Le règlement sur la cyberrésilience (CRA) est la première loi européenne de cybersécurité applicable aux produits. À compter du 11 décembre 2027, tout ce que vous vendez sur le marché de l'Union qui exécute un logiciel ou comporte une puce doit être livré avec une sécurité intégrée, un SBOM, une déclaration UE de conformité et un processus de traitement des vulnérabilités qui s'exécute pendant toute la période d'assistance. Cette page explique ce que la loi exige, à quelle date elle s'applique et ce qui se passe si vous l'ignorez.
Résumé
- Le CRA est en vigueur, mais vous avez du temps. Le règlement (UE) 2024/2847 est entré en vigueur le 10 décembre 2024 et s'applique en intégralité à compter du 11 décembre 2027.
- Le signalement démarre 15 mois plus tôt. À compter du 11 septembre 2026, les fabricants doivent signaler les incidents graves et les vulnérabilités activement exploitées à l'ENISA et à leur CSIRT.
- La conformité produit quatre artefacts. Un SBOM, une déclaration UE de conformité, un dossier technique et un processus documenté de traitement des vulnérabilités. C'est cet ensemble qui définit l'état « prêt CRA ».
- Les sanctions sont réelles. Jusqu'à 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, pour les manquements les plus graves.
- Ce n'est ni le RGPD, ni la NIS2. Le CRA régule la cybersécurité du produit lui-même, et non les données à caractère personnel ni la sécurité opérationnelle des entités essentielles.
- Vos obligations dépendent de votre rôle et de la classe de produit. Fabricant, importateur, distributeur ou intendant de logiciels ouverts ; classe par défaut, important Classe I ou II, ou critique. La page Qui doit se conformer fait le tri étape par étape.
Les quatre nombres qui définissent le CRA : sa date d'application, le démarrage du signalement, l'amende maximale et la période de support minimale pour les mises à jour de sécurité.
Ce que régule le règlement sur la cyberrésilience
Le règlement sur la cyberrésilience, ou CRA, est le règlement (UE) 2024/2847. Il introduit des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques mis sur le marché de l'Union et s'applique aussi bien au matériel qu'au logiciel. Les fabricants doivent démontrer que leurs produits sont conçus et fabriqués de façon sécurisée, les livrer avec un SBOM et une déclaration UE de conformité, et opérer un processus de gestion des vulnérabilités pendant toute la période d'assistance.
Le CRA est également horizontal. Il traverse les catégories de produits plutôt que de se loger dans un seul secteur. Lorsqu'un produit relève déjà d'un régime sectoriel de cybersécurité (dispositifs médicaux, véhicules à moteur, aviation civile, équipements marins ou défense), le CRA exclut la zone de recouvrement de sorte que le même produit ne soit pas régulé deux fois pour le même risque.
En pratique, le CRA fait quatre choses :
- Règles relatives à la mise sur le marché de l'Union des produits comportant des éléments numériques
- Exigences essentielles de cybersécurité pour la conception, le développement et la production
- Traitement des vulnérabilités tant que le produit est pris en charge
- Surveillance du marché et application des règles
Quand le CRA s'applique : les dates clés
- Étape passée
- Application prochaine
- Échéance finale
- Étape écosystème
| Date | Ce qui s'applique |
|---|---|
| 10 décembre 2024 | Le règlement entre en vigueur, 20 jours après sa publication au Journal officiel de l'UE |
| 11 juin 2026 | Les règles sur la notification des organismes d'évaluation de la conformité s'appliquent |
| 11 septembre 2026 | Le signalement commence. Les fabricants doivent signaler les incidents graves et les vulnérabilités activement exploitées, y compris pour les produits déjà sur le marché |
| 11 décembre 2027 | Le règlement s'applique en intégralité à tout produit comportant des éléments numériques mis sur le marché de l'Union |
Les produits mis sur le marché de l'Union avant le 11 décembre 2027 ne relèvent pas du règlement intégral, sauf si, à compter de cette date, ils font l'objet d'une modification substantielle. Le devoir de signalement s'applique toutefois à tous les produits dans le champ qui sont sur le marché à compter du 11 septembre 2026, indépendamment de la date à laquelle ils ont été mis sur le marché.
À quoi ressemble la conformité CRA
Quatre artefacts rendent ensemble un produit conforme au CRA. Lesquels vous incombent dépend de votre rôle et de la classe d'évaluation de la conformité du produit ; voir Qui doit se conformer au CRA.
| Artefact | Réponse en langage clair |
|---|---|
| SBOM | Une liste de ce qui se trouve dans votre produit, en CycloneDX ou SPDX, tenue à jour pendant la période d'assistance. |
| Déclaration UE de conformité | Votre déclaration signée selon laquelle « ce produit respecte les règles », indiquant la voie de conformité utilisée. Une par produit, conservée au moins dix ans, ou la période d'assistance si elle est plus longue. |
| Documentation technique | Le dossier de preuves derrière la déclaration : évaluation des risques, informations de conception et de développement, processus de traitement des vulnérabilités, et preuves de l'évaluation de la conformité. |
| Processus de traitement des vulnérabilités | Comment vous trouvez, corrigez et publiez des mises à jour de sécurité pendant toute la période d'assistance : politique de divulgation, tri, correction, et correctifs gratuits. |
Sanctions et application du CRA
Les amendes administratives du CRA se répartissent en trois tranches. Pour les entreprises, le montant fondé sur le pourcentage du chiffre d'affaires s'applique s'il dépasse le plafond fixe en EUR.
| Tranche | Manquement déclencheur | Amende maximale |
|---|---|---|
| Tranche 1 | Non-respect des exigences essentielles de cybersécurité, ou des obligations du fabricant et de signalement | 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu |
| Tranche 2 | Manquements à d'autres obligations des opérateurs et de conformité : vérifications des importateurs et distributeurs, marquage CE et documentation, coopération avec les autorités et règles applicables aux organismes notifiés | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Tranche 3 | Fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché | 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
Lorsqu'elles fixent l'amende, les autorités de surveillance du marché doivent tenir compte de la nature, de la gravité et de la durée de l'infraction, des récidives et de la taille de l'opérateur, notamment s'il s'agit d'une micro-entreprise, d'une PME ou d'une start-up. Les intendants de logiciels ouverts sont exonérés des amendes des tranches 2 et 3. Au-delà des amendes, les autorités de surveillance du marché peuvent également ordonner des mesures correctives, restreindre les ventes, rappeler des produits non conformes et interdire leur mise à disposition sur le marché de l'Union.
Pour le détail des niveaux d'amende, des rappels et des preuves qu'une autorité peut demander, consultez sanctions et application du CRA.
Ce que le CRA n'est pas
Le CRA voisine plusieurs autres lois européennes qui touchent également à la cybersécurité. Trois confusions courantes :
- Le CRA n'est pas le RGPD. Le RGPD (règlement 2016/679) protège les données à caractère personnel. Le CRA protège la cybersécurité du produit. Un produit peut être pertinent pour le RGPD, pour le CRA, pour les deux ou pour aucun.
- Le CRA n'est pas la NIS2. La NIS2 (directive 2022/2555) régule la cybersécurité opérationnelle des entités essentielles et importantes. Le CRA régule la cybersécurité de la conception et du cycle de vie des produits que ces entités achètent et utilisent.
- Le CRA ne remplace pas les lois sectorielles. Les dispositifs médicaux (MDR, IVDR), les véhicules à moteur (règl. 2019/2144), l'aviation (règl. 2018/1139) et les équipements marins (dir. 2014/90/UE) conservent leurs régimes de cybersécurité ; le CRA les exclut. Le règlement Machines 2023/1230 et la directive sur les équipements radioélectriques se recouvrent avec le CRA de manière étroite, expliquée dans le guide du recouvrement entre le CRA et le règlement Machines.
Foire aux questions
Quand le CRA s'applique-t-il effectivement à mon produit ?
Cela dépend de la date à laquelle le produit est mis sur le marché de l'Union. Le règlement intégral s'applique à tout produit comportant des éléments numériques mis sur le marché à compter du 11 décembre 2027. Les produits mis sur le marché avant cette date ne sont pas rétroactivement dans le champ, sauf s'ils font l'objet d'une modification substantielle après le 11 décembre 2027, auquel cas ils sont considérés comme un nouveau produit.
Que change le 11 septembre 2026, avant l'entrée en vigueur du régime complet ?
Le signalement démarre. À compter de cette date, les fabricants de produits dans le champ doivent signaler les incidents graves et les vulnérabilités activement exploitées à l'ENISA et au CSIRT compétent, même pour les produits déjà sur le marché. Le reste du règlement ne s'applique pas encore, mais l'obligation de signalement, elle, s'applique.
Le CRA équivaut-il au RGPD ou à la NIS2 ?
Non. Le RGPD protège les données à caractère personnel. La NIS2 régule la sécurité opérationnelle des entités essentielles et importantes (opérateurs énergétiques, hôpitaux, fournisseurs de cloud, etc.). Le CRA régule la cybersécurité du produit lui-même : la manière dont il est conçu, les vulnérabilités qu'il embarque et la manière dont le fabricant traite les vulnérabilités pendant la période d'assistance. Une même société peut être soumise aux trois en même temps, mais les obligations portent sur des objets différents : les données, les organisations et les produits.
Le CRA s'applique-t-il aux logiciels libres et open source ?
Uniquement lorsqu'ils sont fournis dans le cadre d'une activité commerciale. Les projets open source purement non commerciaux sont hors du champ. Lorsqu'un projet est monétisé (support payant, distribution commerciale, intégré à un produit mis sur le marché), le CRA s'applique. Un régime allégé est prévu pour les intendants de logiciels ouverts (fondations et entités similaires qui maintiennent des projets open source de manière soutenue), assorti de certains devoirs de gouvernance mais pas des obligations complètes du fabricant, et exonéré des amendes des tranches 2 et 3.
Qu'advient-il des produits déjà sur le marché au 11 décembre 2027 ?
Ils conservent leur accès au marché et ne sont pas rétroactivement soumis à l'évaluation de la conformité CRA. Un produit préexistant ne bascule dans le règlement intégral que si, après le 11 décembre 2027, il fait l'objet d'une modification substantielle, auquel cas il est traité comme un nouveau produit mis sur le marché. Le devoir de signalement s'applique toutefois à ces produits hérités à compter du 11 septembre 2026, et les mises à jour de sécurité dues au titre de tout engagement de support existant continuent.
Qui applique le CRA et d'où viennent les amendes ?
Chaque État membre désigne une ou plusieurs autorités de surveillance du marché, coordonnées via le groupe de coopération administrative (ADCO) et appuyées par l'ENISA. Les autorités peuvent demander la documentation technique, exiger des mesures correctives, restreindre ou rappeler des produits non conformes et imposer des amendes. La Commission peut agir pour les produits ayant un impact à l'échelle de l'Union. L'ENISA exploite la plateforme unique de signalement des incidents graves et vulnérabilités exploitées.