Une machine dotée d'un automate programmable, d'une IHM, d'un calculateur embarqué ou d'une interface réseau relève à la fois du règlement Machines de l'UE (règlement (UE) 2023/1230) et du règlement sur la cyberrésilience de l'UE (règlement (UE) 2024/2847). Le considérant 53 du CRA nomme ce recouvrement et désigne deux sections de l'annexe III du règlement Machines, 1.1.9 et 1.2.1, où se concentre le contenu de cybersécurité. Cette page couvre ce que dit le considérant 53, comment les éléments probants CRA s'inscrivent côté Machines et où les deux évaluations de la conformité restent distinctes.
Résumé
- Les deux régimes s'appliquent en même temps. Une machine qui contient un automate programmable, une IHM ou une interface réseau est régulée par le règlement Machines pour la sécurité et par le CRA pour la cybersécurité. Aucune exemption : l'article 2 du CRA exclut les dispositifs médicaux, les véhicules à moteur, l'aviation civile et les équipements marins ; les machines ne figurent pas sur cette liste.
- Le considérant 53 est l'ancrage du double régime. Il indique aux fabricants relevant des deux règlements de se conformer aux deux, et désigne les sections 1.1.9 et 1.2.1 de l'annexe III du règlement Machines comme l'endroit où se concentre le contenu de cybersécurité côté Machines.
- Le recouvrement porte sur les défaillances de sécurité d'origine cyber. Un système de commande dont la logique de sécurité peut être altérée par le réseau est dangereux au sens Machines et non sûr au sens CRA. Les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux règlements.
- Les éléments probants CRA peuvent porter côté Machines, mais vous devez établir le lien. Le considérant 53 permet la synergie et désigne les normes harmonisées comme passerelle. La charge de démontrer le lien incombe au fabricant, dans le dossier technique.
- Chaque régime conserve sa propre évaluation de la conformité. Le règlement Machines suit ses propres voies (avec intervention d'un organisme notifié pour les machines à plus haut risque de son annexe I) ; le CRA applique l'article 32 avec les modules de l'annexe VIII. Le même organisme notifié peut faire les deux s'il dispose des deux désignations.
Le recouvrement en quatre nombres : deux règlements, deux sections de l'annexe III, le considérant qui les relie et les dates qui mettent le double régime en vigueur.
Où les deux règlements se recouvrent
Le règlement Machines régule la sécurité des machines mises sur le marché de l'UE. Le CRA régule la cybersécurité des produits comportant des éléments numériques mis sur le marché de l'UE. Une machine moderne qui contient un automate programmable, une IHM, un contrôleur embarqué ou une interface réseau satisfait les deux définitions et déclenche les deux régimes.
Le recouvrement porte sur les exigences qui traitent les défaillances de sécurité d'origine cyber. Un système de commande dont la logique pertinente pour la sécurité peut être altérée par le réseau est dangereux au sens du règlement Machines et non sûr au sens du CRA. Les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux règlements.
Le CRA fixe ce recouvrement à deux endroits :
- L'annexe III §1.1.9 du règlement (UE) 2023/1230 traite la protection contre la corruption des systèmes de commande.
- L'annexe III §1.2.1 du règlement (UE) 2023/1230 traite la sécurité et fiabilité des systèmes de commande, y compris contre la manipulation intentionnelle.
Les deux sections portent du contenu de cybersécurité, parce que la corruption et la manipulation intentionnelle des systèmes de commande sont des menaces de cybersécurité aux conséquences sur la sécurité.
Ce que dit le considérant 53 du CRA, en termes simples
Le considérant 53 est la ligne du CRA qui relie les deux régimes. En clair, il indique au fabricant d'une machine comportant des éléments numériques quatre choses :
| Ce que dit le considérant | Ce que cela signifie en pratique |
|---|---|
| Les deux régimes s'appliquent, sans exemption | Une machine relevant du règlement (UE) 2023/1230 qui est aussi un produit comportant des éléments numériques doit satisfaire les exigences essentielles de cybersécurité du CRA et les exigences essentielles de santé et de sécurité du règlement Machines. L'article 2 du CRA exclut les dispositifs médicaux, les véhicules à moteur, l'aviation civile et les équipements marins ; les machines ne figurent pas sur cette liste. |
| Les mêmes risques de cybersécurité peuvent apparaître dans les deux | Les deux règlements traitent des menaces de cybersécurité similaires sous des angles différents : le règlement Machines par la sécurité, le CRA par la cybersécurité. Là où ils se recouvrent, les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux. |
| Le travail CRA peut porter côté Machines, mais uniquement là où ils se recouvrent | L'évaluation des risques CRA (article 13(2)), la documentation technique (annexe VII) et le processus de gestion des vulnérabilités (annexe I partie II) génèrent des éléments probants qui s'inscrivent dans l'annexe III §1.1.9 (protection contre la corruption) et §1.2.1 (sécurité et fiabilité des systèmes de commande). Sur toute autre partie du règlement Machines, vous faites le travail Machines à la manière Machines. |
| Le fabricant établit le lien dans le dossier technique | Le considérant 53 est permissif, pas automatique. Pour utiliser des éléments probants CRA comme éléments probants au titre du règlement Machines, le fabricant rattache les mesures pilotées par le CRA à des sections précises de l'annexe III et cite des normes harmonisées qui couvrent les deux régimes. |
Le considérant se termine par une instruction supplémentaire que l'article reprend ci-dessous : chaque régime conserve sa propre procédure d'évaluation de la conformité, et les deux doivent être suivies.
Comment les éléments probants CRA s'inscrivent dans le règlement Machines
Une cartographie pragmatique du recouvrement :
| Exigence du règlement Machines | Élément probant CRA qui la soutient |
|---|---|
| Annexe III §1.1.9 (protection contre la corruption) | Évaluation des risques CRA (article 13(2)), annexe I partie I (b) configuration sécurisée par défaut, (d) authentification et contrôle d'accès, (f) protection de l'intégrité des données |
| Annexe III §1.2.1 (sécurité et fiabilité des systèmes de commande) | CRA annexe I partie I (h) disponibilité des fonctions essentielles, (k) atténuation de l'exploitation, (l) enregistrement des événements de sécurité ; annexe I partie II (3) tests de sécurité réguliers |
| Dossier technique Machines | Documentation technique CRA au titre de l'annexe VII (référençable de manière croisée), SBOM CRA, politique de gestion des vulnérabilités CRA |
Cette cartographie est informative, non normative. Le fabricant doit justifier le lien dans le dossier technique pour chaque machine, et la formulation du considérant 53 « ces synergies doivent être démontrées » fait peser cette charge sur le fabricant.
Les évaluations de la conformité restent distinctes
Le considérant 53 se termine par une instruction claire : « Le fabricant devrait également suivre les procédures d'évaluation de la conformité applicables prévues par le présent règlement et par le règlement (UE) 2023/1230. » Le règlement Machines a ses propres voies d'évaluation de la conformité (y compris l'intervention d'un organisme notifié pour les machines à plus haut risque de son annexe I) ; le CRA a les siennes (article 32 et modules de l'annexe VIII). La même machine peut requérir l'intervention d'un organisme notifié pour les deux régimes, possiblement par le même organisme notifié s'il dispose des deux désignations.
Pour la décision sur la voie d'évaluation de la conformité CRA, voir évaluation de la conformité CRA. Pour les exigences de documentation technique, voir documentation technique CRA.
Foire aux questions
Le CRA remplace-t-il ou prime-t-il sur le règlement Machines ?
Non. Les deux règlements s'appliquent simultanément. Le considérant 53 du CRA pose la double obligation en termes simples : un fabricant de produits relevant du règlement (UE) 2023/1230 qui sont aussi des produits comportant des éléments numériques doit satisfaire les exigences essentielles de cybersécurité du CRA et les exigences essentielles de santé et de sécurité du règlement Machines. Le règlement Machines continue de gouverner la sécurité ; le CRA ajoute la couche cybersécurité et fixe le recouvrement aux sections 1.1.9 et 1.2.1 de l'annexe III.
Un seul marquage CE peut-il couvrir les deux régimes ?
Un seul marquage CE sur le produit, mais deux évaluations de la conformité sous-jacentes. Le marquage CE est la déclaration du fabricant attestant que le produit satisfait chaque règlement d'harmonisation de l'Union applicable. Pour une machine comportant des éléments numériques, cela signifie l'évaluation de la conformité du règlement Machines au titre de son annexe IV (ou de la voie applicable) et l'évaluation de la conformité CRA au titre de l'article 32 avec les modules de l'annexe VIII. Les deux déclarations UE de conformité doivent exister ; le marquage CE est unique mais les pièces qui le sous-tendent sont au nombre de deux.
À partir de quand les deux règlements s'appliquent-ils ?
Le règlement Machines (règlement (UE) 2023/1230) s'applique en intégralité à compter du 20 janvier 2027, remplaçant la directive Machines 2006/42/CE pour les produits mis sur le marché à partir de cette date. Le CRA (règlement (UE) 2024/2847) s'applique en intégralité à compter du 11 décembre 2027, les obligations de signalement du fabricant au titre de l'article 14 démarrant plus tôt, le 11 septembre 2026. Une machine mise sur le marché de l'UE entre le 20 janvier et le 11 décembre 2027 relève déjà du nouveau règlement Machines ; à compter du 11 décembre 2027, elle relève également du CRA.
Mon organisme notifié au titre du règlement Machines couvre-t-il aussi le CRA ?
Uniquement si l'organisme dispose d'une désignation CRA en plus de sa désignation Machines. Les organismes notifiés sont désignés règlement par règlement. Un organisme listé pour le module B/C2/H au titre du règlement Machines n'apparaît pas automatiquement sur la liste des organismes notifiés CRA au titre de l'article 43. Vérifiez la base NANDO de l'UE pour les deux règlements en regard du numéro de l'organisme ; si les deux désignations sont présentes, un seul organisme peut conduire les deux évaluations, ce qui est plus simple sur le plan opérationnel que de les séparer.
Et si ma machine n'a pas d'interface réseau ? Le CRA s'applique-t-il quand même ?
Probablement oui. L'article 3, point 1 du CRA définit un produit comportant des éléments numériques comme un produit logiciel ou matériel et ses solutions de traitement de données à distance. Le déclencheur est la fonctionnalité numérique, pas la connectivité. Une machine avec logiciel embarqué, micrologiciel ou automate programmable est dans le champ même sans interface réseau, parce que le logiciel embarqué est lui-même l'élément numérique. Le cas étroit où le CRA ne s'applique pas est celui de machines purement mécaniques sans logiciel, sans micrologiciel et sans logique programmable, ce qui est de plus en plus rare pour les produits relevant du nouveau règlement Machines.