Le Cyber Resilience Act, officiellement le Règlement (UE) 2024/2847, introduit pour la première fois un cadre horizontal de cybersécurité applicable à l’ensemble des produits comportant des éléments numériques. Il impose des obligations fortes aux fabricants et distributeurs, et prévoit un régime de surveillance et de sanctions.
Les objectifs du CRA
L’ambition du CRA est double :
- Renforcer la confiance dans les produits numériques mis sur le marché européen en imposant qu’ils soient conçus, développés et maintenus avec un niveau de cybersécurité adapté.
- Réduire les risques systémiques liés à l’exploitation de vulnérabilités, qui peuvent avoir des conséquences économiques, sécuritaires et sociétales majeures.
Le champ d’application du CRA
Le CRA s’applique à une large gamme de produits avec éléments numériques :
- Matériel (hardware) : objets connectés, routeurs, équipements industriels, systèmes embarqués, etc.
- Logiciels (software) : systèmes d’exploitation, applications, bibliothèques logicielles intégrées dans des produits.
Sont exclus certains produits déjà couverts par une réglementation sectorielle spécifique (comme par exemple les dispositifs médicaux, l’aviation, l’automobile) lorsque les exigences en cybersécurité y sont équivalentes.
Les obligations pèsent principalement sur les fabricants, mais également sur les importateurs et distributeurs établis dans l’UE.
Les exigences du CRA
Le CRA s’articule autour de plusieurs piliers :
- Exigences essentielles de cybersécurité : intégration de la sécurité dès la conception (“security by design”), obligation de suivi et de correction des vulnérabilités pendant tout le cycle de vie du produit, documentation technique démontrant la conformité, etc.
- Obligations de mise à jour et de support : les fabricants doivent assurer un suivi pendant une période déterminée (durée de support minimale).
- Obligations de reporting : à compter du 11 septembre 2026, les fabricants devront notifier :
- Toute vulnérabilité activement exploitée découverte sur un produit.
- Tout incident de cybersécurité grave affectant un produit.
La notification devra être faite dans les 24 heures (alerte précoce), puis complétée dans les 72 heures et suivie d’un rapport final.
Les utilisateurs concernés devront également être informés, ainsi que les autorités compétentes.
- Évaluation de conformité : certains produits jugés “critiques” feront l’objet d’une évaluation de conformité renforcée (par un tiers).
Les sanctions
Les sanctions prévues en cas de manquement aux obligations du CRA peuvent atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial, ce qui en fait un dispositif particulièrement contraignant pour les entreprises. Ce règlement ne s’applique pas isolément : il vient compléter la directive NIS2, qui vise les opérateurs de services essentiels, et s’articule avec le règlement DORA pour le secteur financier ainsi qu’avec la révision de la directive sur la responsabilité des produits.
Entrée en vigueur du CRA
Le Cyber Resilience Act est entré en vigueur le 10 décembre 2024 et entrera en application de manière progressive :
- 11 juin 2026 : application des dispositions concernant les organismes d’évaluation de conformité.
- 11 septembre 2026 : entrée en application des obligations liées au reporting des vulnérabilités et des incidents.
- 11 décembre 2027 : application générale des autres obligations (sécurité dès la conception, conformité, documentation, etc.).
Our advice:
Le Cyber Resilience Act impose de nouvelles obligations strictes en matière de cybersécurité pour les fabricants, distributeurs et importateurs de produits numériques.
Anticiper ces exigences est essentiel pour limiter les risques de non-conformité et les sanctions associées.
Nous vous accompagnons dans l’analyse de vos obligations et la mise en place des mesures adaptées.
N’hésitez pas à nous consulter pour sécuriser votre conformité dès aujourd’hui !
