilités produit et au signalement au CSIRT national via la plateforme de notification unique (Art. 14).

A.5.19-22 Relations fournisseurs

Rôle ISO 27001Gestion de la sécurité des fournisseurs.

Utilisation CRACollecte du SBOM auprès des fournisseurs et sécurité de la chaîne d’approvisionnement.

Implémentation des contrôles pour le CRA

EXTENSION DES CONTRÔLES ISO 27001 POUR LE CRA

EXTENSION DE A.8.8 GESTION DES VULNÉRABILITÉS :

Exigence ISO 27001 :
"Des informations sur les vulnérabilités techniques des
systèmes d'information utilisés doivent être obtenues..."

Extension CRA (Art. 14) :
- Surveiller les vulnérabilités dans VOS PRODUITS
- Maintenir un processus de notification client
- Signaler au CSIRT national via la plateforme unique :
  avertissement précoce 24 h, notification initiale 72 h,
  rapport final 14 jours (exploit actif) ou
  rapport final 1 mois (incident grave)
- Suivre le statut des vulnérabilités par produit
- Produire optionnellement des enregistrements d'applicabilité des vulnérabilités (VEX ou équivalent)

EXTENSION DE A.8.25-28 DÉVELOPPEMENT SÉCURISÉ :

Exigence ISO 27001 :
"Des règles pour le développement de logiciels et de
systèmes doivent être établies et appliquées..."

Extension CRA :
- Inclure la génération du SBOM dans le processus de build (Annexe I, Partie II(1))
- Vérifier la configuration "sécurisée par défaut"
- Tester les exigences de sécurité produit
- Documenter pour le dossier technique (Annexe VII)
- Maintenir les preuves pour l'évaluation de la conformité

La certification ISO 27001 compte-t-elle pour l'évaluation de la conformité CRA ?

La certification ISO 27001 couvre-t-elle la conformité CRA ?

Point crucial :

  • La certification ISO 27001 démontre la maturité de la sécurité organisationnelle
  • La conformité CRA est une exigence réglementaire par produit
  • Avoir ISO 27001 ne vous exempte pas du CRA
  • Les auditeurs ISO 27001 n'évaluent pas la conformité CRA

Les obligations de signalement de l'Article 14 débutent le 11 septembre 2026. La conformité complète est requise avant le 11 décembre 2027. Le non-respect est passible d'amendes allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (Art. 64).

Utiliser ISO 27001 dans le contexte CRA

COMMENT RÉFÉRENCER ISO 27001 DANS LA DOCUMENTATION CRA

DANS LE DOSSIER TECHNIQUE :
"[Entreprise] maintient un système de management de la
sécurité de l'information certifié ISO/IEC 27001:2022
(Certificat N° XXX, émis par [Organisme de certification]).

Le SMSI fournit la base organisationnelle pour la
sécurité produit, incluant :
- Cycle de vie de développement sécurisé (A.8.25-28)
- Processus de gestion des vulnérabilités (A.8.8)
- Exigences de sécurité fournisseurs (A.5.19-22)

La conformité CRA spécifique au produit est documentée
dans ce dossier technique, en s'appuyant sur ces
contrôles du SMSI."

CE QUE CELA DÉMONTRE :
- Maturité de la gestion de la sécurité
- Existence d'une base de processus
- Ne remplace pas les preuves produit

Synergies d'audit

Audit de surveillance ISO 27001 :

  • Évaluation annuelle du SMSI
  • Peut inclure le périmètre de sécurité produit
  • Preuves réutilisables pour le CRA

Évaluation de la conformité CRA :

  • Évaluation spécifique au produit
  • Fait référence au SMSI pour les preuves de processus
  • Nécessite des preuves produit supplémentaires

Opportunités de synergie :

  • Aligner les calendriers d'audit
  • Réutiliser les preuves là où c'est applicable
  • Approche de système de management intégré
  • Référentiel documentaire unique

Trois scénarios courants ISO 27001 + CRA

Scénario 1 Certifié ISO 27001, début de démarche CRA

Utilisez le SMSI comme preuve de processus. Ne traitez pas le certificat comme une preuve de conformité produit.

À réutiliser d’ISO 27001

Méthodologie de risque, gestion des fournisseurs, réponse aux incidents et gouvernance du développement sécurisé.

Preuves spécifiques CRA

Classification produit, génération du SBOM, signalement Article 14 et dossiers techniques Annexe VII.

Règle de décision : réutiliser les contrôles du SMSI uniquement lorsqu’ils créent des preuves au niveau produit.

Scénario 2 Pas d’ISO 27001, approche CRA

Priorisez le règlement à échéance fixe. Construisez la discipline ISO 27001 autour de ce travail au lieu de retarder le travail produit.

Faits d’échéance

Le signalement Article 14 débute le 11 septembre 2026. L’application complète du CRA commence le 11 décembre 2027.

Travail CRA en premier

Classification, SBOM, dossier technique, politique CVD, contact public et workflow de signalement.

Règle de décision : commencer par les obligations réglementaires produit, puis faire mûrir le modèle opérationnel vers ISO 27001. Voir le guide CRA pour startups.

Scénario 3 Plusieurs produits, SMSI central

Centralisez les contrôles communs, mais gardez les preuves de conformité séparées pour chaque famille de produits.

Centraliser

Méthode de risque, traitement des vulnérabilités, exigences fournisseurs et standards de développement.

Conserver par produit

Dossier technique, SBOM, route de conformité, période d’assistance et preuves de release.

Règle de décision : une procédure commune de sécurité produit, un registre de preuves par famille de produits.

Comment intégrer le CRA à votre SMSI existant

Modèle de gouvernance

MODÈLE DE GOUVERNANCE INTÉGRÉ

NIVEAU ORGANISATIONNEL (ISO 27001) :
+---------------------------------------------+
| Système de management de la sécurité de     |
| l'information                               |
|                                             |
| - Politiques de sécurité                    |
| - Cadre de gestion des risques              |
| - Organisation de la sécurité               |
| - Sensibilisation et formation              |
\---------------------------------------------+
            |
            v
NIVEAU PRODUIT (CRA) :
+---------------------------------------------+
| Conformité sécurité produit                 |
|                                             |
| +---------+ +---------+ +---------+         |
| |Produit A| |Produit B| |Produit C|         |
| |- Dossier| |- Dossier| |- Dossier| |
| |  tech.  | |  tech.  | |  tech.  | |
| |- SBOM   | |- SBOM   | |- SBOM   |         |
| |- DoC    | |- DoC    | |- DoC    |         |
| \---------+ \---------+ \---------+         |
\---------------------------------------------+

Structure documentaire

DOCUMENTATION INTÉGRÉE

DOCUMENTATION SMSI (ISO 27001) :
+-- Politique de sécurité de l'information
+-- Procédure d'évaluation des risques
+-- Déclaration d'applicabilité
+-- Politique de développement sécurisé
+-- Procédure de gestion des vulnérabilités
+-- Procédure de réponse aux incidents
\-- Politique de sécurité fournisseurs

DOCUMENTATION CRA (par produit) :
+-- Dossier technique produit (Annexe VII)
|   +-- Description du produit
|   +-- Évaluation des risques
|   +-- Architecture de sécurité
|   +-- Rapports de tests
|   \-- SBOM
+-- Déclaration UE de conformité
+-- Documentation utilisateur
\-- Déclaration de période d'assistance

RÉFÉRENCES CROISÉES :
- Le dossier technique fait référence aux procédures SMSI
- Les procédures SMSI intègrent les exigences CRA
- Les enregistrements sont conservés 10 ans ou la durée
  de la période d'assistance, la plus longue prévalant
  (Art. 23(2))

Chantiers d’intégration ISO 27001 vers CRA

Périmètre et classification produit

Objectif

Déterminer quels produits relèvent du CRA et quel niveau s’applique.

Résultat

Enregistrement de classification par famille de produits.

Preuve

Justification Annexe III/IV et route de conformité.

Modèle de risque de sécurité produit

Objectif

Étendre la méthode de risque du SMSI aux cas d’abus produit et au risque de cycle de vie.

Résultat

Évaluation des risques produit.

Preuve

Cartographie des exigences de l’Annexe I du CRA.

SBOM et preuves fournisseurs

Objectif

Rendre la visibilité des composants répétable pour chaque release produit.

Résultat

Processus SBOM et exigences d’entrée fournisseurs.

Preuve

Annexe I, Partie II(1), Article 13(5), A.5.19-22 et enregistrements SBOM liés aux releases.

Gestion et signalement des vulnérabilités

Objectif

Relier la gestion des vulnérabilités ISO au signalement produit CRA.

Résultat

Politique CVD, contact public et runbook de signalement CSIRT.

Preuve

Annexe I, Partie II(5) et (6), responsabilité Article 14 et délais de notification.

Dossier technique et route de conformité

Objectif

Transformer la maturité des processus en preuves de conformité spécifiques au produit.

Résultat

Dossier technique Annexe VII, déclaration UE de conformité et décision de module.

Preuve

Architecture de sécurité, rapports de tests, période d’assistance et enregistrement d’évaluation de conformité.

Responsabilités et formation

Objectif

Rendre la conformité produit opérationnelle, pas ponctuelle.

Résultat

Responsables nommés et formation des équipes.

Preuve

Tableau de responsabilités, registres de formation et cadence d’audit interne.

Questions fréquentes

La certification ISO 27001 exempte-t-elle une entreprise de l'évaluation de la conformité CRA ?

Non. La certification ISO 27001 démontre la maturité de la sécurité organisationnelle de l'information, mais ne constitue pas une évaluation de la conformité CRA. Le CRA exige des preuves par produit : SBOM, dossier technique, déclaration de conformité et, le cas échéant, une évaluation par un organisme notifié. Un auditeur qui évalue votre SMSI n'évalue pas la conformité CRA. Voir les routes d'évaluation de la conformité CRA.

Quels contrôles de l'Annexe A d'ISO 27001 sont les plus directement pertinents pour l'Annexe I du CRA ?

Les contrôles présentant les plus fortes intersections sont A.8.25-28 (cycle de vie de développement sécurisé), A.8.8 (gestion des vulnérabilités techniques) et A.5.19-22 (relations fournisseurs). Ces contrôles correspondent aux exigences CRA relatives à la sécurité dès la conception, à l'obligation de gestion des vulnérabilités et aux dispositions SBOM de la chaîne d'approvisionnement. A.8.8 doit être étendu pour couvrir le signalement des vulnérabilités produit au CSIRT national via la plateforme de notification unique ENISA (Article 14).

Les preuves d'audit ISO 27001 peuvent-elles être réutilisées dans un dossier technique CRA ?

Oui, de manière sélective. Les preuves de votre SMSI couvrant le développement sécurisé (A.8.25-28), la gestion des vulnérabilités (A.8.8) et les contrôles fournisseurs (A.5.19-22) peuvent être référencées dans le dossier technique CRA. Le dossier technique exige cependant aussi des preuves spécifiques au produit, notamment l'architecture de sécurité, les rapports de tests, le SBOM et la documentation de la période d'assistance, que les audits ISO 27001 ne génèrent pas.

ISO 27001:2022 est-il mieux aligné avec le CRA qu'ISO 27001:2013 ?

Oui. ISO 27001:2022 a ajouté des contrôles plus pertinents pour le CRA, notamment A.8.25-28 (cycle de vie de développement sécurisé, exigences de sécurité des applications, architecture sécurisée, codage sécurisé). La version 2013 offrait une couverture plus faible dans ces domaines. Si vous utilisez la version 2013, une analyse des écarts par rapport aux contrôles 2022 vaut la peine d'être menée spécifiquement pour les besoins du CRA.

ISO 27001 couvre-t-il l'exigence SBOM du CRA ?

Partiellement. A.8.26 (exigences de sécurité des applications) et A.8.28 (codage sécurisé) incluent des concepts de connaissance des composants et de suivi des dépendances. Toutefois, ISO 27001 n'exige pas de SBOM lisible par machine couvrant au moins les dépendances de niveau supérieur, ce qu'exige le CRA (Annexe I, Partie II(1)). Le CRA ne nomme aucun format spécifique ; CycloneDX et SPDX sont des choix pratiques courants, et l'Article 13(24) permet à la Commission de préciser le format ultérieurement. La sensibilisation organisationnelle est une base, pas un substitut.

Le travail de conformité CRA peut-il être intégré à un programme ISO 27001 en cours ?

Oui, et c'est l'approche recommandée pour les entreprises déjà certifiées. Étendez le périmètre du SMSI pour inclure la sécurité produit, ajoutez des procédures spécifiques au produit pour le SBOM et le signalement au CSIRT, et référencez les preuves SMSI dans vos dossiers techniques CRA. La clé est d'ajouter plutôt que de dupliquer : les preuves CRA se trouvent dans les dossiers techniques, pas dans la déclaration d'applicabilité du SMSI.

Prochaines étapes

Ce qu'il faut faire dans le prochain trimestre

  1. Menez une analyse des écarts entre les contrôles de l'Annexe A de votre SMSI et l'Annexe I du CRA. Commencez par A.8.8, A.8.25-28 et A.5.19-22. Ces contrôles portent l'essentiel du poids.
  2. Classifiez chaque produit au titre des Annexes III et IV. La route d'évaluation de la conformité en dépend, pas de votre statut de certification ISO 27001.
  3. Étendez la déclaration de périmètre de votre SMSI pour inclure la sécurité produit. Mettez à jour la déclaration d'applicabilité pour que les obligations produit soient visibles aux auditeurs.
  4. Intégrez la génération du SBOM (Annexe I, Partie II(1)) à votre processus de gestion des changements. CycloneDX ou SPDX, lisible par machine, attaché à chaque version.
  5. Créez ou mettez à jour la procédure de signalement CSIRT pour l'Article 14 : avertissement précoce 24 h, notification initiale 72 h, rapport final sous 14 jours ou 1 mois selon le type d'incident. Voir le guide de la plateforme de notification unique.
  6. Nommez un responsable de la sécurité produit et un responsable de la politique CVD (Annexe I, Partie II(5) et (6)). Ces rôles ne peuvent pas être le créneau ambigu d'une « équipe sécurité ».
  7. Programmez un audit interne combiné couvrant à la fois la surveillance ISO 27001 et la préparation du dossier technique CRA. Réutilisez les preuves là où c'est applicable.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.

CRA Normes de Sécurité Conformité
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide