Votre voie d'évaluation de la conformité CRA dépend de la classification du produit. Les produits par défaut peuvent généralement utiliser le contrôle interne. Les produits importants et critiques peuvent nécessiter un organisme notifié ou, pour les produits critiques lorsque les conditions propres au règlement sont réunies, un certificat européen de cybersécurité.
Synthèse
- La classification CRA commence par le champ d'application : le produit doit comporter des éléments numériques et une connexion de données logique ou physique, directe ou indirecte, à un dispositif ou à un réseau.
- Les produits dont la fonctionnalité principale figure à l'la liste des produits importants sont des produits importants, répartis entre la classe I et la classe II.
- Les produits dont la fonctionnalité principale figure à l'la liste des produits critiques sont des produits critiques.
- Les produits par défaut peuvent utiliser le contrôle interne, sur la base du module A.
- Les produits importants de classe I ne peuvent rester en contrôle interne que si les normes, spécifications communes ou schémas de certification pertinents sont pleinement appliqués.
- Les produits critiques utilisent soit la voie de certification, soit, lorsque cette voie n'est pas disponible et applicable, les voies tierces standard.
Conseil : à titre d'estimation de travail, et non de chiffre fixé par le CRA, environ 90 % des produits relèvent de la catégorie par défaut. Vérifiez d’abord les listes de produits critiques et importants. Si votre produit n’y figure pas, il est généralement par défaut.
Commencez ici seulement si le produit comporte des éléments numériques et une connexion de données directe ou indirecte.
Le niveau de risque le plus élevé. Un « oui » ici signifie certification ou l'une des voies d'évaluation par tiers.
Ces produits nécessitent généralement une voie tierce ou une certification.
Ce niveau couvre aussi les systèmes d'identité, SIEM, PKI, interfaces réseau, puces avec fonctions de sécurité, certains jouets et certains wearables.
Pour une première vérification rapide du champ, utilisez le vérificateur gratuit d'applicabilité CRA. Traitez le résultat comme un point de départ, puis documentez séparément la classification juridique.
Les quatre catégories de produits CRA
Le CRA classe les produits comportant des éléments numériques en quatre niveaux selon le risque de cybersécurité : par défaut, important classe I, important classe II et critique. L'affectation à un niveau dépend de la correspondance entre la fonctionnalité principale du produit et les listes de l'la liste des produits importants (important) et de l'la liste des produits critiques (critique).
Le contrôle interne fondé sur le module A est disponible lorsque le produit est par ailleurs dans le champ du CRA.
Aucune fonction principale importante ou critique.Le module A reste disponible uniquement avec l'utilisation complète des normes, spécifications ou schémas pertinents.
liste important classe I.Utilisez le module B+C, le module H ou un schéma de certification applicable.
liste important classe II.Utilisez la certification lorsque les conditions de certification sont réunies ; sinon, utilisez les voies d’évaluation tierces.
liste critique.Produits par défaut
La grande majorité des produits entrent ici. Si votre produit est dans le champ du CRA mais que sa fonctionnalité principale ne figure pas à l'la liste des produits importants ou à l'la liste des produits critiques, il est par défaut.
Évaluation de la conformité : l'auto-évaluation (module A) suffit.
Exemples :
- Capteurs IoT simples
- Électronique grand public de base
- Logiciels métier standard
- Applications à usage général
- Appareils embarqués dont la finalité prévue ou l'utilisation raisonnablement prévisible comprend une connexion de données mais sans fonctionnalité principale relevant de l'la liste des produits importants ou de l'la liste des produits critiques
Important classe I
Produits présentant un risque accru en raison de leur fonction ou de leur base d'utilisateurs.
Évaluation de la conformité : le contrôle interne est disponible uniquement si vous appliquez pleinement les normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité pertinents au niveau d'assurance au moins substantiel. Lorsque ceux-ci n'existent pas encore ou que vous ne les appliquez pas pleinement, utilisez le module B+C ou le module H.
Liste complète important classe I :
- (1) Systèmes de gestion des identités et logiciels et dispositifs de gestion des accès privilégiés, dont lecteurs d'authentification et de contrôle d'accès et lecteurs biométriques
- (2) Navigateurs autonomes et intégrés
- (3) Gestionnaires de mots de passe
- (4) Logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants
- (5) Produits comportant des éléments numériques avec la fonction de réseau privé virtuel (VPN)
- (6) Systèmes de gestion de réseau
- (7) Systèmes de gestion des informations et des événements de sécurité (SIEM)
- (8) Gestionnaires de démarrage
- (9) Infrastructure à clé publique et logiciels d'émission de certificats numériques
- (10) Interfaces réseau physiques et virtuelles
- (11) Systèmes d'exploitation
- (12) Routeurs, modems destinés à la connexion à l'internet, et commutateurs
- (13) Microprocesseurs dotés de fonctionnalités liées à la sécurité
- (14) Microcontrôleurs dotés de fonctionnalités liées à la sécurité
- (15) Circuits intégrés spécifiques à l'application (ASIC) et réseaux de portes programmables (FPGA) dotés de fonctionnalités liées à la sécurité
- (16) Assistants virtuels polyvalents pour maison intelligente
- (17) Produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment serrures connectées, caméras de sécurité, systèmes de surveillance pour bébé et systèmes d'alarme
- (18) Jouets connectés couverts par la directive 2009/48/CE qui présentent des caractéristiques sociales interactives, par exemple parler ou filmer, ou qui possèdent des fonctions de localisation
- (19) Produits portables personnels destinés à être portés ou placés sur un corps humain à des fins de surveillance de la santé, par exemple le suivi, et auxquels le règlement (UE) 2017/745 ou (UE) 2017/746 ne s'appliquent pas, ou produits portables personnels destinés à être utilisés par et pour les enfants
Important classe II
Produits à risque plus élevé nécessitant une évaluation obligatoire par tiers.
Évaluation de la conformité : utilisez le module B+C, le module H ou, lorsqu'il est disponible et applicable, un schéma européen de certification de cybersécurité au niveau d'assurance au moins substantiel.
Liste complète important classe II :
- (1) Hyperviseurs et systèmes d'exécution de conteneurs prenant en charge l'exécution virtualisée de systèmes d'exploitation et d'environnements similaires
- (2) Pare-feu, systèmes de détection et de prévention des intrusions
- (3) Microprocesseurs résistants aux manipulations
- (4) Microcontrôleurs résistants aux manipulations
Produits critiques
La catégorie au risque le plus élevé couvre les dispositifs matériels avec boîtiers de sécurité, les passerelles de compteur intelligent et autres dispositifs de sécurité avancée, ainsi que les cartes à puce ou dispositifs similaires.
Évaluation de la conformité : utilisez la voie de certification lorsque les conditions de certification sont réunies. Si ces conditions ne sont pas réunies, utilisez l'une des voies d’évaluation tierces.
Liste complète critique :
- (1) Dispositifs matériels avec boîtiers de sécurité
- (2) Passerelles pour compteur intelligent au sein des systèmes intelligents de mesure tels que définis au point (23) de la directive (UE) 2019/944 et autres dispositifs à des fins de sécurité avancée, y compris pour un traitement cryptographique sécurisé
- (3) Cartes à puce ou dispositifs similaires, y compris éléments sécurisés
Voies d'évaluation de la conformité par catégorie
Chaque niveau correspond à un ensemble précis de modules d’évaluation : les produits par défaut utilisent généralement le contrôle interne, la classe I importante ne peut l’utiliser qu’avec une couverture complète par les normes ou schémas, la classe II importante utilise une voie tierce ou une certification, et les produits critiques utilisent la certification lorsqu’elle est disponible ou les voies tierces de repli.
Le contrôle interne de la production est disponible lorsque le produit ne présente aucune correspondance de fonctionnalité principale avec l'la liste des produits importants ou l'la liste des produits critiques.
Organisme notifié : non requisUtilisez le module A uniquement avec une couverture complète par les normes, spécifications communes ou schémas de certification. Sinon, utilisez le module B+C ou le module H.
Organisme notifié : requis lorsque le module B+C ou H est utiliséUtilisez une voie tierce, ou un schéma européen de certification de cybersécurité applicable au niveau d'assurance au moins substantiel.
Organisme notifié : requis pour B+C ou H ; les règles du schéma s'appliquent pour la certificationUtilisez la voie de certification lorsque ses conditions sont réunies. Sinon, utilisez les voies d’évaluation tierces.
Organisme notifié : dépend de la voie disponibleLe module A correspond au contrôle interne : documentation technique, déclaration UE de conformité, marquage CE. Aucun auditeur externe n'intervient.
Le module B+C répartit le travail : un organisme notifié examine un spécimen type et délivre un certificat (module B) ; le fabricant s'assure ensuite que toute la production est conforme à ce type (module C).
Le module H remplace l'approche produit par produit par un audit du système de gestion de la qualité du fabricant. Il convient mieux aux fabricants qui disposent d'un large portefeuille de produits.
Pour les produits critiques, la certification n'est pas un ajout au module B+C ou au module H. C'est la voie critique lorsque les conditions de certification sont réunies ; sinon, le produit utilise les voies d’évaluation tierces.
Classer les produits qui relèvent de plusieurs catégories
Tous les produits ne rentrent pas proprement dans une seule case. Voici les cas limites les plus fréquents.
Produits multifonctions
Règle : concentrez-vous sur la fonctionnalité principale du produit. Un produit dont la fonctionnalité principale correspond à une catégorie de l'la liste des produits importants est important. Mais l'intégration d'un composant de classe I dans un produit hôte ne suffit pas, à elle seule, à rendre cet hôte important.
Exemple : un hub domotique qui comprend :
- Commande d'automatisation de base (par défaut)
- Fonctionnalité VPN (important classe I)
- Intégration d'une caméra de sécurité (important classe I)
Classification : important classe I si la fonctionnalité VPN ou caméra de sécurité fait partie de la fonctionnalité principale du produit.
Composants intégrés
Règle : déterminez si les composants liés à la sécurité sont mis sur le marché séparément ou s'ils confèrent au produit hôte la fonctionnalité principale d'une catégorie de l'la liste des produits importants.
Exemple : un appareil grand public contenant :
- Microcontrôleur à usage général → par défaut
- Microcontrôleur « doté de fonctionnalités liées à la sécurité » → important classe I
Question clé : le microcontrôleur remplit-il des fonctions de sécurité (chiffrement, authentification, démarrage sécurisé) ?
Considérations liées à l'usage prévu
Plusieurs catégories listées précisent l'usage prévu ou le contexte du produit, par exemple les points visant les « jouets connectés couverts par la directive 2009/48/CE » ou les produits portables de surveillance de la santé qui renvoient aux règlements 2017/745 et 2017/746.
Si votre produit pourrait être utilisé dans ces contextes sans y être spécifiquement destiné, la classification peut ne pas s'appliquer. Documentez clairement l'usage prévu.
Systèmes d'exploitation
Les systèmes d'exploitation figurent à l'liste important classe I. La question pratique est de savoir si le produit mis sur le marché est un système d'exploitation, ou si le firmware fait seulement partie d'un produit plus large dont la fonctionnalité principale est autre :
| Type de système d'exploitation | Classification |
|---|---|
| Système d'exploitation mis sur le marché comme produit | Important classe I |
| Firmware dans un produit plus large | Classer le produit plus large selon sa fonctionnalité principale |
Exemple : une distribution Linux personnalisée vendue comme système d'exploitation est important classe I. Le firmware dans un simple capteur connecté peut laisser le capteur en catégorie par défaut s'il n'a aucune fonctionnalité principale relevant de l'la liste des produits importants ou de l'la liste des produits critiques.
Logiciel et matériel
La classification tient compte du produit tel qu'il est mis sur le marché :
- Logiciel autonome : classé selon sa fonction logicielle
- Matériel avec logiciel intégré : classé selon la fonctionnalité combinée
- Composant logiciel vendu séparément : classé indépendamment
Orientations sectorielles
De nombreux appareils IoT sont par défaut sauf si leur fonctionnalité principale correspond à une catégorie listée.
- Fonctionnalité VPN : important classe I
- Appareils de sécurité domotique : important classe I
- Fonctions de sécurité résistantes aux manipulations : important classe II
La plupart des logiciels sont par défaut sauf si le produit fournit lui-même une fonction listée.
- Navigateurs, gestionnaires de mots de passe, anti-malware : important classe I
- Pare-feu et IDS/IPS : important classe II
- Systèmes d'exploitation : important classe I
La classification dépend de la fonction de sécurité et de la façon dont le composant est mis sur le marché.
- Vérifier les fonctions de sécurité dans les processeurs et microcontrôleurs
- Vérifier si le composant est vendu séparément
- Vérifier si la fonction de sécurité est principale pour le produit
Les produits couverts par le MDR ou l'IVDR sont exclus du champ du CRA. Un logiciel compagnon ou des fonctions non médicales peuvent nécessiter une analyse CRA séparée.
Erreurs de classification fréquentes
Important : la classification dépend de la fonction du produit, pas du secteur de marché, de la taille de l'entreprise ou de la complexité du produit. Vérifiez toujours les listes de l'la liste des produits importants et de l'la liste des produits critiques.
Une serrure connectée vendue aux particuliers peut rester important classe I, car la classification suit la fonction et non le marché cible.
L'utilisation professionnelle ou industrielle ne baisse pas le niveau. La classification dépend toujours du champ CRA et des listes de fonctionnalités principales de l'la liste des produits importants ou de l'la liste des produits critiques.
La taille et la complexité ne déterminent pas la classification. Un petit microcontrôleur de sécurité peut être important classe I, tandis qu'un produit complexe sans fonctions listées peut être par défaut.
ISO 27001 est une norme organisationnelle de gestion de la sécurité. La classification et l'évaluation de la conformité CRA restent propres au produit.
Liste de contrôle de classification des produits
- Le produit comporte des éléments numériques et une connexion de données directe ou indirecte
- Le produit sera mis sur le marché de l'UE
- Le produit n’est pas couvert par une exclusion sectorielle ou de sécurité
- Dispositif matériel avec boîtier de sécurité
- Passerelle pour compteur intelligent ou autre dispositif de sécurité avancée
- Carte à puce ou dispositif similaire, y compris élément sécurisé
Toute correspondance signifie critique.
- Hyperviseur ou système d'exécution de conteneurs
- Pare-feu, système de détection ou de prévention des intrusions
- Microprocesseur ou microcontrôleur résistant aux manipulations
Toute correspondance signifie important classe II.
- Examiner la liste complète des 19 catégories
- Examiner les implications multifonctions
- Vérifier la fonctionnalité liée à la sécurité dans les composants
Toute catégorie listée signifie important classe I.
- Le produit est dans le champ CRA
- Aucune correspondance de fonctionnalité principale avec l'la liste des produits importants ou l'la liste des produits critiques
- La justification de classification est documentée
Aucune correspondance avec une catégorie listée signifie par défaut.
- Module A pour les produits par défaut, ou classe I avec couverture complète par les normes, spécifications ou schémas
- Module B+C ou H pour la classe I sans couverture complète, la classe II et les voies de repli pour les produits critiques
- Voie de certification pour les produits critiques lorsque les conditions de certification sont réunies
Questions fréquentes
Un routeur domestique connecté relève-t-il de la classe importante I ou de la catégorie par défaut ?
Important classe I est la classification probable. Les routeurs destinés à la connexion à internet figurent à l'liste important classe I, point 12. Le contrôle interne reste disponible uniquement si les normes harmonisées, spécifications communes ou schémas de certification pertinents sont pleinement appliqués ; sinon, utilisez le module B+C ou le module H. Voir les voies d'évaluation de la conformité CRA.
Le CRA s'applique-t-il aux produits SaaS sans matériel physique ?
Cela dépend de la qualification du logiciel comme produit comportant des éléments numériques dans le champ du CRA. Une solution de traitement de données à distance est couverte lorsqu'elle est conçue par le fabricant, ou sous sa responsabilité, et qu'elle est nécessaire à un produit comportant des éléments numériques pour exécuter une fonction. Le champ exige aussi une connexion de données logique ou physique, directe ou indirecte, à un dispositif ou à un réseau.
Si mon produit cumule des fonctions par défaut et classe I, quelle catégorie s'applique ?
Le niveau supérieur l'emporte lorsque la fonction à risque plus élevé est la fonctionnalité principale du produit. Un produit dont la fonctionnalité principale correspond aux catégories de produits importants listées prend le niveau important. Mais la simple intégration d'un composant de classe I dans un produit hôte ne suffit pas, à elle seule, à faire passer ce produit hôte aux voies de conformité des produits importants. Documentez pourquoi la fonction listée est, ou n'est pas, principale pour le produit mis sur le marché.
Une certification ISO 27001 influe-t-elle sur la classification CRA du produit ?
Non. La classification CRA est déterminée par la fonctionnalité principale du produit au regard de l'la liste des produits importants et de l'la liste des produits critiques. ISO 27001 traite de la gestion organisationnelle de la sécurité de l'information ; elle ne change pas la qualification d'un produit comme par défaut, important classe I, important classe II ou critique au titre du CRA. Voir CRA et ISO 27001.
Quand la classification CRA d'un produit doit-elle être déterminée ?
Déterminez la classification avant la mise sur le marché de l'UE. La classification fixe la voie d'évaluation de la conformité qui soutient la déclaration UE de conformité et le marquage CE. Les fabricants doivent achever l'évaluation de la conformité avant de mettre le produit à disposition comme conforme. Voir le calendrier de mise en œuvre du CRA.
Où trouver un organisme notifié pour l'évaluation de la conformité CRA ?
Utilisez NANDO comme registre à jour des organismes notifiés désignés. Les désignations propres au CRA sont encore en cours de publication ; vérifiez donc directement les organismes désignés au titre du Règlement (UE) 2024/2847. Les produits importants de classe I nécessitent un organisme notifié uniquement lorsque le fabricant ne peut pas s'appuyer pleinement sur les normes harmonisées, spécifications communes ou schémas de certification pertinents.