Votre voie d'évaluation de la conformité CRA détermine le coût, le calendrier et les dépendances externes. Choisissez mal et vous perdrez des mois et des milliers d'euros. Choisissez juste et vous aurez un chemin clair vers le marquage CE.
Ce guide vous aide à sélectionner le bon module d'évaluation de la conformité et à comprendre ce que chacun implique.
Résumé
- Module A (auto-évaluation) : disponible pour les produits Default et pour Important Class I uniquement lorsque les normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité pertinents sont pleinement appliqués
- Module B+C (tiers) : obligatoire pour Important Class II, optionnel pour les autres
- Module H (assurance complète de la qualité) : alternative au B+C pour les organisations disposant de plusieurs produits
- La classification du produit détermine les options disponibles
- Différence de coût : Module A (~5 000-20 000 EUR en interne), B+C (~30 000-100 000 EUR+), H (~50 000 EUR+ mise en place + continu)
Sources : Article 13(13) du CRA (durée de conservation) ; base de données NANDO, registre officiel des organismes notifiés de l'UE (état des désignations) ; chiffres mentionnés dans ce guide. Le chiffre « ~90 % » des produits Default est une estimation fondée sur l'étroitesse des Annexe III/Annexe IV, et non une valeur établie par le CRA.
Aperçu de l'évaluation de la conformité
L'évaluation de la conformité est la manière dont vous démontrez que votre produit satisfait aux exigences du CRA. La déclaration UE de conformité (DoC) que vous signez déclare que votre produit est conforme, mais vous devez disposer des preuves correspondantes.
Le CRA propose trois modules d'évaluation de la conformité. L'arbre de décision ci-dessus associe chaque catégorie de produit à ses voies autorisées. Le Module A est une auto-évaluation du fabricant. Le Module B+C combine un examen UE de type par un organisme notifié (B) avec une phase de conformité à la production que vous gérez vous-même (C). Le Module H est une voie unique dans laquelle un organisme notifié approuve votre système de management de la qualité et en assure la surveillance continue.
Quand l'auto-évaluation Module A est-elle possible ?
Auto-évaluation. Vous évaluez vous-même votre produit au regard des exigences du CRA.
Conditions d'accès au Module A
- Produits Default : toujours disponible
- Important Class I : uniquement si les normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité pertinents au niveau d'assurance au moins substantiel sont pleinement appliqués
Signification d'une couverture complète
Pour l'auto-évaluation Important Class I, le Module A reste disponible uniquement lorsque les normes harmonisées, spécifications communes ou schémas européens de certification de cybersécurité pertinents au niveau d'assurance au moins substantiel :
- couvrent les exigences essentielles de l'Annexe I
- sont disponibles pour le produit et la voie
- sont appliqués dans leur intégralité, pas partiellement
Lorsque ces normes, spécifications ou schémas n'existent pas encore ou ne sont pas pleinement appliqués, utilisez le Module B+C ou le Module H.
Les normes harmonisées pour le CRA sont encore en cours d'élaboration. Suivez les publications au JOUE.
Processus Module A
| Phase | À faire | Pourquoi les équipes CRA s'en soucient | Repère |
|---|---|---|---|
| Conception | Appliquer la sécurité dès la conception, réaliser l'évaluation des risques, documenter l'architecture de sécurité et appliquer les normes harmonisées pertinentes. | C'est là que la base probatoire est créée, au lieu d'être reconstruite à la fin. | Exigences de l'Annexe I. |
| Documentation | Créer le dossier technique avec description du produit, résultats de risque, documentation de conception, normes appliquées, résultats d'essais et SBOM. Préparer la déclaration UE de conformité. | Le Module A exige aussi des preuves. Auto-évaluation ne signifie pas absence de dossier. | Dossier Annexe VII. |
| Contrôles de production | Veiller à ce que la production reste conforme, documenter les contrôles qualité et vérifier les unités lorsque nécessaire. | La déclaration signée doit rester vraie pour la série mise sur le marché. | Production en série. |
| Finalisation | Signer la déclaration UE de conformité, apposer le marquage CE et conserver la documentation pendant au moins 10 ans, ou la période d'assistance si elle est plus longue. | C'est le passage de la création des preuves à la mise sur le marché. | DoC, CE, conservation. |
Exigences documentaires du Module A
Votre dossier technique au titre du Module A (Annexe VII) doit couvrir ces six domaines.
| Domaine | Ce que le dossier doit contenir | Pourquoi les équipes CRA s'en soucient | Repère |
|---|---|---|---|
| Description générale | Identification du produit, finalité prévue, versions couvertes et instructions utilisateur fournies. | Les autorités doivent voir exactement quel produit et quelle version les preuves couvrent. | Périmètre produit. |
| Évaluation des risques | Risques de cybersécurité identifiés, menaces et scénarios d'attaque considérés, et décisions de traitement du risque. | C'est la logique qui relie le modèle de menace aux contrôles. | Preuves de risque. |
| Documentation de conception | Architecture système, mesures de sécurité mises en œuvre et manière dont chaque exigence est satisfaite. | Le dossier doit montrer comment la conception du produit satisfait les exigences de cybersécurité. | Annexe I correspondance. |
| Normes et essais | Normes, spécifications ou schémas appliqués avec détails de version, plans et résultats d'essai, et preuve d'application complète pour Important Class I. | Une couverture partielle peut changer la route de conformité disponible. | Preuves de voie. |
| SBOM | Composants inclus et vulnérabilités connues au moment de l'évaluation. | Le SBOM relie l'inventaire des composants au traitement des vulnérabilités. | Inventaire des composants. |
| Production | Comment la production maintient la conformité et quels contrôles qualité s'appliquent. | La conformité doit survivre au prototype évalué. | Contrôles de série. |
Elles s'appuient sur des régimes de marquage CE analogues (Directive équipements radioélectriques, Règlement relatif aux dispositifs médicaux) et sur les premières grilles tarifaires de consultants CRA. Il ne s'agit pas d'une étude de marché spécifique au CRA. Aucun organisme notifié n'a publié de grille tarifaire CRA : NANDO ne recense aucune désignation CRA en juin 2026. Utilisez ces chiffres à des fins de planification et confirmez-les sur la base de devis réels une fois les désignations publiées.
Coûts Module A
| Élément de coût | Fourchette typique | Notes |
|---|---|---|
| Évaluation des risques | 5 000-15 000 EUR | Interne ou consultant |
| Documentation technique | 5 000-20 000 EUR | Selon la complexité |
| Tests | 2 000-10 000 EUR | Interne ou laboratoire |
| Outillage SBOM | 0-5 000 EUR | Outils peut-être déjà disponibles |
| Temps du personnel interne | Variable | Souvent le poste le plus important |
Fourchette totale typique : 15 000-50 000 EUR (coûts internes)
Calendrier Module A
| Phase | Durée |
|---|---|
| Évaluation des risques | 2-4 semaines |
| Documentation | 4-8 semaines |
| Tests | 2-4 semaines |
| Revue et finalisation | 1-2 semaines |
Calendrier total typique : 2-4 mois
Quand le CRA impose-t-il un organisme notifié ?
Évaluation par tierce partie. Un organisme notifié examine la conception de votre produit.
Cas où un organisme notifié est requis
- Important Class II : utilisez le Module B+C, le Module H ou un schéma européen de certification de cybersécurité approuvé au niveau d'assurance « substantiel ».
- Produits critiques : utilisez la voie de certification européenne dès que la Commission l'active pour cette catégorie de produits. D'ici là, utilisez les mêmes voies tierces de repli : Module B+C, Module H ou schéma approuvé.
- Important Class I : utilisez le Module B+C ou le Module H uniquement lorsque les normes harmonisées, spécifications communes ou schémas de certification pertinents sont indisponibles ou ne sont pas appliqués intégralement.
Module B : examen UE de type
Un organisme notifié examine un échantillon représentatif (type) de votre produit et délivre un certificat.
| Élément | Détails |
|---|---|
| Candidature | Sélectionner un organisme notifié et soumettre votre dossier avec des échantillons du produit, la documentation technique et le formulaire de demande. Acquitter les frais initiaux. |
| Examen | L'organisme notifié examine la documentation, teste l'échantillon du produit, vérifie la conformité aux exigences essentielles de cybersécurité et peut demander des informations ou tests complémentaires. |
| Décision | Si le produit est conforme, l'organisme notifié délivre le Certificat d'examen UE de type. En cas de non-conformité, vous remédiez aux déficiences et soumettez à nouveau. |
| Certificat | Valable pour le type évalué, avec les conditions éventuelles indiquées sur le certificat. Toute modification susceptible d'affecter la conformité exige un suivi du certificat avec l'organisme notifié. Le CRA ne prescrit pas d'intervalle fixe de réexamen. |
Module C : conformité au type
Après le Module B, vous vérifiez que la production est conforme au type certifié.
| Élément | Détails |
|---|---|
| Contrôles de production | Veiller à ce que chaque unité soit conforme au type certifié, documenter les processus de production et maintenir les contrôles qualité. |
| Déclaration | Référencer le Certificat d'examen UE de type, signer la déclaration UE de conformité et apposer le marquage CE. |
| Suivi continu | Maintenir la conformité au type certifié, signaler à l'organisme notifié les modifications susceptibles d'affecter le type et recertifier en cas de changements substantiels. |
Sélection de l'organisme notifié
Critères à prendre en compte lors du choix d'un organisme notifié :
| Critère | Considération |
|---|---|
| Périmètre | L'organisme est-il désigné pour le CRA et votre type de produit ? |
| Capacité | Dispose-t-il de disponibilités ? (début du CRA = capacité limitée) |
| Localisation | Logistique simplifiée s'il est proche |
| Expérience | Connaissance de votre type de produit |
| Coût | Les frais varient sensiblement |
| Délai | Dans quel délai peut-il programmer l'examen ? |
Trouver des organismes notifiés : consultez la base de données NANDO (registre officiel des organismes notifiés de l'UE) une fois les désignations CRA publiées.
Les frais des organismes notifiés se situent généralement entre 30 000 et 100 000 EUR ou plus, et les délais d'attente peuvent atteindre 4 à 16 semaines. Prévoyez votre budget et planifiez en conséquence.
Coûts Module B+C
| Élément de coût | Fourchette typique | Notes |
|---|---|---|
| Frais de dossier ON | 2 000-5 000 EUR | Non remboursables |
| Frais d'examen ON | 15 000-50 000 EUR | Selon la complexité |
| Préparation des échantillons | 1 000-5 000 EUR | Échantillons pour les tests |
| Documentation technique | 10 000-30 000 EUR | Doit satisfaire aux exigences de l'ON |
| Déplacements/logistique | 1 000-5 000 EUR | Si visites sur site nécessaires |
| Remédiation (si nécessaire) | Variable | Nouveaux tests, corrections documentaires |
Fourchette totale typique : 30 000-100 000 EUR+
Calendrier Module B+C
| Phase | Durée |
|---|---|
| Sélection de l'ON et candidature | 2-4 semaines |
| Préparation de la documentation | 4-8 semaines |
| Délai d'attente ON | 4-16 semaines (très variable) |
| Examen | 4-8 semaines |
| Délivrance du certificat | 2-4 semaines |
Calendrier total typique : 4-10 mois
Module H : assurance complète de la qualité
Approche système de management de la qualité (SMQ). Un organisme notifié approuve votre SMQ pour la conception, la production et les tests.
Quand le Module H est pertinent
Le Module H est avantageux lorsque :
- vous disposez de plusieurs produits nécessitant une évaluation par tierce partie
- vous avez déjà un SMQ mature (ISO 9001, ISO 27001)
- vous préférez une relation continue avec un organisme notifié plutôt qu'un examen par produit
- vous publiez des mises à jour fréquentes
Processus Module H
| Élément | Détails |
|---|---|
| Établissement du SMQ | Concevoir un système qualité couvrant votre processus de conception, les contrôles de production, les procédures de test et la gestion documentaire, en alignement avec les exigences du CRA. |
| Évaluation par l'organisme notifié | Soumettre la documentation SMQ, accueillir l'audit de l'organisme notifié, vérifier l'alignement CRA et recevoir le certificat d'approbation du SMQ. |
| Conception du produit (par produit) | Suivre le SMQ approuvé pour la conception, réaliser un examen de conception, documenter la conformité et permettre les audits de l'organisme notifié sur le processus de conception. |
| Production | Suivre le SMQ approuvé pour la production, documenter la conformité et accepter les audits de surveillance de l'organisme notifié. |
| Déclaration (par produit) | Signer la déclaration UE de conformité, référencer le certificat SMQ et apposer le marquage CE. |
| Suivi continu | Maintenir le SMQ et se soumettre aux audits périodiques de surveillance par l'organisme notifié. Le CRA ne prescrit pas de fréquence de surveillance ni de cycle de recertification ; la cadence est fixée dans le plan d'audit. |
Exigences SMQ du Module H
Votre système de management de la qualité doit couvrir quatre domaines en parallèle. Une lacune dans l'un d'eux bloque la certification.
| Élément | Détails |
|---|---|
| Qualité de la conception |
|
| Qualité de la production |
|
| Qualité de la documentation |
|
| Intégration de la cybersécurité |
|
Coûts Module H
| Élément de coût | Fourchette typique | Notes |
|---|---|---|
| Développement/mise à niveau du SMQ | 20 000-50 000 EUR | Si démarrage à zéro |
| Audit initial de l'organisme notifié | 15 000-30 000 EUR | Certification SMQ |
| Surveillance annuelle | 5 000-15 000 EUR | Continu |
| Revue de conception par produit | 5 000-15 000 EUR | Selon la complexité |
Mise en place initiale : 40 000-100 000 EUR Coût annuel continu : 10 000-30 000 EUR
Module H vs B+C : critères de décision
| Critère | Module B+C | Module H |
|---|---|---|
| Nombre de produits | 1-3 produits | 4+ produits |
| SMQ existant | Pas de SMQ mature | SMQ mature disponible |
| Fréquence des mises à jour | Mises à jour peu fréquentes | Versions fréquentes |
| Taille de l'organisation | Petite/moyenne | Moyenne/grande |
| Coût initial | Plus bas | Plus élevé |
| Coût par produit | Plus élevé | Plus bas |
| Coût continu | Plus bas | Plus élevé (surveillance) |
Le Module H devient rentable à partir de 4 produits. Si vous disposez d'un SMQ mature (ISO 9001, ISO 27001), c'est souvent le meilleur investissement sur le long terme.
Règle générale : le Module H devient rentable à partir de 4 produits ou lorsque des re-examens fréquents seraient nécessaires.
Cadre de décision
Étape 1 : déterminer la classification du produit
Utilisez le guide de classification des produits pour déterminer : Default, Important Class I, Important Class II ou Critique.
Étape 2 : identifier les options disponibles
L'arbre de décision en tête de ce guide présente la correspondance complète. Le tableau ci-dessous résume les mêmes voies sous forme textuelle.
| Catégorie | Modules disponibles | Voie recommandée |
|---|---|---|
| Default | A, B+C, H | Module A sauf si une validation par tierce partie est souhaitée |
| Important Class I, normes, spécifications ou schéma pertinents pleinement appliqués | A, B+C, H | Module A avec couverture complète |
| Important Class I, couverture absente ou partielle | B+C, H | Module B+C sauf produits multiples |
| Important Class II | B+C, H, ou un schéma de certification applicable au niveau d'assurance au moins substantiel | Module B+C sauf produits multiples ou SMQ mature |
| Critique | EUCC ou autre voie européenne de certification obligatoire ou B+C / H / schéma approuvé en repli | Dépend de l'activation de la voie de certification par la Commission pour cette catégorie |
Étape 3 : examiner les facteurs opérationnels
L'étape 3 vous aide uniquement à choisir parmi les modules que l'étape 2 a laissés disponibles. Les règles de voie rendent le Module A indisponible pour Important Class I lorsque les normes, spécifications ou schémas pertinents sont absents ou seulement partiellement appliqués, pour Important Class II et pour les produits Critiques. Les deux tableaux ci-dessous se répartissent selon cette contrainte afin que chaque ligne corresponde à une option réellement accessible selon votre situation.
Lorsque les Modules A, B+C et H sont tous disponibles
S'applique aux produits Default et aux produits Important Class I lorsque les normes, spécifications ou schémas pertinents sont pleinement appliqués.
| Critère | Module A | Module B+C | Module H |
|---|---|---|---|
| Budget contraint | ✓ | ||
| Délai contraint | ✓ | ||
| Validation externe requise | ✓ | ✓ | |
| Produit unique | ✓ | ✓ | |
| Nombreux produits | ✓ | ||
| Mises à jour fréquentes | ✓ | ||
| Pas de SMQ existant | ✓ | ✓ | |
| SMQ mature (ISO 9001, ISO 27001) | ✓ | ||
| Le client exige un organisme notifié | ✓ | ✓ |
Lorsque seuls les Modules B+C et H sont disponibles
S'applique aux produits Important Class I lorsque les normes, spécifications ou schémas pertinents sont absents ou seulement partiellement appliqués, Important Class II et Critiques. Le Module A n'est pas une option légale pour ces catégories, quelles que soient les contraintes budgétaires ou de calendrier.
| Critère | Module B+C | Module H |
|---|---|---|
| Produit unique | ✓ | |
| Nombreux produits | ✓ | |
| Mises à jour fréquentes | ✓ | |
| Pas de SMQ existant | ✓ | |
| SMQ mature (ISO 9001, ISO 27001) | ✓ |
Ce deuxième tableau fait écho au tableau « Module H vs B+C : critères de décision » plus haut dans ce guide. Lorsque les deux se recoupent, traitez-les comme la même décision vue sous deux angles : le tableau précédent est pondéré par les coûts, celui-ci par l'adéquation opérationnelle.
Étape 4 : calculer les coûts
Scénario : 5 produits Important Class II, sans SMQ existant, horizon 5 ans avec 2 mises à jour par produit.
| Poste de coût | Module B+C | Module H |
|---|---|---|
| Mise en place initiale Mise en place SMQ et certification initiale ON | s/o | 75 000 EUR 50 000 EUR SMQ + 25 000 EUR ON |
| Évaluation par produit (× 5) Examen de type UE (B+C) ou revue de conception (H) | 250 000 EUR 50 000 EUR × 5 | 50 000 EUR 10 000 EUR × 5 |
| Évaluation par mise à jour (× 10) Re-examen complet (B+C) ou revue delta (H) | 250 000 EUR 25 000 EUR × 10 | 50 000 EUR 5 000 EUR × 10 |
| Surveillance annuelle (× 5 ans) | s/o | 60 000 EUR 12 000 EUR × 5 |
| Total sur 5 ans | 500 000 EUR | 235 000 EUR |
Le Module H permet d'économiser 265 000 EUR sur 5 ans dans ce scénario. Le point de bascule dépend du nombre de produits et de la fréquence des mises à jour. Les montants par produit et par mise à jour sont illustratifs (voir la note sur les estimations à proximité du tableau des coûts Module A). Calculez à partir de vos propres devis avant de vous engager sur un budget.
Déclaration UE de conformité
Quel que soit le module retenu, vous devez émettre une déclaration UE de conformité.
Contenu obligatoire de la DoC
La déclaration UE de conformité pour le Règlement sur la cyberrésilience est le Règlement (UE) 2024/2847. Toute DoC doit comporter les huit rubriques ci-dessous, suivies du bloc signataire.
| Élément | Détails |
|---|---|
| Identification du produit | Nom, type, lot et numéro(s) de série du produit, avec un niveau de détail suffisant pour la traçabilité. |
| Nom et adresse du fabricant | Entité juridique responsable de la déclaration. Coordonnées du mandataire autorisé, le cas échéant. |
| Déclaration de responsabilité | « La présente déclaration de conformité est établie sous la seule responsabilité du fournisseur. » |
| Objet de la déclaration | Description du produit suffisante pour la traçabilité, avec photographie ou dessin si le produit est physique. |
| Législation de l'Union applicable | Lister chaque règlement auquel le produit est conforme, en commençant par le Règlement (UE) 2024/2847 (Règlement sur la cyberrésilience) et en ajoutant toute autre législation horizontale (RED, CEM, Machines, etc.) applicable. |
| Normes harmonisées ou spécifications appliquées | Lister chaque norme avec son numéro de version. Si aucune norme harmonisée ne couvre une partie de l'Annexe I, référencer la spécification ou la spécification commune utilisée à la place. |
| Bloc organisme notifié (Module B+C ou H) | Nom de l'organisme notifié, numéro d'identification à quatre chiffres, référence du certificat, module réalisé et numéro du certificat délivré. Omettre entièrement ce champ pour le Module A. |
| Informations complémentaires | Date de fin de la période d'assistance, point de contact pour les signalements de vulnérabilités et toute autre information exigée par le CRA ou la législation applicable. |
Clore la DoC avec le nom et la fonction du signataire, le lieu et la date d'émission, ainsi qu'une signature. Une DoC sans signature datée d'une personne identifiée par son nom et sa fonction n'est pas une DoC valide.
Marquage CE
Après l'évaluation de la conformité, apposez le marquage CE. La forme visuelle du marquage est fixée. Ce qui change, c'est la présence ou non d'un numéro d'organisme notifié à quatre chiffres.
Exigences du marquage CE
| Sujet | Ce qui change | Pourquoi les équipes CRA s'en soucient | Repère |
|---|---|---|---|
| Visibilité | Visible, lisible et indélébile une fois apposé. | Un marquage illisible ou invérifiable peut faire échouer le contrôle produit. | Marquage CE lisible. |
| Hauteur minimale | Minimum général de 5 mm, mesuré du bas au haut du glyphe C. L'Article 30(2) autorise un marquage plus petit lorsque la nature du produit le justifie. | S'applique quelle que soit la route de conformité, mais les petits produits peuvent porter un marquage inférieur à 5 mm au titre de l'Article 30(2). | Minimum général de 5 mm ; dérogation de l'Article 30(2). |
| Proportions | Utiliser les proportions CE fixes. | Ne pas redessiner, étirer ni adapter le marquage pour l'emballage ou l'interface. | Regulation (EC) No 765/2008 Annex II. |
| Emplacement | Sur le produit. Sur l'emballage seulement si le marquage du produit n'est pas possible. | Le marquage sur emballage seul est une solution de repli, pas la règle. | Produit d'abord. |
| Numéro ON | Obligatoire à côté du marquage uniquement si le Module H (assurance complète de la qualité) a été utilisé. | Le numéro indique quel organisme notifié est intervenu dans la route évaluée. | CE plus quatre chiffres. |
Positionnement du marquage CE
| Élément | Détails |
|---|---|
| Produit physique |
|
| Logiciel |
|
| Avec organisme notifié |
|
Erreurs courantes
S'auto-évaluer (Module A) alors que votre produit est Important Class II constitue une évaluation de conformité invalide. Le produit ne peut pas être légalement mis sur le marché de l'UE.
Chacune des cinq erreurs ci-dessous a la même anatomie : un raccourci tentant, une conséquence grave et une habitude préventive spécifique.
| Élément | Détails |
|---|---|
| 1 · Auto-évaluation non autorisée | Problème. Choisir le Module A pour un produit Important Class II. Conséquence. Évaluation de conformité invalide. Le produit ne peut pas être légalement mis sur le marché. Prévention. Toujours vérifier la classification du produit avant de choisir la voie d'évaluation. |
| 2 · Application partielle des normes | Problème. Revendiquer le Module A pour Important Class I alors que les normes, spécifications ou schémas pertinents ne sont appliqués que partiellement. Conséquence. Le Module A n'est pas disponible sans couverture complète. Prévention. Si vous ne pouvez pas appliquer intégralement la voie pertinente, utilisez le Module B+C ou H. |
| 3 · Documentation insuffisante | Problème. Le dossier technique ne contient pas les éléments requis pour le module choisi. Conséquence. Impossibilité de démontrer la conformité. La DoC n'est pas valide. Prévention. Utilisez des listes de contrôle. Examinez les exigences documentaires de votre module spécifique avant de signer. |
| 4 · Découverte tardive de l'organisme notifié | Problème. Réaliser tardivement que le produit nécessite une évaluation par un organisme notifié. Conséquence. Retard de mise sur le marché. Les délais d'attente d'un organisme notifié peuvent s'étaler sur plusieurs mois. Prévention. Classifier les produits tôt. Contacter les organismes notifiés de façon proactive. |
| 5 · DoC signée avant l'évaluation | Problème. Signer la DoC avant d'avoir achevé l'évaluation de la conformité. Conséquence. Fausse déclaration. Responsabilité juridique. Prévention. La DoC est l'étape finale, après l'achèvement de toutes les activités d'évaluation. |
Liste de contrôle de l'évaluation de la conformité
Commencez par la carte de pré-évaluation. Puis remplissez uniquement les cartes correspondant au module utilisé par votre produit. Chaque produit se termine sur la carte de finalisation.
| Élément | Détails |
|---|---|
| Pré-évaluation |
|
| Module A · Auto-évaluation |
|
| Module B · Examen UE de type |
|
| Module C · Conformité au type |
|
| Module H · Assurance complète |
|
| Finalisation · Tous modules |
|
Foire aux questions
Un produit de catégorie Default peut-il toujours recourir à l'auto-évaluation Module A ?
Oui. Les produits Default peuvent toujours utiliser le Module A. Vous réalisez vous-même l'évaluation, la documentez dans le dossier technique, signez la déclaration UE de conformité et apposez le marquage CE. Aucun organisme notifié n'est impliqué. Le chiffre « ~90 % » est une estimation fondée sur l'étroitesse du champ Important et Critique, et non une valeur établie par le CRA.
Un organisme notifié est-il obligatoire pour les produits Important Class I ?
Uniquement lorsque vous ne pouvez pas appliquer intégralement les normes harmonisées pertinentes, les spécifications communes ou un schéma européen de certification de cybersécurité au niveau d'assurance « substantiel ». Si l'une de ces voies couvre les exigences essentielles de cybersécurité de votre type de produit et que vous l'appliquez dans son intégralité, l'auto-évaluation Module A reste accessible. À défaut de voie applicable, ou en cas d'application partielle, vous devez recourir au Module B+C ou H.
Des organismes notifiés sont-ils déjà désignés pour le CRA ?
En juin 2026, zéro organisme notifié n'a été désigné pour le CRA. Les désignations sont publiées dans la base de données NANDO. Les fabricants de produits Important Class II et Critiques ne peuvent donc pas encore finaliser leur évaluation par tierce partie. Prévoyez ce délai dans votre planification.
Que comprend une évaluation de conformité selon le Module B+C ?
Le Module B est l'examen de type produit réalisé par un organisme notifié : il examine votre documentation technique, teste un échantillon représentatif et délivre un Certificat d'examen UE de type. Le Module C est la phase de conformité à la production que vous gérez : chaque unité doit être conforme au type certifié, et la déclaration UE de conformité référence le numéro du certificat.
Les normes harmonisées peuvent-elles remplacer l'intervention d'un organisme notifié ?
Pour les produits Important Class I uniquement. Si vous appliquez intégralement les normes harmonisées, spécifications communes ou schéma européen de certification de cybersécurité pertinents couvrant toutes les exigences essentielles de cybersécurité, vous pouvez recourir au Module A sans organisme notifié. Pour les produits Important Class II, l'évaluation par tierce partie est obligatoire quelle que soit la couverture normative. Les produits Critiques suivent une voie distincte : certification lorsque la Commission l'active, ou repli Module B+C / H / schéma approuvé.
Quel est le coût d'une évaluation de conformité par un organisme notifié ?
Prévoyez entre EUR 30 000 et EUR 100 000 ou plus en frais d'examen ON, plus EUR 2 000 à EUR 5 000 de frais de dossier et EUR 1 000 à EUR 5 000 pour la préparation des échantillons. Les délais d'attente oscillent actuellement entre 4 et 16 semaines ; intégrez ce risque calendaire en plus du coût. (Les chiffres sont des estimations issues de régimes analogues (RED, MDR) et de la tarification des consultants CRA, non des valeurs établies par le RCC.)