L'application intégrale du CRA commence le 11 décembre 2027. À compter de cette date, tout produit comportant des éléments numériques mis sur le marché de l'UE doit porter le marquage CE, et le marquage CE exige un SBOM conforme. L'Annexe I, Partie II, point (1) constitue la clause opérationnelle : les fabricants doivent « recenser et documenter les vulnérabilités et les composants des produits, notamment par l'établissement d'une nomenclature des logiciels dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de niveau supérieur des produits ». Cette formule détermine le format, le périmètre et l'emplacement du SBOM dans votre documentation technique. Cette page couvre précisément ce que la loi exige et ce qu'elle n'exige pas.
Synthèse
- Les SBOM sont obligatoires au titre de l'Annexe I, Partie II, point (1) pour tout produit comportant des éléments numériques
- Le format doit être lisible par machine (CycloneDX ou SPDX ; les PDF et les tableurs ne satisfont pas à cette exigence)
- Couverture minimale : les dépendances de niveau supérieur des produits ; la couverture des dépendances transitives est une bonne pratique, mais va au-delà du plancher légal
- Le SBOM fait partie de la documentation technique Annexe VII (point 2(b), le point 8 couvrant la communication sur demande aux autorités de surveillance du marché)
- L'obligation est continue : les déclencheurs de mise à jour incluent toute nouvelle version du firmware, tout changement de composant et toute découverte de vulnérabilité
- Application intégrale : 11 décembre 2027 ; l'horloge du signalement des vulnérabilités démarre le 11 septembre 2026
Les obligations SBOM du CRA
Le CRA fait référence aux SBOM dans deux sections critiques.
Annexe I : exigences essentielles
Le texte officiel de l'Annexe I, Partie II, point (1) dispose que les fabricants :
« recensent et documentent les vulnérabilités et les composants des produits, notamment par l'établissement d'une nomenclature des logiciels dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de niveau supérieur des produits »
(Source : Règlement (UE) 2024/2847, id="anx_I", Partie II, point (1))
Cela signifie :
- Les SBOM sont obligatoires, et non optionnels
- Ils doivent être dans un format lisible par machine (pas de PDF ni de tableurs)
- Ils doivent couvrir au minimum les dépendances de niveau supérieur des produits ; la couverture des dépendances transitives est une bonne pratique, mais va au-delà du plancher légal
Tout produit comportant des éléments numériques mis sur le marché de l'UE doit disposer d'un SBOM lisible par machine. Il n'existe aucune possibilité d'exemption, ni de seuil de taille en dessous duquel l'obligation disparaîtrait.
Annexe VII : documentation technique
Le dossier technique Annexe VII mentionne le SBOM en deux endroits.
Point 2(b) : la description des processus de gestion des vulnérabilités doit faire partie de la documentation technique conservée par le fabricant. Le texte officiel dispose :
« b) les informations et spécifications nécessaires concernant le processus de gestion des vulnérabilités mis en place par le fabricant, en ce compris la nomenclature des logiciels, la politique coordonnée de divulgation des vulnérabilités, la preuve de la fourniture d'une adresse de contact pour le signalement des vulnérabilités et une description des solutions techniques choisies pour la distribution sécurisée des mises à jour »
(Source : Règlement (UE) 2024/2847, id="anx_VII", point 2(b))
Point 8 : le SBOM doit être fourni « à la suite d'une demande motivée d'une autorité de surveillance du marché ». Le texte officiel dispose :
« le cas échéant, la nomenclature des logiciels, à la suite d'une demande motivée d'une autorité de surveillance du marché, pour autant que celle-ci soit nécessaire pour permettre à cette autorité de vérifier le bon respect des exigences essentielles de cybersécurité énoncées à l'annexe I »
(Source : Règlement (UE) 2024/2847, id="anx_VII", point (8))
Le SBOM n'est pas soumis de manière proactive. Il doit exister au moment où le produit est mis sur le marché de l'UE et être disponible pour les autorités sur demande.
Le SBOM figurant dans l'Annexe VII doit permettre :
- Le suivi des vulnérabilités au niveau des composants
- L'identification des fournisseurs
- La vérification de la conformité des licences
- La planification de la fin de vie
Ce que votre SBOM Annexe VII doit contenir
La documentation technique comporte trois dimensions obligatoires pour le SBOM : le format, le contenu et le périmètre. Le tableau ci-dessous reflète ce que les autorités de surveillance du marché vérifieront.
| Catégorie | Exigence | Source |
|---|---|---|
| Format | Lisible par machine (CycloneDX ou SPDX) | Annexe I, Partie II, point (1) |
| Format | Résumé lisible par un humain | Bonne pratique |
| Contenu | Tous les composants logiciels répertoriés | Annexe I |
| Contenu | Versions des composants précisées | Annexe I |
| Contenu | Informations sur le fournisseur | Annexe I ; TR-03183 |
| Contenu | Informations sur les licences | TR-03183 |
| Contenu | Vulnérabilités connues au moment de l'évaluation | Annexe VII, point 2(b) |
| Périmètre | Dépendances directes (de niveau supérieur) | Annexe I (plancher légal) |
| Périmètre | Dépendances transitives | TR-03183 (bonne pratique) |
| Périmètre | Composants du système d'exploitation, le cas échéant | TR-03183 |
| Périmètre | Bibliothèques tierces | Annexe I |
Pour les exigences de champs spécifiques allant au-delà de cette liste (identifiants PURL, valeurs de hachage, métadonnées du document), consultez comment la BSI TR-03183 étend le CRA. Pour une comparaison des outils CycloneDX et SPDX, consultez CycloneDX vs SPDX.
À quoi ressemble une entrée SBOM conforme
Une entrée correctement structurée dans le dossier technique Annexe VII référence le fichier lisible par machine et enregistre le statut de vulnérabilité au moment de l'évaluation :
NOMENCLATURE DES LOGICIELS
Produit : SmartSense Pro (SSP-3000)
Version du firmware : 2.4.1
Format SBOM : CycloneDX 1.5
Généré le : 2027-01-15
Outil : Trivy + syft
FICHIER SBOM :
sbom-ssp3000-v2.4.1.json (joint)
SYNTHÈSE DES COMPOSANTS :
-------------------------------------------------------------
Total des composants : 127
Dépendances directes : 23
Dépendances transitives : 104
Par type :
Bibliothèques : 98
Frameworks : 12
Système d'exploitation : 1 (FreeRTOS)
Modules firmware : 16
STATUT DES VULNÉRABILITÉS AU MOMENT DE L'ÉVALUATION :
-------------------------------------------------------------
Date d'analyse : 2027-01-15
Analyseur : Trivy v0.48.0
Critiques : 0
Élevées : 0
Moyennes : 2 (acceptées, voir ci-dessous)
VULNÉRABILITÉS ACCEPTÉES :
CVE-2026-XXXXX (Moyenne) : Composant xyz v1.2.3
Statut : Non exploitable dans notre configuration
Justification : Fonctionnalité non activée, chemin de code inaccessible
Date de révision : 2027-04-15
-------------------------------------------------------------
ENGAGEMENT DE MISE À JOUR DU SBOM :
Le SBOM sera mis à jour à chaque version du firmware et mis
à disposition des clients sur demande.
Quand mettre à jour votre SBOM
Le SBOM n'est pas un document ponctuel. Le dossier technique doit rester à jour tout au long du cycle de vie du produit.
Déclencheurs de mise à jour obligatoires :
| Déclencheur | Ce qui change | Mise à jour du SBOM requise ? |
|---|---|---|
| Nouvelle version du firmware ou du logiciel | Nouvel artefact de build | Oui, régénération complète |
| Publication d'un correctif de sécurité | Version du composant mise à jour | Oui, composants concernés |
| Vulnérabilité découverte et traitée | Statut VEX ou d'exploitabilité | Oui, champs VEX |
| Composant ajouté, supprimé ou remplacé | Graphe de dépendances | Oui, régénération complète |
| Modification de conception affectant la sécurité | Composants et architecture | Oui, régénération complète |
| Modification de la norme harmonisée appliquée | Référence aux normes | Oui, métadonnées |
Révisions périodiques :
| Fréquence | Périmètre |
|---|---|
| Trimestrielle | SBOM et statut des vulnérabilités |
| Annuelle | Révision complète du dossier technique |
| Avant la fin de la période d'assistance | Gel final de la documentation |
La création manuelle de SBOM est source d'erreurs et ne passe pas à l'échelle sur plusieurs versions de produits. Chaque build devrait produire un artefact SBOM à jour. Consultez les erreurs SBOM courantes pour savoir ce qui se passe quand les équipes sautent l'automatisation.
Exigences de conservation
L'Article 13(13) impose aux fabricants de tenir la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché. Le texte officiel dispose :
« Les fabricants tiennent la documentation technique et la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant une durée d'au moins dix ans après la mise sur le marché du produit comportant des éléments numériques ou pendant la période d'assistance, la période la plus longue étant retenue. »
(Source : Règlement (UE) 2024/2847, id="art_13", paragraphe 13)
Le délai court à compter du dernier exemplaire mis sur le marché, et non du premier.
| Étape | Date exemple |
|---|---|
| Première mise sur le marché | Mars 2027 |
| Dernier exemplaire mis sur le marché | Décembre 2030 |
| Conservation de la documentation jusqu'au (minimum 10 ans) | Décembre 2040 |
Conservez le SBOM dans un stockage sécurisé et accessible, avec des procédures de sauvegarde, une protection de l'intégrité et la capacité de le récupérer et de le fournir à la suite d'une demande motivée d'une autorité de surveillance du marché. Le point 8 de l'Annexe VII précise que le SBOM est fourni « à la suite d'une demande motivée » et non de manière proactive.
Application et sanctions
L'application intégrale du CRA commence le 11 décembre 2027. L'obligation de signalement des vulnérabilités au titre de l'Article 14 démarre plus tôt, le 11 septembre 2026. Les produits mis sur le marché de l'UE après décembre 2027 sans SBOM conforme ne peuvent pas porter le marquage CE et ne peuvent pas légalement être vendus dans l'UE. Pour le calendrier complet et le détail des sanctions, consultez délais et sanctions liés au SBOM CRA.
Questions fréquentes
Le CRA exige-t-il un SBOM lisible par machine ou un PDF est-il acceptable ?
L'Annexe I exige explicitement un format lisible par machine. Un PDF n'est pas acceptable. CycloneDX ou SPDX sérialisé en JSON ou XML satisfait à l'exigence. Un tableur ou un document lisible uniquement par un humain n'y satisfait pas.
Le CRA exige-t-il un SBOM pour les composants open source ?
Oui. L'Annexe I dispose que les fabricants doivent documenter les composants dans un SBOM lisible par machine, sans exception pour l'open source. Si une bibliothèque open source fait partie de votre produit, elle doit figurer dans votre SBOM avec sa version et ses informations d'identification.
Quand un SBOM doit-il être soumis : lors de la mise sur le marché ou sur demande ?
Le SBOM n'a pas besoin d'être soumis de manière proactive. Il doit faire partie du dossier technique (Annexe VII), disponible et prêt à être communiqué aux autorités de surveillance du marché sur demande. Il doit exister au moment où le produit est mis sur le marché de l'UE.
Quels sont les éléments minimaux de la NTIA et satisfont-ils aux exigences du CRA ?
Les éléments minimaux de la NTIA (nom du fournisseur, nom du composant, version, identifiants uniques, relations de dépendance, auteur du SBOM et horodatage) sont globalement alignés avec ce que le CRA et la BSI TR-03183 exigent au niveau de base. Ils constituent un plancher de départ raisonnable, mais les champs obligatoires de la TR-03183 vont plus loin : les valeurs de hachage et les identifiants PURL sont attendus pour la conformité CRA.
Puis-je réutiliser les SBOM de mes fournisseurs pour satisfaire au CRA ?
Partiellement. Les SBOM des fournisseurs constituent une source valide pour les composants qu'ils livrent, et le CRA attend des fabricants qu'ils s'appuient sur la documentation amont. Cependant, l'obligation prévue par l'Annexe I incombe au fabricant du produit intégré : vous devez produire et maintenir un SBOM pour le produit tel que livré, ce qui implique de consolider les SBOM des fournisseurs avec vos propres composants et dépendances de build. Si un SBOM fournisseur est dépourvu des champs requis par la BSI TR-03183 (PURL, hachage, licence), vous êtes responsable de combler ces lacunes. Traitez les SBOM des fournisseurs comme une matière première, et non comme un artefact de conformité finalisé.