Le Cyber Resilience Act offre aux fabricants trois voies vers une présomption de conformité avec les exigences de l'Annexe I. Deux passent par des normes. La troisième peut passer par la certification, dès lors que la Commission reconnaît un schéma européen de certification de cybersécurité utilisable. Cette page explique cette voie, la place qu'occupe le schéma européen de certification de cybersécurité fondé sur les Common Criteria (EUCC) en tant que schéma en vigueur, et ce qui est ou n'est pas encore applicable.
Résumé
- La certification peut être la troisième voie du CRA vers la présomption de conformité. Elle s'inscrit aux côtés des normes harmonisées et des spécifications communes.
- La voie passe par un schéma européen de certification de cybersécurité adopté au titre du règlement (UE) 2019/881 sur la cybersécurité. L'EUCC est le schéma en vigueur.
- Un certificat ne vaut qu'à hauteur des exigences qu'il couvre. Il confère la présomption de conformité pour les exigences de l'Annexe I couvertes par le certificat, et non automatiquement pour l'ensemble de ces exigences.
- Un certificat de niveau « substantiel » supprimerait l'évaluation par un tiers pour les exigences couvertes, mais uniquement une fois l'acte délégué qui active cette voie entré en vigueur.
- La voie compte surtout pour les produits critiques de l'Annexe IV, pour lesquels la Commission peut rendre un certificat obligatoire.
- La voie n'est pas encore activée. Au 15 juin 2026, aucun acte ne reconnaît de schéma utilisable ni ne rend un certificat obligatoire. L'EUCC ne remplace pas encore la voie de conformité CRA et ne supprime pas l'évaluation par un tiers.
Ce qu'est un certificat EUCC et ses niveaux d'assurance
L'EUCC est le schéma européen de certification de cybersécurité fondé sur les Common Criteria. L'ENISA l'a préparé, et la Commission l'a adopté par le règlement d'exécution (UE) 2024/482 du 31 janvier 2024. Il s'applique depuis le 27 février 2025. C'est le premier schéma adopté au titre de l'Acte sur la cybersécurité. Il s'appuie sur les Common Criteria, la norme internationale de longue date pour l'évaluation de la sécurité des produits informatiques, publiée sous la référence ISO/IEC 15408.
Le schéma est déjà opérationnel. Des organismes de certification ont délivré des certificats EUCC depuis avril 2025, et le registre officiel des certificats de l'ENISA en recensait 37 au 15 juin 2026. Aucun ne porte encore la présomption de conformité au CRA : ils montrent que le schéma fonctionne, pas qu'un certificat satisfait déjà au CRA.
Parmi les certificats délivrés à ce jour, beaucoup concernent des puces sécurisées, des cartes à puce et du matériel similaire, qui recoupent les catégories critiques à forte composante matérielle du CRA. Ce n'est pas le cas de tous : des produits réseau et logiciels sont également certifiés, et ceux-là relèvent du champ général du CRA plutôt que de sa liste critique.
L'EUCC délivre des certificats à deux niveaux d'assurance : « substantiel » et « élevé ». Les deux diffèrent par la rigueur des tests appliqués au produit. L'EUCC mesure cela sur l'échelle d'évaluation des vulnérabilités des Common Criteria, notée AVA_VAN, qui va de 1 à 5. Plus le chiffre est élevé, plus les tests indépendants vérifiant la résistance du produit aux attaques sont approfondis.
| Niveau EUCC | AVA_VAN | Profondeur des tests | Effet au titre du CRA |
|---|---|---|---|
| substantielle moins élevé des deux | AVA_VAN 1 à 2sur 5 | Tests de vulnérabilité indépendants à une profondeur standard. | Satisferait au seuil de dispense. |
| élevéle plus élevé des deux | AVA_VAN 3 à 5sur 5 | Une analyse plus approfondie, testée face à des attaquants disposant de compétences et de ressources significatives. | Dépasserait le seuil. |
Le CRA attache sa dispense d'évaluation par un tiers au niveau « substantiel » ou supérieur, de sorte que les deux niveaux EUCC seraient admissibles une fois cette dispense en vigueur.
La certification peut être la troisième voie du CRA vers la présomption de conformité
La présomption de conformité est un raccourci reconnu. Satisfaire à l'une des voies conduit une autorité à présumer que votre produit répond aux exigences couvertes par cette voie. Le Cyber Resilience Act prévoit trois voies possibles, et la certification est la troisième, une fois reconnue pour usage dans le cadre du CRA.
Les trois voies, et leur état actuel :
| Voie | Sur quoi elle repose | État au titre du CRA aujourd'hui |
|---|---|---|
| Normes harmonisées | une norme dont la référence est publiée au Journal officiel | aucune norme publiée |
| Spécifications communes | actes d'exécution de la Commission | aucun adopté |
| Schéma de certification | une déclaration de conformité de l'Union ou un certificat dans le cadre d'un schéma reconnu | aucun schéma reconnu pour usage dans le cadre du CRA |
Les deux premières voies passent par des normes, et le suivi des normes harmonisées les suit en détail. La troisième passe par la certification. Une fois cette voie opérationnelle, un produit détenteur d'une déclaration de conformité de l'Union ou d'un certificat de cybersécurité européen dans le cadre d'un schéma européen de certification de cybersécurité peut être présumé conforme. Cette présomption ne couvre que les exigences couvertes par la déclaration ou le certificat, et non l'intégralité de l'Annexe I. Le schéma doit avoir été adopté au titre du règlement (UE) 2019/881 sur la cybersécurité.
Comment obtenir une certification EUCC
L'EUCC n'est pas une auto-déclaration. Un fabricant ou un éditeur travaille avec un organisme de certification, et l'évaluation est réalisée par un laboratoire accrédité. C'est aussi un investissement matériel : une évaluation complète auprès d'un organisme de certification se chiffre généralement à six figures, ce qui explique en partie pourquoi la plupart des équipes la séquencent après les preuves de l'Annexe I. Pour le niveau d'assurance « élevé », l'EUCC ajoute des exigences d'habilitation pour l'organisme de certification et le laboratoire.
Une partie des preuves constituées pour le CRA recoupe ce qu'une évaluation EUCC requiert : une évaluation des risques, des procédures de gestion et de divulgation des vulnérabilités, et la documentation technique. L'EUCC demande davantage : notamment une cible de sécurité, le document qui définit précisément quel produit, quelle configuration et quelles fonctions de sécurité sont évalués, ainsi que les preuves de conception détaillée et de test que les Common Criteria exigent pour le niveau d'assurance choisi.
Un certificat EUCC n'est pas une validation ponctuelle. Un organisme de certification en fixe la validité pour une durée maximale de cinq ans. Pendant cette période, le titulaire est tenu d'assurer plusieurs obligations continues :
- Gestion des vulnérabilités : mettre en œuvre des procédures de gestion et de divulgation des vulnérabilités.
- Analyse d'impact : évaluer l'impact des nouvelles vulnérabilités au fur et à mesure qu'elles apparaissent.
- Maintien du niveau d'assurance : maintenir le niveau d'assurance du produit par des correctifs et des réévaluations.
Une grande partie de ces obligations recoupe les devoirs de gestion des vulnérabilités prévus par le CRA.
Ce processus est distinct de la voie CRA. Il peut constituer des preuves utiles, mais il ne produit pas d'effet juridique au titre du CRA tant que la Commission ne reconnaît pas le schéma.
Comment l'EUCC et le CRA s'articulent
Le CRA et l'EUCC sont deux instruments de nature différente, et leur confusion est fréquente. Le CRA est un règlement contraignant : la loi à laquelle un produit doit satisfaire. L'EUCC est un schéma de certification volontaire : une façon de montrer qu'un produit y répond en partie.
| Cyber Resilience Act | EUCC | |
|---|---|---|
| Nature | règlement UE contraignant | schéma de certification volontaire |
| Base juridique | règlement (UE) 2024/2847 | Acte sur la cybersécurité (règlement (UE) 2019/881), schéma dans le règlement (UE) 2024/482 |
| S'applique à | tous les produits comportant des éléments numériques sur le marché de l'UE | produits informatiques évalués selon les Common Criteria |
| Niveaux de risque | par défaut, important, critique | niveaux d'assurance « substantiel » et « élevé » |
| Caractère obligatoire | obligatoire, avec sanctions | volontaire, sauf si le CRA le rend obligatoire pour une catégorie critique |
Les deux se recoupent là où c'est utile. L'EUCC examine les fonctions de sécurité d'un produit et la façon dont son fabricant gère les vulnérabilités. Une grande partie de cela correspond aux exigences essentielles du CRA. L'ENISA a publié une étude de correspondance EUCC-CRA pour tester comment la certification EUCC pourrait appuyer la conformité au CRA. Ce travail constitue un socle technique, pas un effet juridique automatique.
Ce que supprimerait un certificat de niveau « substantiel »
Un autre élément du droit conférerait un poids réel à un certificat au titre du CRA, et il n'est pas encore en vigueur. Il produit deux effets une fois que la Commission agit en ce sens :
- Reconnaissance des schémas : par acte délégué, la Commission précise quels schémas de certification peuvent démontrer la conformité aux exigences. Tant que cet acte ne désigne pas un schéma, aucun n'est formellement reconnu pour la conformité au CRA.
- Dispense d'évaluation par un tiers : un certificat de niveau d'assurance au moins « substantiel » supprimerait l'obligation pour le fabricant de procéder à une évaluation de la conformité par un tiers pour les exigences que ce certificat couvre. Cette dispense correspond aux voies Module B+C et Module H qu'un organisme notifié devrait sinon conduire.
Le guide d'évaluation de la conformité explique ces modules.
Produits critiques : quand la certification peut être rendue obligatoire
Pour la plupart des produits, la certification est facultative. Pour les catégories de produits critiques, elle peut devenir obligatoire.
La Commission peut exiger que ces produits détiennent un certificat de cybersécurité européen de niveau d'assurance au moins « substantiel ». Elle doit le faire par acte délégué, et uniquement une fois qu'un schéma couvrant la catégorie concernée a été adopté et est disponible pour les fabricants. Les catégories critiques de l'Annexe IV sont :
- Dispositifs matériels avec boîtier de sécurité
- Passerelles pour compteur intelligent et autres dispositifs à des fins de sécurité avancées, y compris pour un traitement cryptographique sécurisé
- Cartes à puce ou dispositifs similaires, y compris les éléments sécurisés
L'EUCC est le schéma en vigueur le plus pertinent pour cette liste à forte composante matérielle.
Tant que la Commission n'adopte pas un tel acte, ces produits ne sont pas tenus de se certifier. Ils suivent les procédures d'évaluation de la conformité standard, les mêmes voies par un tiers que les autres produits réglementés. Le guide de classification des produits indique dans quelle catégorie se situe un produit.
État actuel : la certification n'est pas encore activée pour le CRA
Statut, au 15 juin 2026 : la voie de certification existe dans le CRA, mais elle n'est pas encore opérationnelle. La Commission n'a pas adopté l'acte délégué qui reconnaîtrait les schémas permettant de démontrer la conformité au CRA, ni celui rendant un certificat obligatoire pour une catégorie de produits critiques. Un certificat EUCC est donc une préparation utile, pas un raccourci CRA pour aujourd'hui. Il ne supprime encore aucune évaluation par un tiers.
Aucune date limite n'existe pour activer cette voie. Le Règlement autorise la Commission à agir, mais ne l'y oblige pas à une date précise, et aucun acte n'est adopté. Les obligations propres au Cyber Resilience Act s'appliquent à partir du 11 décembre 2027, que la voie soit activée ou non. Si un futur acte rend la certification obligatoire pour une catégorie critique, il devra prévoir une transition d'au moins six mois au préalable.
La Commission a entre-temps adopté d'autres actes au titre du CRA, ce qui rend la lacune facile à mal interpréter :
| Acte | Date | Ce qu'il fait | Concerne la certification ? |
|---|---|---|---|
| Règlement délégué (UE) 2025/1535 de la Commission | 29 juillet 2025 | exclut certains véhicules du règlement (UE) no 168/2013 du champ du CRA | non |
| Règlement d'exécution (UE) 2025/2392 de la Commission | 28 novembre 2025 | fixe les descriptions techniques des catégories de produits importants et critiques | non |
| Règlement délégué (UE) 2026/881 de la Commission | 11 décembre 2025, publié le 20 avril 2026 | fixe les conditions pour différer la diffusion de certaines notifications de vulnérabilités et d'incidents | non |
L'ENISA a accompli le travail préparatoire. Son rapport, intitulé « Cyber Resilience Act Implementation via EUCC and Its Applicable Technical Elements », expose comment l'EUCC pourrait porter les exigences du CRA. Il décrit aussi la correspondance technique qui serait nécessaire. C'est une proposition et une boîte à outils, pas un déclencheur. L'effet juridique attend toujours l'acte délégué que la Commission n'a pas adopté.
Notre analyse : poursuivre l'EUCC maintenant ou attendre ?
Les sections précédentes exposent la position réglementaire. Les deux encadrés ci-dessous reflètent notre lecture en tant que praticiens. Il s'agit d'une opinion, et non d'un conseil juridique ni d'une déclaration sur ce qu'exige le Règlement.
Un certificat EUCC n'est pas la voie CRA la plus rapide aujourd'hui. L'acte délégué qui lui conférerait un effet au titre du CRA n'est pas adopté. Pour la plupart des fabricants, le travail à plus forte valeur est la constitution des preuves de l'Annexe I que toute voie nécessite de toute façon : une évaluation des risques, un SBOM, la gestion des vulnérabilités et la documentation technique. La certification peut venir s'y greffer plus tard. Trois situations changent le calcul. Vous appartenez à une catégorie critique susceptible de faire l'objet d'une obligation future. Vous détenez déjà ou poursuivez des certificats Common Criteria. Ou vos acheteurs en demandent un. Dans ces cas, commencer maintenant est raisonnable.
La dispense que tout le monde recherche dépend d'un acte délégué que la Commission n'a pas adopté. Nous lisons la dispense comme indisponible jusqu'à ce que cet acte entre en vigueur, car le droit lie la dispense à cet acte. Si quelqu'un affirme qu'un certificat EUCC supprime déjà l'évaluation au titre du CRA, il omet cette condition, et nous ne planifierions pas une voie de conformité sur cette base. Des trois voies, nous pensons que la certification est le bloc d'infrastructure le plus concret en cours de construction, et le pont EUCC est le point à surveiller : lors de la conférence européenne de certification de cybersécurité 2026, la Commission a signalé son intention de préciser comment l'EUCC soutient la conformité au CRA d'ici la fin 2026. Traitez cela comme un objectif, pas un engagement : aucun acte n'est adopté, et la date peut bouger.
Foire aux questions
Un certificat EUCC confère-t-il déjà la présomption de conformité au titre du CRA ?
Pas pour l'EUCC aujourd'hui. La voie de certification existe dans le CRA, mais la Commission doit encore préciser quels schémas comptent pour la conformité au CRA. Cet acte n'est pas adopté. Un certificat EUCC peut constituer une solide préparation, mais il ne se substitue pas encore à la voie de conformité au CRA.
Quelle est la différence entre le CRA et l'EUCC ?
Le CRA est un règlement UE contraignant qui s'applique à tout produit comportant des éléments numériques. L'EUCC est un schéma de certification volontaire fondé sur les Common Criteria. Vous devez satisfaire au CRA ; obtenir un certificat EUCC est un choix. Les deux se rejoignent parce qu'un certificat peut servir de voie pour démontrer la conformité au CRA. Cela ne vaut que pour les exigences qu'il couvre, et uniquement une fois le schéma formellement reconnu, ce qui n'est pas encore le cas.
La certification EUCC est-elle obligatoire au titre du CRA ?
Pas pour l'instant. La certification est facultative pour la plupart des produits. Pour les catégories critiques de l'Annexe IV, la Commission peut rendre un certificat obligatoire par acte délégué. Elle ne peut le faire que si un schéma couvrant cette catégorie est adopté et disponible. Aucun tel acte n'existe à ce jour, donc aucun produit n'est tenu de se certifier. Ces produits suivent les voies d'évaluation par un tiers standard jusqu'à ce que cela change.
Quel niveau d'assurance le CRA requiert-il ?
Pour la future dispense, au moins « substantiel ». L'EUCC délivre des certificats aux niveaux « substantiel » et « élevé », de sorte qu'un certificat « élevé » serait également admissible. La dispense elle-même dépend toujours de l'entrée en vigueur de l'acte délégué, ce qui n'est pas le cas.
En quoi la voie de certification diffère-t-elle des normes harmonisées ?
Ce sont deux voies vers la même présomption. Une norme harmonisée produit son effet une fois sa référence publiée au Journal officiel. Pour un produit important de classe I, une norme publiée peut ouvrir l'auto-évaluation. Un certificat produit son effet une fois un schéma reconnu. Au niveau « substantiel », il supprimerait l'évaluation par un tiers pour les exigences qu'il couvre. Aujourd'hui, ni l'une ni l'autre n'est pleinement opérationnelle pour le CRA : aucune norme harmonisée n'est publiée et aucun schéma de certification n'est reconnu.
Un certificat EUCC couvre-t-il les exigences de gestion des vulnérabilités de la Partie II de l'Annexe I ?
Cela dépend du périmètre du certificat, et vous ne pouvez pas le supposer. La présomption ne couvre que les exigences qu'un certificat couvre effectivement. L'Annexe I comporte deux parties : les propriétés de sécurité du produit et les exigences de processus de gestion des vulnérabilités. Un certificat limité aux propriétés du produit peut ne pas traiter les obligations de processus continues. Vérifiez les exigences couvertes avant de vous en prévaloir.
Si j'obtiens un certificat EUCC maintenant, sera-t-il pris en compte au titre du CRA une fois la voie activée ?
Pas automatiquement. L'acte qui reconnaîtrait les schémas pour la conformité au CRA n'est pas adopté, et le droit anticipe des conditions supplémentaires pour les certificats délivrés avant l'activation de la voie. Un certificat obtenu aujourd'hui constitue une solide préparation et une preuve pour les exigences qu'il couvre, mais le fait qu'il emporte une présomption de conformité au CRA ultérieurement, et pour quelles exigences, dépendra de cet acte et du périmètre de votre certificat. Traitez-le comme une avance, pas comme un raccourci garanti.
Des certificats EUCC ont-ils déjà été délivrés, et où peut-on les consulter ?
Oui. Des organismes de certification délivrent des certificats EUCC depuis avril 2025, et l'ENISA publie la liste officielle, consultable par filtre. Ces certificats prouvent que le schéma est opérationnel, mais ils ne portent pas encore la présomption de conformité au CRA : celle-ci attend toujours l'acte délégué.