Conformité au Cyber Resilience Act pour les Fabricants de Machines
Votre machine comporte des éléments numériques. Votre marquage CE exige désormais des preuves de cybersécurité. CRA Evidence aide les constructeurs de machines à se conformer à la fois au Cyber Resilience Act et au Règlement européen sur les machines, depuis une seule plateforme.
La réalité de la double conformité
À partir du 20 janvier 2027, le Règlement européen sur les machines (UE) 2023/1230 exige des preuves de cybersécurité dans le dossier technique (Annexe III §1.1.9 « protection contre la corruption »). À partir du 11 décembre 2027, le CRA impose une sécurité produit complète sur l'ensemble du cycle de vie. Les deux s'appliquent aux machines équipées d'automates programmables, d'IHM, de contrôleurs embarqués ou d'une connectivité réseau.
Le Considérant 53 du CRA est explicite : les produits couverts par d'autres réglementations de l'UE ayant des exigences de cybersécurité doivent également se conformer au CRA. Les preuves de conformité au CRA peuvent satisfaire ces exigences, si elles sont correctement structurées.
Comment CRA Evidence aide les constructeurs de machines
| Votre Besoin de Conformité | Comment CRA Evidence Aide | Base Réglementaire |
|---|---|---|
| Suivre les logiciels dans vos machines | Gestion SBOM + HBOM | CRA Annexe I + dossier technique RM |
| Analyser le firmware embarqué | Importer la SBOM firmware et analyser les CVE | Gestion des vulnérabilités CRA + RM §1.1.9 |
| Évaluer les risques de cybersécurité | Évaluation des risques STRIDE avec actifs matériels | CRA Art. 13(2) + RM §1.1.9 |
| Notifier les vulnérabilités à l'ENISA | Flux de notification 24h/72h/14j | CRA Art. 14 (à partir de sep. 2026) |
| Générer des preuves de marquage CE | Générateur de DoC UE + export dossier technique | CRA Art. 22-23 + conformité RM |
| Assurer la transparence du produit | Passeport numérique de produit avec codes QR | CRA + Écoconception |
| Gérer les composants de la chaîne d'approvisionnement | Vérification importateurs/distributeurs | CRA Art. 19-20 |
Produits concernés
Machines CNC, cobots, machines d'emballage, automates de sécurité, robots industriels, IHM, variateurs de fréquence avec interfaces réseau, AGV/AMR, machines à injection plastique, machines à bois à commande numérique, machines connectées avec surveillance à distance ou télémétrie. En substance toute machine dotée de logiciels ou d'une connectivité réseau.
Échéances clés
11 septembre 2026 : Début de la notification des vulnérabilités à l'ENISA. Les fabricants de machines comportant des éléments numériques doivent signaler les vulnérabilités activement exploitées dans un délai de 24 heures.
20 janvier 2027 : Application complète du Règlement sur les machines. Preuves de cybersécurité requises dans les dossiers techniques conformément à l'Annexe III §1.1.9.
11 décembre 2027 : Application complète du CRA. Tous les produits comportant des éléments numériques doivent satisfaire aux exigences essentielles de cybersécurité.
La norme émergente : prEN 50742
prEN 50742 est le projet de norme européenne pour la protection contre la corruption dans les machines, fournissant des spécifications techniques pour le §1.1.9 du Règlement sur les machines. Il définit deux voies de conformité : une approche autonome et l'intégration avec IEC 62443 pour les fabricants qui travaillent déjà dans ce cadre de cybersécurité industrielle. Une fois publiée comme norme harmonisée, la conformité avec prEN 50742 créera une présomption de conformité avec les exigences de cybersécurité du Règlement sur les machines. La publication est attendue fin 2026.
Ce que nous couvrons et ce que nous ne couvrons pas
CRA Evidence couvre les aspects de conformité en matière de cybersécurité du Règlement sur les machines : SBOM, HBOM, suivi des vulnérabilités, évaluation des risques, notifications à l'ENISA, documentation relative au marquage CE et Passeports numériques de produits.
Pour la sécurité mécanique, la sécurité électrique, le bruit, les vibrations et les autres exigences non-cyber du Règlement sur les machines, consultez votre processus de conformité existant. CRA Evidence traite l'intersection cybersécurité, pas le périmètre complet du Règlement sur les machines.
Sources officielles
- Règlement européen sur les machines (UE) 2023/1230, EUR-Lex. Journal officiel, adopté le 14 juin 2023, applicable à partir du 20 janvier 2027
- Machines, Commission européenne. Orientations et ressources de mise en œuvre de la DG GROW
- Cyber Resilience Act (UE) 2024/2847, EUR-Lex. Application complète à partir du 11 décembre 2027
Prêt à Commencer Votre Parcours de Conformité CRA ?
Septembre 2026 est plus proche qu'il n'y paraît. Commencez dès aujourd'hui à documenter les preuves de cybersécurité de vos machines.