Conformité CRA pour les Fabricants de Machines

La réalité de la double conformité

À partir de janvier 2027, le Règlement européen sur les machines (2023/1230) exige des preuves de cybersécurité dans le dossier technique (Annexe III §1.1.9 « protection contre la corruption »). À partir de décembre 2027, le CRA impose une sécurité produit complète sur l'ensemble du cycle de vie. Les deux s'appliquent aux machines équipées d'automates programmables, d'IHM, de contrôleurs embarqués ou d'une connectivité réseau.

Le Considérant 53 du CRA est explicite : les produits déjà couverts par d'autres réglementations de l'UE, y compris le Règlement sur les machines, doivent également se conformer au CRA lorsque des exigences de cybersécurité s'appliquent. Les preuves de conformité au CRA peuvent satisfaire aux exigences de cybersécurité du Règlement sur les machines — si elles sont correctement structurées.

---

Comment CRA Evidence aide les constructeurs de machines

Votre besoin	Fonctionnalité CRA Evidence	Satisfait
Suivre les logiciels dans vos machines	Gestion SBOM + HBOM	CRA Annexe I + dossier technique RM
Analyser le firmware embarqué	Analyse firmware EMBA	Gestion des vulnérabilités CRA + RM §1.1.9
Évaluer les risques de cybersécurité	Évaluation des risques STRIDE avec actifs matériels	CRA Art. 13(2) + RM §1.1.9
Notifier les vulnérabilités à l'ENISA	Flux de notification 24h/72h/14j	CRA Art. 14 (à partir de sep. 2026)
Générer des preuves de marquage CE	Générateur de DoC UE + export dossier technique	CRA Art. 22-23 + conformité RM
Assurer la transparence du produit	Passeport numérique de produit avec codes QR	CRA + Écoconception
Gérer les composants de la chaîne d'approvisionnement	Vérification importateurs/distributeurs	CRA Art. 19-20

---

Produits concernés

Machines CNC, cobots, machines d'emballage, automates de sécurité, robots industriels, IHM, variateurs de fréquence avec interfaces réseau, AGV/AMR, machines à injection plastique, machines à bois à commande numérique — en substance toute machine dotée de logiciels ou d'une connectivité réseau.

---

Échéances clés

11 septembre 2026 — Début de la notification des vulnérabilités à l'ENISA. Les fabricants de machines comportant des éléments numériques doivent signaler les vulnérabilités activement exploitées dans un délai de 24 heures.

20 janvier 2027 — Application complète du Règlement sur les machines. Preuves de cybersécurité requises dans les dossiers techniques conformément à l'Annexe III §1.1.9.

11 décembre 2027 — Application complète du CRA. Tous les produits comportant des éléments numériques doivent satisfaire aux exigences essentielles de cybersécurité.

---

La norme émergente : prEN 50742

Le projet de norme européenne prEN 50742 (« Sécurité des machines — Protection contre la corruption ») fournit des spécifications techniques pour la mise en œuvre des exigences de cybersécurité du §1.1.9 du Règlement sur les machines. Deux voies de conformité sont prévues : approche autonome ou intégration IEC 62443. La publication est attendue fin 2026.

---

Ce que nous couvrons — et ce que nous ne couvrons pas

CRA Evidence couvre les aspects de conformité en matière de cybersécurité du Règlement sur les machines : SBOM, HBOM, suivi des vulnérabilités, évaluation des risques, notifications à l'ENISA, documentation relative au marquage CE et Passeports numériques de produits.

Pour la sécurité mécanique, la sécurité électrique, le bruit, les vibrations et les autres exigences non-cyber du Règlement sur les machines, consultez votre processus de conformité existant. CRA Evidence traite l'intersection cybersécurité — pas le périmètre complet du Règlement sur les machines.