Une machine dotée d'un automate programmable, d'une IHM, d'un calculateur embarqué ou d'une interface réseau peut relever à la fois du règlement sur les machines de l'UE (Règlement (UE) 2023/1230) et du règlement sur la cyberrésilience de l'UE (Règlement (UE) 2024/2847). Le CRA s'applique lorsque la machine est un produit comportant des éléments numériques et que sa finalité prévue ou son utilisation raisonnablement prévisible inclut une connexion de données logique ou physique, directe ou indirecte, à un dispositif ou à un réseau. Un considérant spécifique du CRA nomme ce recouvrement à deux régimes et désigne deux sections du règlement sur les machines qui couvrent la sécurité d'origine cyber, les sections 1.1.9 et 1.2.1. Cette page couvre ce que dit ce considérant, comment les éléments probants CRA s'inscrivent côté machines et où les deux évaluations de la conformité restent distinctes.
Synthèse
- Les deux régimes peuvent s'appliquer en même temps. Une machine relevant du règlement sur les machines exige aussi une analyse CRA lorsqu'elle est un produit comportant des éléments numériques avec une connexion de données directe ou indirecte à un dispositif ou à un réseau. Les machines ne font pas partie des exclusions du CRA.
- Le CRA ancre le recouvrement à deux régimes. Les fabricants relevant des deux règlements doivent respecter les deux, et le recouvrement de cybersécurité côté machines se concentre dans les sections 1.1.9 et 1.2.1 du règlement sur les machines.
- Le recouvrement porte sur les défaillances de sécurité d'origine cyber. Un système de commande dont la logique de sécurité peut être altérée par le réseau est dangereux au sens du règlement sur les machines et non sûr au sens du CRA. Les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux règlements.
- Les éléments probants CRA peuvent porter côté machines, mais vous devez établir le lien. Le CRA permet la synergie et désigne les normes harmonisées comme passerelle. La charge de démontrer le lien incombe au fabricant, dans le dossier technique.
- Chaque régime conserve sa propre évaluation de la conformité. Le règlement sur les machines suit ses propres voies, avec intervention d'un organisme notifié pour les catégories de machines à plus haut risque ; le CRA applique ses propres voies de conformité. Le même organisme notifié peut conduire les deux s'il dispose des deux désignations.
Le recouvrement en quatre nombres : deux règlements, deux sections du règlement sur les machines, l'ancrage CRA qui les relie et les dates qui mettent le double régime en vigueur.
Où les deux règlements se recouvrent
Le règlement sur les machines régule la sécurité ; le CRA régule la cybersécurité. Le règlement sur les machines régit la sécurité des machines mises sur le marché de l'UE. Le CRA régit les produits comportant des éléments numériques dont la finalité prévue ou l'utilisation raisonnablement prévisible inclut une connexion de données logique ou physique, directe ou indirecte, à un dispositif ou à un réseau. Une machine moderne qui contient un automate programmable, une IHM, un contrôleur embarqué ou une interface réseau satisfera souvent les deux tests, mais le contrôle du champ d'application CRA reste nécessaire.
Le recouvrement porte sur les défaillances de sécurité d'origine cyber. Un système de commande dont la logique pertinente pour la sécurité peut être altérée par le réseau est dangereux au sens du règlement sur les machines et non sûr au sens du CRA. Les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux règlements.
Le CRA fixe ce recouvrement à deux sections du règlement sur les machines :
Règlement sur les machines §1.1.9
Protection contre la corruption des systèmes de commande. L'altération cyber de la logique pertinente pour la sécurité, comme une injection de code dans un automate programmable, l'usurpation de signal d'un verrouillage ou l'écriture non autorisée de micrologiciel, est une défaillance de sécurité au sens du règlement sur les machines et une défaillance de cybersécurité au sens du CRA. Les mêmes mesures d'ingénierie (protection de l'intégrité, mises à jour signées, validation des entrées) répondent aux deux règlements.
Règlement sur les machines §1.2.1
Sécurité et fiabilité des systèmes de commande, y compris contre la manipulation intentionnelle. Une logique de commande qui perd son intégrité sous attaque, comme un arrêt d'urgence contourné à distance ou un verrouillage de protection désactivé par logiciel, est dangereuse au sens du règlement sur les machines et non sûre au sens du CRA. Les mesures d'ingénierie de cybersécurité et les mesures de sécurité fonctionnelle convergent vers le même durcissement.
Les deux sections portent du contenu de cybersécurité, parce que la corruption et la manipulation intentionnelle des systèmes de commande sont des menaces de cybersécurité aux conséquences sur la sécurité.
- Protection contre les dangers mécaniques (barrières, barrages immatériels, verrouillages).
- Circuits d'arrêt d'urgence et fonctions d'arrêt liées à la sécurité.
- Ergonomie de l'opérateur, visibilité et atteinte.
- Limites de bruit, de vibration et d'émission.
- Instructions à l'opérateur pour la manutention, le transport et la maintenance sûrs.
- Stabilité mécanique et intégrité structurelle.
- Protection des systèmes de commande contre la corruption.
- Sécurité et fiabilité des systèmes de commande contre la manipulation intentionnelle.
- Évaluation des risques de défaillances de sécurité d'origine cyber.
- Documentation technique de la conception sécurisée des systèmes de commande.
- Gestion des vulnérabilités de la logique de commande pertinente pour la sécurité.
- Nomenclature logicielle couvrant les composants des systèmes de commande.
- Gestion active des vulnérabilités sur toute la période de support.
- Signalement des vulnérabilités et des incidents graves au CSIRT coordinateur et à l'ENISA.
- Politique de divulgation coordonnée des vulnérabilités.
- Nomenclature logicielle produite pour les autorités de surveillance du marché sur demande motivée.
- Engagements de mises à jour de sécurité sur toute la période de support.
- Mises à jour de sécurité gratuites pendant la période de support.
Recouvrement entre le CRA et le règlement sur les machines. Les deux régimes s'appliquent simultanément à une machine comportant des éléments numériques. Le contenu de cybersécurité côté machines se concentre dans les sections 1.1.9 et 1.2.1 du règlement sur les machines. Les artefacts CRA (évaluation des risques, dossier technique, processus de gestion des vulnérabilités, nomenclature logicielle) font le pont vers le dossier technique machines une fois que le fabricant démontre le lien.
Ce que dit le CRA sur le recouvrement avec les machines
Le CRA relie les deux régimes par le Considérant 53. En clair, il indique au fabricant d'une machine comportant des éléments numériques quatre choses :
| Ce que dit le considérant | Ce que cela signifie en pratique |
|---|---|
| Les deux régimes peuvent s'appliquer, sans exemption pour les machines | Une machine relevant du Règlement (UE) 2023/1230 qui est aussi un produit CRA comportant des éléments numériques doit satisfaire les exigences essentielles de cybersécurité du CRA et les exigences essentielles de santé et de sécurité du règlement sur les machines. Les machines ne font pas partie des exclusions du CRA. |
| Les mêmes risques de cybersécurité peuvent apparaître dans les deux | Les deux règlements traitent des menaces de cybersécurité similaires sous des angles différents : le règlement sur les machines par la sécurité, le CRA par la cybersécurité. Là où ils se recouvrent, les mêmes mesures d'ingénierie (validation des entrées, authentification, protection de l'intégrité de la logique de sécurité) répondent aux deux. |
| Le travail CRA peut porter côté machines, mais uniquement là où ils se recouvrent | L'évaluation des risques CRA (Article 13(2)), la documentation technique (Annexe VII) et le processus de gestion des vulnérabilités (Annexe I partie II) génèrent des éléments probants qui s'inscrivent dans la section 1.1.9 (protection contre la corruption) et 1.2.1 (sécurité et fiabilité des systèmes de commande) du règlement sur les machines. Sur toute autre partie du règlement sur les machines, vous faites le travail machines à la manière machines. |
| Le fabricant établit le lien dans le dossier technique | Le considérant est permissif, pas automatique. Pour utiliser des éléments probants CRA comme éléments probants au titre du règlement sur les machines, le fabricant rattache les mesures pilotées par le CRA à des sections précises du règlement sur les machines et cite des normes harmonisées qui couvrent les deux régimes. |
Le considérant se termine par une instruction supplémentaire que l'article reprend ci-dessous : chaque régime conserve sa propre procédure d'évaluation de la conformité, et les deux doivent être suivies.
Comment les éléments probants CRA s'inscrivent dans le règlement sur les machines
Une cartographie pragmatique du recouvrement :
| Exigence du règlement sur les machines | Élément probant CRA qui la soutient |
|---|---|
| Règlement sur les machines §1.1.9 (protection contre la corruption) | Évaluation des risques CRA (Article 13(2)), Annexe I partie I configuration sécurisée par défaut, authentification et contrôle d'accès, protection de l'intégrité des données |
| Règlement sur les machines §1.2.1 (sécurité et fiabilité des systèmes de commande) | CRA Annexe I partie I disponibilité des fonctions essentielles, atténuation de l'exploitation, enregistrement des événements de sécurité ; Annexe I partie II tests de sécurité réguliers |
| Dossier technique machines | Documentation technique CRA au titre de l'Annexe VII (référençable de manière croisée), nomenclature logicielle CRA, politique de gestion des vulnérabilités CRA |
Cette cartographie est informative, non normative. Le fabricant doit justifier le lien dans le dossier technique pour chaque machine, et la formulation du Considérant 53 « ces synergies doivent être démontrées » fait peser cette charge sur le fabricant.
Les évaluations de la conformité restent distinctes
Chaque régime conserve sa propre procédure d'évaluation de la conformité. Le Considérant 53 indique que le fabricant doit suivre les procédures applicables au titre du CRA et du Règlement (UE) 2023/1230. Le règlement sur les machines a ses propres voies, y compris l'intervention d'un organisme notifié pour les catégories de machines à plus haut risque ; le CRA a ses propres voies au titre de l'Article 32 et de l'Annexe VIII.
Un même organisme notifié peut conduire les deux, uniquement s'il dispose des deux désignations. La même machine peut requérir l'intervention d'un organisme notifié pour les deux régimes, possiblement par le même organisme s'il a été désigné au titre des deux règlements. Les organismes notifiés sont désignés règlement par règlement ; une désignation au titre du règlement sur les machines ne s'étend pas au CRA.
Pour la décision sur la voie d'évaluation de la conformité CRA, voir évaluation de la conformité CRA. Pour les exigences de documentation technique, voir documentation technique CRA.
Pièges courants
| Affirmation | Pourquoi elle échoue |
|---|---|
| « Un seul marquage CE signifie que nous ne faisons qu'une seule évaluation de la conformité. » | Le marquage CE figure une seule fois sur le produit, mais chaque régime applicable exige sa propre évaluation de la conformité, sa propre documentation technique et sa propre déclaration. |
| « Notre organisme notifié au titre du règlement sur les machines couvre automatiquement le CRA. » | Les organismes notifiés sont désignés règlement par règlement. Un organisme listé au titre du règlement sur les machines ne devient pas automatiquement un organisme notifié CRA ; vérifiez la liste NANDO de la Commission pour les deux règlements en regard du numéro de l'organisme. |
| « L'absence d'interface internet signifie que le CRA ne s'applique pas. » | Un logiciel embarqué, un micrologiciel ou un automate programmable peut faire de la machine un produit comportant des éléments numériques ; une connexion de données indirecte via un système connectable amène également la machine dans le champ. |
| « La section 1.1.9 du règlement sur les machines suffit à prouver la conformité de cybersécurité CRA. » | La section 1.1.9 traite la protection contre la corruption, qui n'est qu'une part de la sécurité d'origine cyber. Les exigences essentielles du CRA sont plus larges et le fabricant doit toujours démontrer la conformité avec l'ensemble complet. |
| « Le considérant de synergie nous permet de réutiliser automatiquement les éléments probants CRA côté machines. » | Le considérant est permissif, pas automatique. Le fabricant doit rattacher les mesures pilotées par le CRA à des sections précises du règlement sur les machines et citer des normes harmonisées qui couvrent les deux régimes dans le dossier technique. |
Foire aux questions
Le CRA remplace-t-il ou prime-t-il sur le règlement sur les machines ?
Non. Le règlement sur les machines continue de régir la sécurité des machines, et le CRA ajoute des obligations de cybersécurité lorsque la machine est aussi un produit comportant des éléments numériques. Un fabricant relevant des deux régimes doit satisfaire les exigences essentielles de cybersécurité du CRA et les exigences essentielles de santé et de sécurité du règlement sur les machines. Le CRA fixe le recouvrement sur la protection contre la corruption ainsi que sur la sécurité et la fiabilité des systèmes de commande (Considérant 53).
Un seul marquage CE peut-il couvrir les deux régimes ?
Un seul marquage CE peut figurer sur le produit, mais le travail de conformité sous-jacent reste séparé. Le marquage CE indique que le produit respecte la législation d'harmonisation de l'Union applicable. Pour une machine comportant des éléments numériques, cela signifie l'évaluation de la conformité au titre du règlement sur les machines plus celle du CRA. Le marquage est unique, mais chaque régime applicable exige ses propres éléments probants de conformité et sa propre déclaration (Article 32).
À partir de quand les deux règlements s'appliquent-ils ?
Le règlement sur les machines (Règlement (UE) 2023/1230) s'applique en intégralité à compter du 20 janvier 2027, remplaçant la directive Machines 2006/42/CE pour les produits mis sur le marché à partir de cette date. Le CRA (Règlement (UE) 2024/2847) s'applique en intégralité à compter du 11 décembre 2027 pour les produits mis sur le marché à partir de cette date (Article 71(2)). Les produits comportant des éléments numériques mis sur le marché avant le 11 décembre 2027 ne sont soumis aux exigences du CRA que s'ils font l'objet d'une modification substantielle à partir de cette date ; les obligations de signalement de l'Article 14 s'appliquent toutefois à tous les produits dans le champ dès le 11 septembre 2026 (Article 69(2) ; Article 69(3)).
Mon organisme notifié au titre du règlement sur les machines couvre-t-il aussi le CRA ?
Uniquement si l'organisme dispose des deux désignations. Les organismes notifiés sont désignés règlement par règlement : un organisme listé pour un module du règlement sur les machines ne devient pas automatiquement un organisme notifié CRA. Vérifiez la liste officielle NANDO de la Commission européenne pour les deux règlements en regard du numéro de l'organisme ; si les deux désignations sont présentes, un seul organisme peut conduire les deux évaluations (Article 43).
Et si ma machine n'a pas d'interface réseau ? Le CRA s'applique-t-il quand même ?
Peut-être. L'absence d'interface internet ne sort pas automatiquement une machine du CRA, mais le test du champ d'application exige toujours une connexion de données. Une machine ne relève du CRA que lorsque sa finalité prévue ou son utilisation raisonnablement prévisible inclut une connexion de données logique ou physique, directe ou indirecte, à un dispositif ou à un réseau. Un logiciel embarqué, un micrologiciel ou un automate programmable peut faire de la machine un produit comportant des éléments numériques, mais une machine sans cette connexion de données exige une analyse de champ d'application précise, pas un oui automatique (Article 2(1)).