Le règlement sur la cyberrésilience (CRA) est la première loi européenne de cybersécurité applicable aux produits. À compter du 11 décembre 2027, tout ce que vous vendez sur le marché de l'Union qui exécute un logiciel ou comporte une puce doit être livré avec une sécurité intégrée, un SBOM, une déclaration UE de conformité et un processus de traitement des vulnérabilités qui s'exécute pendant toute la période de support. Cette page explique ce que la loi exige, à quelle date elle s'applique et ce qui se passe si vous l'ignorez.
Résumé
- Le CRA est en vigueur, mais vous avez du temps. Le règlement (UE) 2024/2847 est entré en vigueur le 10 décembre 2024 et s'applique en intégralité à compter du 11 décembre 2027 (article 71, paragraphe 2).
- Le signalement démarre 15 mois plus tôt. À compter du 11 septembre 2026, les fabricants doivent signaler les incidents graves et les vulnérabilités activement exploitées à l'ENISA et à leur CSIRT (article 14).
- La conformité produit quatre artefacts. Un SBOM, une déclaration UE de conformité, un dossier technique au titre de l'annexe VII et un processus documenté de traitement des vulnérabilités. C'est cet ensemble qui définit l'état « prêt CRA ».
- Les sanctions sont réelles. Jusqu'à 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, pour les manquements les plus graves (article 64, paragraphe 2).
- Ce n'est ni le RGPD, ni la NIS2. Le CRA régule la cybersécurité du produit lui-même, et non les données à caractère personnel ni la sécurité opérationnelle des entités essentielles.
- Vos obligations dépendent de votre rôle et de la classe de produit. Fabricant, importateur, distributeur ou administrateur de logiciel libre ; classe par défaut, important Classe I ou II, ou critique. La page suivante fait le tri.
Les quatre nombres qui définissent le CRA : sa date d'application, le démarrage du signalement, l'amende maximale et la période de support minimale pour les mises à jour de sécurité.
Ce que régule le règlement sur la cyberrésilience
Le CRA est le règlement (UE) 2024/2847. L'article 1er couvre quatre domaines :
| Ce que couvre le CRA | Où cela figure dans le règlement |
|---|---|
| Règles relatives à la mise sur le marché de l'Union des produits comportant des éléments numériques | Chapitre I, articles 1er à 7 |
| Exigences essentielles de cybersécurité pour la conception, le développement et la production | Annexe I, partie I, avec les obligations du fabricant à l'article 13 |
| Traitement des vulnérabilités tant que le produit est pris en charge | Annexe I, partie II, article 13, paragraphe 8, et article 14 |
| Surveillance du marché et application des règles | Chapitre VII, articles 52 à 66 |
En pratique, le CRA introduit un régime de marquage CE pour la cybersécurité. Un produit comportant des éléments numériques (matériel, logiciel ou solution de traitement de données à distance fournie par le fabricant) ne peut être mis sur le marché de l'Union à moins que le fabricant ne puisse démontrer qu'il satisfait à l'annexe I et qu'il exécute un processus de traitement des vulnérabilités pendant toute la période de support.
Le CRA est horizontal : il traverse les catégories de produits plutôt que de se loger dans un seul secteur. Lorsqu'un produit relève déjà d'un régime sectoriel de cybersécurité (dispositifs médicaux, véhicules à moteur, aviation civile, équipements marins ou défense), l'article 2 exclut la zone de recouvrement de sorte que le même produit ne soit pas régulé deux fois pour le même risque.
Quand le CRA s'applique : les dates clés
| Date | Ce qui s'applique | Source |
|---|---|---|
| 10 décembre 2024 | Entrée en vigueur du règlement (vingtième jour suivant la publication au JO) | Article 71, paragraphe 1 |
| 11 juin 2026 | Le chapitre IV (articles 35 à 51) sur la notification des organismes d'évaluation de la conformité s'applique | Article 71, paragraphe 2 |
| 11 septembre 2026 | Les obligations de signalement de l'article 14 s'appliquent aux incidents graves et aux vulnérabilités activement exploitées, y compris pour les produits déjà sur le marché | Articles 71, paragraphe 2, et 69, paragraphe 3 |
| 11 décembre 2027 | Le règlement s'applique en intégralité à tous les produits comportant des éléments numériques mis sur le marché de l'Union à compter de cette date | Article 71, paragraphe 2 |
Les produits mis sur le marché de l'Union avant le 11 décembre 2027 ne relèvent pas du règlement intégral, sauf si, à compter de cette date, ils font l'objet d'une modification substantielle (article 69, paragraphe 2). Le devoir de signalement de l'article 14 s'applique toutefois à tous les produits dans le champ qui sont sur le marché à compter du 11 septembre 2026, indépendamment de la date à laquelle ils ont été mis sur le marché (article 69, paragraphe 3).
À quoi ressemble la conformité CRA
Quatre artefacts rendent ensemble un produit conforme au CRA. Lesquels vous incombent dépend de votre rôle et de la classe d'évaluation de la conformité du produit ; voir Qui doit se conformer au CRA.
| Artefact | Réponse en langage clair | Où c'est exigé |
|---|---|---|
| SBOM (détails) | Une liste de ce qui se trouve dans votre produit, en CycloneDX ou SPDX, tenue à jour pendant la période de support. | Annexe I, partie I |
| Déclaration UE de conformité (détails) | Votre déclaration signée selon laquelle « ce produit respecte les règles », indiquant la voie de conformité utilisée. Une par produit, conservée dix ans. | Article 28, annexe V |
| Documentation technique de l'annexe VII (détails) | Le dossier de preuves derrière la déclaration : évaluation des risques, informations de conception et de développement, processus de traitement des vulnérabilités, et preuves de l'évaluation de la conformité. | Annexe VII |
| Processus de traitement des vulnérabilités (détails) | Comment vous trouvez, corrigez et publiez des mises à jour de sécurité pendant toute la période de support : politique de divulgation, tri, correction, et correctifs gratuits. | Annexe I, partie II |
Sanctions au titre de l'article 64
L'article 64 fixe trois tranches d'amendes administratives. Le plafond absolu ou le pourcentage du chiffre d'affaires mondial, le montant le plus élevé étant retenu.
| Tranche | Manquement déclencheur | Amende maximale |
|---|---|---|
| Tranche 1 | Non-respect des exigences essentielles de cybersécurité de l'annexe I, ou des obligations des articles 13 et 14 | 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu |
| Tranche 2 | Non-respect des obligations des articles 18 à 23, 28, 30, paragraphes 1 à 4, 31, paragraphes 1 à 4, 32, paragraphes 1 à 3, 33, paragraphe 5, 39, 41, 47, 49 et 53 | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Tranche 3 | Fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché | 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
Les autorités de surveillance du marché tiennent compte de la nature, de la gravité et de la durée de l'infraction, des récidives et de la taille de l'opérateur, et appliquent un contrôle moins strict aux micro-entreprises, petites entreprises et start-ups (article 64, paragraphes 5 et 10). Les administrateurs de logiciel libre sont exonérés des amendes des tranches 2 et 3 (article 64, paragraphe 10, point b)). Au-delà des amendes, les autorités de surveillance du marché peuvent également ordonner des mesures correctives, restreindre les ventes, rappeler des produits non conformes et interdire leur mise à disposition sur le marché de l'Union (article 54).
Ce que le CRA n'est pas
Le CRA voisine plusieurs autres lois européennes qui touchent également à la cybersécurité. Trois confusions courantes :
- Le CRA n'est pas le RGPD. Le RGPD (règlement 2016/679) protège les données à caractère personnel. Le CRA protège la cybersécurité du produit. Un produit peut être pertinent pour le RGPD, pour le CRA, pour les deux ou pour aucun.
- Le CRA n'est pas la NIS2. La NIS2 (directive 2022/2555) régule la cybersécurité opérationnelle des entités essentielles et importantes. Le CRA régule la cybersécurité de la conception et du cycle de vie des produits que ces entités achètent et utilisent.
- Le CRA ne remplace pas les lois sectorielles. Les dispositifs médicaux (MDR, IVDR), les véhicules à moteur (règl. 2018/858), l'aviation (règl. 2018/1139) et les équipements marins (dir. 2014/90/UE) conservent leurs régimes de cybersécurité ; le CRA les exclut à l'article 2. Le règlement Machines 2023/1230 et la directive sur les équipements radioélectriques se recouvrent avec le CRA de manière étroite, expliquée dans le guide du recouvrement entre le CRA et le règlement Machines.
Foire aux questions
Quand le CRA s'applique-t-il effectivement à mon produit ?
Cela dépend de la date à laquelle le produit est mis sur le marché de l'Union. Le règlement intégral s'applique à tout produit comportant des éléments numériques mis sur le marché à compter du 11 décembre 2027. Les produits mis sur le marché avant cette date ne sont pas rétroactivement dans le champ, sauf s'ils font l'objet d'une modification substantielle après le 11 décembre 2027, auquel cas ils sont considérés comme un nouveau produit (articles 71(2) et 69(2)).
Que change le 11 septembre 2026, avant l'entrée en vigueur du régime complet ?
Le signalement au titre de l'article 14 démarre. À compter de cette date, les fabricants de produits dans le champ doivent signaler les incidents graves et les vulnérabilités activement exploitées à l'ENISA et au CSIRT compétent, même pour les produits déjà sur le marché. Le reste du règlement ne s'applique pas encore, mais l'obligation de signalement, elle, s'applique (article 69(3)).
Le CRA équivaut-il au RGPD ou à la NIS2 ?
Non. Le RGPD protège les données à caractère personnel. La NIS2 régule la sécurité opérationnelle des entités essentielles et importantes (opérateurs énergétiques, hôpitaux, fournisseurs de cloud, etc.). Le CRA régule la cybersécurité du produit lui-même : la manière dont il est conçu, les vulnérabilités qu'il embarque et la manière dont le fabricant traite les vulnérabilités pendant la période de support. Une même société peut être soumise aux trois en même temps, mais les obligations portent sur des objets différents : les données, les organisations et les produits.
Le CRA s'applique-t-il aux logiciels libres et open source ?
Uniquement lorsqu'ils sont fournis dans le cadre d'une activité commerciale. Les projets open source purement non commerciaux sont hors du champ. Lorsqu'un projet est monétisé (support payant, distribution commerciale, intégré à un produit mis sur le marché), le CRA s'applique. L'article 24 instaure un régime allégé pour les administrateurs de logiciel libre (fondations et entités similaires qui maintiennent des projets open source de manière soutenue), assorti de certains devoirs de gouvernance mais pas des obligations complètes du fabricant, et exonéré des amendes des tranches 2 et 3 (articles 2(2) et 24 ; exonération d'amende à l'article 64(10)(b)).
Qu'advient-il des produits déjà sur le marché au 11 décembre 2027 ?
Ils conservent leur accès au marché et ne sont pas rétroactivement soumis à l'évaluation de la conformité CRA. Un produit préexistant ne bascule dans le règlement intégral que si, après le 11 décembre 2027, il fait l'objet d'une modification substantielle, auquel cas il est traité comme un nouveau produit mis sur le marché. Le devoir de signalement s'applique toutefois à ces produits hérités à compter du 11 septembre 2026, et les mises à jour de sécurité dues au titre de tout engagement de support existant continuent (article 69(2) ; devoir de signalement à l'article 69(3)).
Qui applique le CRA et d'où viennent les amendes ?
Chaque État membre désigne une ou plusieurs autorités de surveillance du marché, coordonnées via le groupe de coopération administrative (ADCO) et appuyées par l'ENISA. Les autorités peuvent demander la documentation technique, exiger des mesures correctives, restreindre ou rappeler des produits non conformes et imposer les amendes de l'article 64. La Commission peut agir pour les produits ayant un impact à l'échelle de l'Union. L'ENISA exploite la plateforme unique de signalement des incidents et vulnérabilités au titre de l'article 14.