Les normes harmonisées sont les spécifications techniques qui transforment les exigences générales de l'Annexe I du Cyber Resilience Act en dispositions concrètes et vérifiables. Cette page explique ce qu'elles sont et suit chaque projet au titre de la demande de normalisation M/606 de la Commission européenne : la catégorie de produit, l'organisme qui le rédige, son statut actuel et un lien vers chaque projet public.
Synthèse
- Aucune norme harmonisée CRA n'est encore publiée au Journal officiel (au 4 juin 2026), de sorte que la présomption de conformité de l'Article 27 n'est disponible pour aucune catégorie de produit.
- Les projets de produits d'ETSI et les premières normes CEN sont les plus avancés. Les projets EN 304 6xx sont publics et consultables dès maintenant, et plusieurs normes CEN (le vocabulaire horizontal EN 40000, les volets principes et traitement des vulnérabilités, ainsi que les normes sur les éléments sécurisés EN 50764/50765/50766 et prEN 18330) ont clôturé leur enquête publique et sont en cours d'approbation.
- Le reste est plus en amont : les profils OT EN 50770, le volet exigences génériques de sécurité de l'EN 40000, l'EN 50767, ainsi que les travaux non encore numérotés du CEN/TC 224 sur l'identité et le matériel critique en sont toujours au stade pré-enquête.
- Vous n'avez pas à attendre. Lisez le projet correspondant pour anticiper les exigences et constituer les preuves de l'Annexe I que le CRA impose, quelle que soit la norme applicable.
Ce qu'est une norme harmonisée
Le Cyber Resilience Act énonce ses exigences essentielles de cybersécurité en termes juridiques généraux. Une norme harmonisée est une spécification technique, rédigée par une organisation européenne de normalisation à la demande de la Commission européenne, qui transforme ces exigences en dispositions concrètes et vérifiables. Certaines normes sont propres à un type de produit (par exemple les routeurs, ou les logiciels antivirus) ; d'autres sont horizontales et s'appliquent à toutes les catégories.
Une norme harmonisée ne prend effet juridiquement qu'une fois que la Commission publie sa référence au Journal officiel de l'Union européenne (JOUE). À partir de ce moment, un produit conforme à la norme est présumé satisfaire aux exigences couvertes par cette norme. En pratique, cela fait deux choses :
- cela donne aux fabricants un moyen reconnu et auditable de démontrer la conformité ; et
- pour les produits importants de classe I, l'application d'une norme harmonisée publiée permet au fabricant de s'auto-évaluer par contrôle interne au lieu de recourir à un organisme notifié. Cela ne supprime pas l'évaluation par tierce partie dont les produits de classe II et les produits critiques ont besoin, et les produits ordinaires hors de ces niveaux peuvent déjà s'auto-évaluer par eux-mêmes.
Statut, au 4 juin 2026 : aucune norme harmonisée CRA n'a été approuvée ni vu sa référence publiée au Journal officiel. Chaque norme des tableaux ci-dessous reste un projet, de sorte que la présomption de conformité n'est disponible pour aucune catégorie de produit. L'approbation (ratification en tant qu'EN) et la citation distincte au Journal officiel sont deux jalons ultérieurs, et aucun n'a été atteint ; les premières normes devraient être livrées au second semestre 2026, la citation suivant ensuite. Utilisez les projets pour anticiper les exigences, non comme une base achevée de conformité.
Comment les normes sont élaborées
La Commission a demandé aux deux organisations européennes de normalisation de rédiger ces normes au moyen de la demande de normalisation M/606 :
- ETSI (comité technique CYBER, CYBER-EUSR) rédige les normes pour la plupart des catégories de logiciels importants et de produits connectés. Elles portent des références EN 304 6xx et sont les plus avancées ; leurs projets sont publics dans le dossier de consultation ouverte ETSI CYBER-EUSR, avec l'historique des projets dans les dépôts STAN4CRA d'ETSI Labs, et sont liés individuellement ci-dessous.
- Le CEN et le CENELEC rédigent les normes horizontales (la série EN 40000), les profils des technologies opérationnelles (série EN 50770), les normes sur les semi-conducteurs (EN 5076x), ainsi que les travaux sur l'identité et les éléments sécurisés au sein du CEN/TC 224. Elles n'ont pas de dossier public unique ; le statut est suivi via la matrice des projets de normalisation CRA du DIN/DKE, la recherche de normes CEN/CENELEC, et les travaux techniques STAN4CRA.
Un projet passe par des versions de groupe de travail et une enquête CEN publique (pour ETSI, une consultation ouverte et un vote d'approbation), puis la ratification en tant qu'EN. Le CEN-CENELEC peut sauter un vote formel distinct et publier directement après une enquête positive. La ratification n'est toujours pas la ligne d'arrivée : la Commission doit ensuite citer la référence au Journal officiel, et seule cette citation déclenche la présomption de conformité. En juin 2026, plusieurs projets CEN ont clôturé leur enquête publique (le vocabulaire EN 40000, les volets principes et traitement des vulnérabilités, et les normes sur les éléments sécurisés) et l'EN 304 627 d'ETSI est au stade de projet final ; aucun n'est ratifié ni cité. Les premières normes devraient être livrées au second semestre 2026, la citation au Journal officiel suivant sur un calendrier que la Commission n'a pas encore confirmé.
Comment lire le statut
| Statut | Signification |
|---|---|
| En cours d'élaboration | Tâche active ; aucun projet public confirmé dans nos sources. |
| Projet mature | Un projet mature public est disponible (lié dans le tableau). |
| Projet final | Un projet final est disponible, proche du vote formel. |
| Enquête clôturée | Le projet a passé son enquête publique CEN (un tour de commentaires et de vote) et est en cours de finalisation pour approbation. Le texte n'est pas gratuit : une copie de projet peut généralement s'acheter auprès d'un organisme national de normalisation tel que le DIN, mais il n'existe pas de PDF public gratuit, raison pour laquelle ces lignes affichent « n/a » pour le projet. |
| Approuvée (EN ratifiée) | Adoptée en tant qu'EN par le CEN-CENELEC ou ETSI, mais pas encore citée au Journal officiel, donc pas encore de présomption de conformité. |
| Publiée au JOUE | Référence au Journal officiel ; la présomption de conformité s'applique. |
Les tableaux ci-dessous sont groupés par niveau de conformité CRA. Les normes horizontales s'appliquent à chaque produit ; les normes propres à un produit sont réparties en produits importants de classe I, produits importants de classe II et produits critiques, parce que le niveau détermine la voie de conformité. La référence de la norme indique qui la rédige : EN 304 6xx = ETSI ; EN 40000 = CEN-CLC/JTC 13 ; EN 50770 = profils technologies opérationnelles du CLC/TC 65X qui accompagnent les normes ETSI pour les mêmes fonctions ; EN 5076x = CLC/TC 47X ; EN 18330 = CEN/TC 224.
Aucune norme n'a atteint « Approuvée (EN ratifiée) » ni « Publiée au JOUE ». Le statut reflète les preuves publiques les plus récentes à la date indiquée en tête de cette page.
Normes horizontales
La série EN 40000, rédigée par le CEN-CLC/JTC 13, s'applique à chaque produit comportant des éléments numériques, en plus de toute norme propre à un produit dans les sections ci-dessous.
| M/606 | Norme | Sujet | Statut |
|---|---|---|---|
| n/a | EN 40000-1-1 | Vocabulaire et terminologie | Enquête clôturée |
| 1 | EN 40000-1-2 | Principes de cyberrésilience | Enquête clôturée |
| 2-14 | EN 40000-1-4 | Exigences génériques de sécurité | En cours d'élaboration |
| 15 | EN 40000-1-3 | Traitement des vulnérabilités | Enquête clôturée |
Produits importants : classe I
Ces normes couvrent les catégories de classe I de l'Annexe III. L'application d'une norme harmonisée publiée permet à un fabricant de classe I de s'auto-évaluer par contrôle interne ; sans elle, la conformité doit être démontrée autrement.
| M/606 | Norme | Catégorie de produit | Statut | Dernier projet public |
|---|---|---|---|---|
| 16 | Référence non encore attribuée | Gestion des identités, gestion des accès à privilèges, lecteurs d'authentification | En cours d'élaboration | n/a |
| 17a/b | EN 304 617 | Navigateurs intégrés et autonomes | Projet mature | V0.1.1 · Apr 2026 |
| 18 | EN 304 618 | Gestionnaires de mots de passe | En cours d'élaboration | Pas encore public |
| 19 | EN 304 619 | Antivirus / antimaliciel | Projet mature | V0.0.26 · Apr 2026 |
| 20a | EN 304 620 | Réseaux privés virtuels (VPN) | Projet mature | V0.1.9 · Apr 2026 |
| 20b | prEN 50770-4 | VPN OT | En cours d'élaboration | n/a |
| 21a | EN 304 621 | Systèmes de gestion de réseau | Projet mature | V0.1.3 · Apr 2026 |
| 21b | prEN 50770-2 | Systèmes de gestion de réseau OT | En cours d'élaboration | n/a |
| 22a | EN 304 622 | SIEM | En cours d'élaboration | Pas encore public |
| 22b | prEN 50770-6 | SIEM OT | En cours d'élaboration | n/a |
| 23 | EN 304 623 | Gestionnaires de démarrage | Projet mature | V0.1.1 · May 2026 |
| 24 | EN 304 624 | Logiciels d'ICP / d'émission de certificats | En cours d'élaboration | Pas encore public |
| 25a | EN 304 625 | Interfaces réseau physiques et virtuelles | Projet mature | V0.0.14 · Apr 2026 |
| 25b | prEN 50770-3 | Interfaces réseau physiques et virtuelles OT | En cours d'élaboration | n/a |
| 26 | EN 304 626 | Systèmes d'exploitation | Projet mature | V0.2.0 · Apr 2026 |
| 27a | EN 304 627 | Routeurs, modems, commutateurs | Projet final | V1.0.0 · Jun 2026 |
| 27b | prEN 50770-5 | Routeurs, modems, commutateurs OT | En cours d'élaboration | n/a |
| 28-29 | EN 50765 | Microprocesseurs et microcontrôleurs à fonctions de sécurité | Enquête clôturée | n/a |
| 30 | EN 50767 | ASIC et FPGA à fonctions de sécurité | En cours d'élaboration | n/a |
| 31 | EN 304 631 | Assistants vocaux pour maison connectée | Projet mature | V0.2.1.4 · Apr 2026 |
| 32 | EN 304 632 | Produits de maison connectée à fonctionnalités de sécurité (par exemple caméras de sécurité) | Projet mature | V0.2.1.4 · Apr 2026 |
| 33 | EN 304 633 | Jouets connectés à Internet | Projet mature | V0.2.3.3 · Apr 2026 |
| 34 | EN 304 634 | Objets connectés portés sur soi | Projet mature | V0.2.6 · Apr 2026 |
Produits importants : classe II
Les produits de classe II nécessitent toujours une évaluation par tierce partie (organisme notifié) ; une norme harmonisée ne débloque pas l'auto-évaluation pour eux.
| M/606 | Norme | Catégorie de produit | Statut | Dernier projet public |
|---|---|---|---|---|
| 35 | EN 304 635 | Hyperviseurs et systèmes d'exécution de conteneurs | Projet mature | V0.0.15 · Apr 2026 |
| 36a | EN 304 636 | Pare-feu / IDS / IPS | Projet mature | V0.1.0 · Apr 2026 |
| 36b | prEN 50770-1 | Pare-feu / IDS / IPS OT | En cours d'élaboration | n/a |
| 37-38 | EN 50766 | Microprocesseurs et microcontrôleurs inviolables | Enquête clôturée | n/a |
Produits critiques
Les produits critiques (Annexe IV) doivent recourir à un schéma européen de certification de cybersécurité lorsqu'un tel schéma est imposé, ou sinon aux mêmes voies tierces que les produits de classe II. Une norme harmonisée ne supprime pas cette exigence.
| M/606 | Norme | Catégorie de produit | Statut |
|---|---|---|---|
| 39 | Référence non encore attribuée | Dispositifs matériels avec boîtiers de sécurité | En cours d'élaboration |
| 40 | Référence non encore attribuée | Passerelles de compteurs intelligents (CEN-CLC/JTC 13 WG 6) | En cours d'élaboration |
| 41a | EN 50764 | Plateformes de cartes à puce et d'éléments sécurisés | Enquête clôturée |
| 41b | EN 18330 / prEN 18330 | Cartes à puce et éléments sécurisés, couche applicative | Enquête clôturée |
Foire aux questions
Des normes harmonisées CRA sont-elles déjà en vigueur ?
Non. Au 4 juin 2026, aucune norme harmonisée CRA n'a été approuvée (ratifiée en tant qu'EN) ni vu sa référence publiée au Journal officiel, de sorte que la présomption de conformité de l'Article 27 n'est disponible pour aucune catégorie de produit. Chaque norme listée ici reste un projet. Les projets horizontaux EN 40000 (enquête publique clôturée) et les projets EN 304 6xx d'ETSI sont les plus avancés, mais l'approbation et la citation distincte au Journal officiel sont des étapes ultérieures. Les premières normes devraient être livrées au second semestre 2026, la citation suivant à une date que la Commission n'a pas encore confirmée.
Dois-je attendre une norme harmonisée pour me conformer au CRA ?
Non. Une norme harmonisée est une voie pour démontrer la conformité, pas la seule. Les obligations du CRA s'appliquent selon le calendrier propre au règlement, qu'une norme existe ou non. Vous pouvez satisfaire directement aux exigences essentielles de l'Annexe I et consigner la manière dont vous le faites dans votre documentation technique. Une norme publiée donne simplement un moyen reconnu et auditable de montrer la conformité aux exigences qu'elle couvre, et pour les produits importants de classe I elle ouvre la voie de l'auto-évaluation par contrôle interne.
Que m'apporte concrètement la « présomption de conformité » ?
Au titre de l'Article 27, un produit conforme à une norme harmonisée dont la référence est publiée au Journal officiel est présumé satisfaire aux exigences de l'Annexe I que cette norme couvre. En pratique, cela vous donne une base reconnue et défendable pour votre revendication de conformité, et pour les produits importants de classe I cela vous permet de vous auto-évaluer par contrôle interne au lieu de recourir à un organisme notifié. Cela ne change pas l'évaluation par tierce partie que les produits de classe II et critiques exigent au titre de l'Article 32.
Où puis-je lire les projets de normes ?
Cela dépend de qui les rédige. Les projets ETSI EN 304 6xx sont publiés gratuitement dans le dossier de consultation ouverte ETSI CYBER-EUSR, liés par norme dans les tableaux ci-dessus. Les projets CEN/CENELEC (EN 40000, EN 50770, EN 5076x et les travaux du CEN/TC 224) sont différents : il n'existe pas de dossier public gratuit. Vous pouvez constater qu'un projet existe et en acheter une copie auprès d'un organisme national de normalisation (DIN, NEN, AFNOR, BSI, etc.), mais le texte n'est pas publié gratuitement, et une fois l'enquête publique d'un projet clôturée même l'accès gratuit aux commentaires prend fin. C'est pourquoi ces lignes affichent « n/a » pour le dernier projet public.
Puis-je m'appuyer sur un projet mature ou final avant sa publication ?
Utilisez-le pour anticiper les exigences, non comme une base juridique achevée. Un projet mature ou final est généralement proche de la formulation finale, mais il peut encore changer lors du vote formel ou de l'évaluation de la Commission, et la présomption de conformité ne s'applique pas tant que la référence n'apparaît pas au Journal officiel. Le lire dès maintenant reste le moyen le plus rapide de se préparer.
Quelle est la différence entre les normes EN 304 6xx et EN 40000 ?
Les normes EN 304 6xx, rédigées par ETSI, sont propres à un produit : chacune vise une catégorie comme les navigateurs, les systèmes d'exploitation ou les routeurs. La série EN 40000, rédigée par le CEN-CLC/JTC 13, est horizontale : elle fixe les principes, les exigences génériques de sécurité et les règles de traitement des vulnérabilités qui s'appliquent à toutes les catégories. Un même produit peut devoir lire à la fois une norme horizontale et celle propre à sa catégorie.
Certaines de ces normes couvrent-elles les produits critiques, et pas seulement les produits importants ?
Oui. La plupart des normes suivies couvrent les produits importants, mais quelques-unes couvrent les produits critiques : la norme sur les plateformes d'éléments sécurisés (EN 50764), ainsi que les travaux sur les dispositifs matériels avec boîtiers de sécurité, les passerelles de compteurs intelligents et les cartes à puce. Les produits critiques doivent recourir à un schéma européen de certification de cybersécurité lorsqu'un tel schéma est imposé, ou sinon aux mêmes voies d'évaluation par tierce partie que les produits de classe II. La section sur les produits critiques les signale séparément. Une norme harmonisée ne permet pas à un produit critique d'échapper à cette évaluation comme c'est possible pour un produit important de classe I.
Quand les normes seront-elles publiées au Journal officiel ?
Il n'existe pas de date de publication confirmée pour aucune norme harmonisée CRA. Les projets ETSI EN 304 6xx sont les plus proches, plusieurs au stade de projet mature ou final, mais chacun doit encore passer son vote formel et l'évaluation de la Commission avant qu'une référence puisse être citée. Traitez la colonne de statut ici comme l'état actuel et vérifiez les suivis des organismes de normalisation liés ci-dessus pour toute évolution.