Le règlement sur la cyberrésilience s'applique à tout produit comportant des éléments numériques qui se connecte, directement ou indirectement, à un dispositif ou à un réseau et qui arrive sur le marché de l'Union. Si ce test est satisfait et que vous ne relevez d'aucune exclusion, la question suivante est de savoir quel rôle vous jouez dans la chaîne d'approvisionnement de l'Union : fabricant, importateur, distributeur, mandataire ou gestionnaire open source. Cette page est la machine de tri à exécuter avant de vous engager dans un article approfondi.
Résumé
- Le test du champ d'application tient en une phrase. Il repose sur une connexion logique ou physique de données, directe ou indirecte, à un dispositif ou à un réseau, ce qui est plus large que ce que la plupart des équipes supposent.
- Les exclusions principales incluent les régimes sectoriels, les pièces détachées et la défense. Dispositifs médicaux, véhicules à moteur, aviation civile, équipements marins, pièces détachées identiques, et produits développés ou modifiés exclusivement à des fins de sécurité nationale, de défense ou de traitement d'informations classifiées.
- Trois rôles d'opérateurs économiques font l'essentiel du travail. Fabricant, importateur, distributeur.
- Attention à la bascule vers les obligations de fabricant. Les importateurs et distributeurs qui apposent leur propre marque ou modifient substantiellement un produit sont traités comme des fabricants ; les autres tiers qui réalisent des modifications substantielles sont couverts séparément.
- Les gestionnaires open source relèvent d'un régime allégé. Une politique de cybersécurité documentée et un devoir de coopération, sans la charge complète du fabricant.
- Plusieurs rôles cumulés relèvent du plus strict. Lorsque vous correspondez à plus d'une définition, c'est l'ensemble d'obligations le plus lourd qui s'applique.
Quatre points d'ancrage qui décident si le CRA s'applique à vous et avec quelle intensité : le test du champ d'application, les exclusions, l'axe des rôles et la bascule vers les obligations de fabricant.
Le CRA s'applique-t-il à votre produit ?
Commencez par le produit, pas par la référence juridique. Le premier test du champ d'application du CRA consiste à savoir si vous mettez un logiciel, du matériel ou un composant numérique à disposition sur le marché de l'Union, et si sa finalité prévue ou son utilisation raisonnablement prévisible inclut une connexion logique ou physique de données, directe ou indirecte, à un dispositif ou à un réseau.
L'expression la plus lourde de conséquences est « connexion logique ou physique de données, directe ou indirecte ». En langage clair :
| Type de connexion | Sens en langage clair | Exemple concret |
|---|---|---|
| Logique | Voie de données virtuelle implémentée par une interface logicielle. | Un appel d'API REST entre un microservice et un backend ; un sujet MQTT entre un dispositif IoT et un broker. |
| Physique | Connexion par interfaces électriques, optiques ou mécaniques, fils ou ondes radio. | Un câble Ethernet ; un appairage Bluetooth ; un bus industriel RS-485. |
| Indirecte | Connexion qui passe par un système plus large lui-même directement connectable. | Un capteur qui ne dialogue qu'avec un hub local, où le hub lui-même atteint internet. Le capteur est dans le champ via le hub. |
La clause de connexion indirecte est la prise la plus large. Un capteur qui ne dialogue qu'avec un hub local est dans le champ si le hub lui-même est connectable. Un accessoire de capteur qui s'appaire à un téléphone par Bluetooth est dans le champ via le téléphone. Un automate d'usine qui n'atteint internet qu'au travers d'une passerelle industrielle est dans le champ via la passerelle. Les fabricants industriels et IoT qui supposent que « pas de Wi-Fi signifie pas de CRA » manquent cette clause et manquent le règlement entièrement.
Un « produit comportant des éléments numériques » couvre ensuite des produits logiciels ou matériels et leurs solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément. Les composants autonomes expédiés sur le marché entrent également dans le champ.
Secteurs déjà couverts par d'autres réglementations
Certains secteurs se situent hors du champ du CRA quels que soient les tests de seuil ci-dessus, car ils relèvent déjà de leurs propres régimes de cybersécurité.
| Secteur | Régi à la place par | Exclu par |
|---|---|---|
| Dispositifs médicaux | Règlement (UE) 2017/745 (MDR) | Article 2(2), point a) |
| Dispositifs médicaux de diagnostic in vitro | Règlement (UE) 2017/746 (IVDR) | Article 2(2), point b) |
| Véhicules à moteur | Règlement (UE) 2019/2144 | Article 2(2), point c) |
| Produits de l'aviation civile certifiés | Règlement (UE) 2018/1139 | Article 2(3) |
| Équipements marins | Directive 2014/90/UE | Article 2(4) |
| Pièces de rechange (remplaçant des composants identiques) | Non applicable ; hors champ par définition | Article 2(6) |
| Produits relevant de la sécurité nationale, de la défense et du traitement d'informations classifiées | Compétence des États membres | Article 2(7) |
La Commission peut également limiter ou exclure l'application du CRA lorsqu'un autre acte de l'Union couvre déjà les mêmes risques à un niveau de protection équivalent ou supérieur.
Pour le niveau de cybersécurité de votre produit (par défaut, important de classe I, important de classe II ou critique), voir la classification des produits CRA et l'évaluation de la conformité CRA.
Rôles CRA : fabricant, importateur, distributeur ou mandataire ?
Une fois le produit dans le champ d'application, vos obligations CRA dépendent de ce que vous faites dans la chaîne d'approvisionnement de l'Union : quelle marque figure sur le produit, qui l'introduit dans l'Union, qui le met à disposition et si quelqu'un le modifie avant la revente.
Fabricant
Vous commercialisez le produit sous votre propre nom ou marque. Vous développez ou faites concevoir et fabriquer un produit comportant des éléments numériques et vous le commercialisez sous votre propre marque, à titre onéreux ou gratuit. Les fabricants portent l'ensemble complet des obligations : conception fondée sur le risque, gestion des vulnérabilités, documentation technique, déclaration UE de conformité, marquage CE et signalement des incidents graves et des vulnérabilités activement exploitées. Vendre sous votre propre marque un produit conçu et fabriqué par un OEM fait toujours de vous le fabricant. Voir obligations du fabricant CRA.
Importateur
Vous êtes établi dans l'Union et mettez sur le marché de l'Union un produit qui porte une marque non européenne. Avant la mise sur le marché du produit, vous devez vérifier que le fabricant a réalisé l'évaluation de la conformité, établi la documentation technique, apposé le marquage CE et fourni la déclaration UE de conformité ainsi que les informations utilisateur requises. Les importateurs doivent conserver la documentation pendant dix ans et coopérer avec les autorités de surveillance du marché. Voir obligations de l'importateur CRA.
Distributeur
Vous mettez un produit à disposition sur le marché de l'Union sans en affecter les propriétés. Vous êtes dans la chaîne d'approvisionnement, autre que le fabricant ou l'importateur. Avant la mise à disposition du produit, vous devez vérifier que le marquage CE est apposé, que la déclaration UE de conformité est disponible et que le fabricant a fourni les informations et instructions requises. Voir obligations du distributeur CRA.
Mandataire
Vous êtes établi dans l'Union en vertu d'un mandat écrit d'un fabricant. Le CRA permet à un fabricant de désigner un mandataire par mandat écrit, mais cette désignation n'est pas automatique ou obligatoire du seul fait que le fabricant est hors UE. Le mandataire agit dans les limites des tâches mandatées. Voir mandataire CRA.
Modifications de produit : quand vous devenez fabricant
Vous vous situez dans la chaîne d'approvisionnement après un fabricant tiers. Faites les deux vérifications suivantes avant de présumer que vous restez importateur ou distributeur.
Apposer votre propre marque sur le produit d'autrui fait de vous le fabricant dès le départ, non un fabricant réputé.
Une modification substantielle affecte la conformité aux exigences essentielles de cybersécurité, ou altère la finalité prévue pour laquelle le produit a été initialement évalué.
Modifier le produit d'autrui peut vous rendre responsable comme fabricant. Un importateur ou distributeur est traité comme un fabricant s'il vend le produit sous son propre nom ou sa propre marque, ou s'il modifie substantiellement un produit déjà mis sur le marché. Le même traitement de fabricant s'applique à toute autre personne physique ou morale qui modifie substantiellement un produit puis met le produit modifié à disposition.
Pour les autres tiers qui réalisent une modification, la responsabilité suit l'impact sur la cybersécurité : les devoirs du fabricant s'appliquent à la partie du produit affectée par la modification, sauf si le changement affecte la cybersécurité du produit dans son ensemble ; dans ce cas, les devoirs couvrent l'ensemble du produit.
Une « modification substantielle » est un changement effectué après la mise sur le marché du produit qui, soit affecte la conformité du produit aux exigences essentielles de cybersécurité, soit altère la finalité prévue pour laquelle le produit a été initialement évalué. Deux schémas la déclenchent le plus souvent : reflasher ou reconditionner un dispositif tiers avec un firmware personnalisé, et intégrer un produit tiers dans un système d'une manière qui change sa finalité prévue.
L'apposition de votre propre marque n'est pas un déclencheur de modification substantielle ; c'est la définition même du fabricant, et elle s'applique dès le départ.
Gestionnaires de logiciel open source
Un gestionnaire de logiciel open source est une personne morale, autre qu'un fabricant, dont la finalité est de soutenir de manière systématique le développement de produits open source spécifiques destinés à des activités commerciales et d'en assurer la viabilité. En pratique, les gestionnaires sont typiquement des fondations ou des entités juridiques à but non lucratif qui soutiennent un projet en amont en lui-même, et non des sociétés qui livrent du logiciel open source à l'intérieur de leurs propres produits.
Les devoirs sont plus étroits que le régime du fabricant mais restent concrets :
- Documenter une politique de cybersécurité qui favorise un développement sécurisé du projet et une gestion efficace des vulnérabilités par ses développeurs, encourage le signalement volontaire des vulnérabilités, et soutient le partage d'informations au sein de la communauté open source.
- Coopérer avec les autorités de surveillance du marché sur demande motivée, y compris en fournissant la documentation de la politique de cybersécurité.
Ce régime ne s'applique pas à la plupart des sociétés qui livrent du logiciel open source à l'intérieur d'un produit commercial. Si vous prenez une bibliothèque open source, l'intégrez dans un produit que vous commercialisez et mettez ce produit sur le marché de l'Union sous votre propre nom, vous êtes fabricant, et non gestionnaire.
Arbre de décision : identifiez votre voie de conformité
| Si vous... | Vous êtes... | Allez à... |
|---|---|---|
| Concevez ou faites fabriquer un produit comportant des éléments numériques que vous mettez sur le marché de l'Union sous votre nom ou votre marque | Fabricant | Obligations du fabricant |
| Êtes établi dans l'UE et mettez sur le marché de l'Union un produit qui porte le nom ou la marque d'une personne non européenne | Importateur | Obligations de l'importateur |
| Êtes dans la chaîne d'approvisionnement (autre que fabricant ou importateur) et mettez un produit à disposition sur le marché de l'Union sans en affecter les propriétés | Distributeur | Obligations du distributeur |
| En tant qu'importateur ou distributeur, vendez sous votre propre nom ou marque, ou modifiez substantiellement un produit déjà mis sur le marché | Les obligations de fabricant s'appliquent | L'ensemble complet des obligations du fabricant s'applique |
| En tant qu'autre tiers, modifiez substantiellement un produit et le mettez à disposition sur le marché | Les obligations de fabricant s'appliquent | L'ensemble complet des obligations du fabricant s'applique pour la partie affectée ou pour le produit entier |
| Êtes un fabricant non européen mettant des produits sur le marché de l'Union et désignez un mandataire dans l'UE | Fabricant, avec un mandataire agissant uniquement dans les limites du mandat écrit | Mandataire |
| Êtes une personne morale qui soutient de manière systématique un projet open source comme finalité essentielle, et non par distribution commerciale | Gestionnaire OSS | Régime du gestionnaire OSS |
Si vous relevez de plus d'un rôle, c'est l'ensemble d'obligations le plus strict qui s'applique. Une société qui développe un produit, le marque et le met sur le marché de l'Union est fabricant indépendamment des sous-traitants qui ont effectué la conception ou la fabrication ; un importateur ou distributeur qui modifie substantiellement un produit déjà mis sur le marché est traité comme un fabricant.
Pièges fréquents
| Piège | Pourquoi il échoue |
|---|---|
| « Nous ne sommes que sur un réseau local, donc le CRA ne s'applique pas. » | La clause de connexion indirecte attrape tout ce qui atteint un système connectable au travers d'un hub, d'un téléphone ou d'une passerelle. |
| « Nous réétiquetons le produit de l'OEM, donc nous sommes le distributeur. » | Vendre sous votre propre nom ou marque fait de vous le fabricant dès le départ, non un fabricant réputé. |
| « Nous utilisons des bibliothèques open source dans notre produit, donc nous sommes des gestionnaires. » | Les gestionnaires soutiennent des projets en amont comme finalité essentielle ; les consommateurs en aval de logiciel open source sont fabricants pour le produit qu'ils livrent. |
| « Notre place de marché ne fait qu'intermédier des vendeurs non européens, donc nous n'avons aucun devoir. » | Une place de marché qui détient du stock dans l'UE ou possède l'annonce bascule en territoire importateur et hérite des devoirs de vérification et de conservation. |
Foire aux questions
Mon produit n'est que sur un réseau local. Le CRA est-il quand même dans le champ ?
Probablement oui. Le test du champ d'application couvre toute connexion indirecte : un produit est dans le champ s'il se connecte au travers d'un système plus large qui est lui-même connectable. Un capteur sur un hub local, un périphérique Bluetooth qui s'appaire à un téléphone ou un automate derrière une passerelle industrielle sont tous dans le champ via le dispositif auquel ils se connectent. Le cas étroit où le CRA ne s'applique pas est celui d'un produit sans logiciel, sans firmware et sans aucune voie vers un autre dispositif ou réseau.
J'exploite un service SaaS. Le CRA s'applique-t-il à moi ?
En règle générale, non. Le SaaS relève de NIS2, et non du CRA, qui s'applique à un produit logiciel ou matériel mis sur le marché. Un service purement hébergé dans le cloud ne satisfait pas cette définition. L'exception est une solution de traitement de données à distance fournie par le fabricant : un composant cloud nécessaire au produit pour exécuter ses fonctions est dans le champ en tant que partie de ce produit. Un SaaS qui livre aussi un client installable (une application bureau ou mobile, un SDK, un agent sur site) place la partie installable dans le champ.
Nous revendons du matériel non modifié sous notre propre marque. Fabricant ou distributeur ?
Fabricant. Quiconque commercialise un produit sous son propre nom ou sa propre marque est le fabricant, indépendamment de qui l'a conçu ou fabriqué. Apposer sa marque sur un produit OEM est le cas d'école, et vous héritez de l'ensemble complet des obligations du fabricant. Ce n'est pas la voie du fabricant réputé ; vous êtes le fabricant dès le départ.
Nous utilisons des bibliothèques open source dans notre produit. Sommes-nous un gestionnaire ?
Non. Les gestionnaires sont typiquement des fondations ou des entités juridiques à but non lucratif qui soutiennent de manière systématique un projet open source comme finalité essentielle. Une société qui prend une bibliothèque open source, l'intègre dans un produit commercial et met ce produit sur le marché de l'Union est fabricant pour ce produit. Le régime allégé vise l'entité qui soutient le projet en amont, non les consommateurs en aval de celui-ci.
Une société non européenne vend en direct à des consommateurs de l'UE via notre place de marché. Qui est responsable ?
Cela dépend de la chaîne. Le CRA permet au fabricant non européen de désigner un mandataire par mandat écrit, mais la question de l'importateur dépend de l'opérateur qui met le produit sur le marché de l'Union et de celui qui est établi dans l'UE. Une place de marché qui se contente d'intermédier et ne met pas elle-même de produits sur le marché n'est généralement pas l'importateur ; si la place de marché possède l'annonce ou exécute la commande depuis un stock dans l'UE, elle bascule en territoire importateur. Vérifiez le flux transactionnel réel avant de trancher.