Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Cybersécurité/CRA
🛡️Cybersécurité & IT

Règlement sur la cyberrésilience (CRA) — Exigences de cybersécurité horizontales pour les produits comportant des éléments numériques

Analyse du 17 avril 20263 sourcesVersion originale du règlement (UE) 2024/2847, complétée par l'art. 104 du règlement (UE) 2025/327 du 11 février 2025 — voie de conformité distincte pour les systèmes DME ; application échelonnée de l'EHDS à partir du 26 mars 2027.EUR-Lex Original

Mon produit connecté doit-il passer une évaluation de cybersécurité avant sa mise sur le marché européen, et que risque-t-on si les correctifs de vulnérabilités ne sont pas livrés à temps ?

Tout fabricant de produits comportant des éléments numériques vendus dans l'UE doit se conformer au CRA d'ici le 11 décembre 2027 — sous peine d'amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial, le chef produit et le RSSI devant agir en priorité ; Le règlement (UE) 2025/327 (EHDS) modifie le CRA via l'art. 104 de sorte que les systèmes DME démontrent la conformité par la procédure d'évaluation de l'EHDS (chapitre III EHDS) plutôt que par la voie standard du CRA [Art. 32, par. 5 bis, CRA, inséré par (UE) 2025/327 Art. 104 (UE) 2025/327, point 3].

Réponse courte

Le règlement (UE) 2024/2847 impose des exigences de cybersécurité dès la conception pour tout produit matériel ou logiciel connecté à un réseau [Art. 2 par. 1]. Les fabricants doivent réaliser une évaluation des risques de cybersécurité, établir une nomenclature des logiciels (SBOM) et assurer la gestion des vulnérabilités pendant toute la période d'assistance, d'au moins cinq ans [Art. 13 par. 8]. Toute vulnérabilité activement exploitée doit être notifiée au CSIRT coordinateur et à l'ENISA dans un délai de 24 heures [Art. 14 par. 2, point a)]. Les produits classés 'importants' (annexe III) ou 'critiques' (annexe IV) sont soumis à des procédures d'évaluation de conformité renforcées impliquant un organisme notifié [Art. 32 par. 2-4]. Le règlement (UE) 2025/327 du 11 février 2025 (espace européen des données de santé, EHDS) modifie le CRA via l'art. 104 (UE) 2025/327 sur trois points : (1) pour les produits soumis à plusieurs actes de l'Union, l'évaluation des risques en matière de cybersécurité peut faire partie de l'évaluation requise par ces autres actes [art. 13, par. 4 CRA nouveau] ; (2) une documentation technique unique peut être établie [art. 31, par. 3 CRA nouveau] ; (3) les fabricants de systèmes DME comportant des éléments numériques démontrent la conformité aux exigences essentielles du CRA par la procédure d'évaluation de la conformité du chapitre III de l'EHDS [art. 32, par. 5 bis CRA, inséré par (UE) 2025/327 Art. 104 (UE) 2025/327, point 3]. Les obligations principales du CRA restent inchangées.

Concernés

Tout opérateur économique — fabricant, importateur, distributeur — mettant sur le marché de l'UE un produit comportant des éléments numériques connecté directement ou indirectement à un réseau [Art. 2 par. 1]. Les produits relevant des dispositifs médicaux (règlement 2017/745), de l'aviation civile (règlement 2018/1139) et des véhicules (règlement 2019/2144) sont exclus [Art. 2 par. 2-3]. Les micro-entreprises et PME bénéficient de frais d'évaluation réduits [Art. 32 par. 6], et les intendants de logiciels ouverts sont exemptés d'amendes [Art. 64 par. 10, point b)]. Sont en outre visés par la modification EHDS : les fabricants de systèmes de dossiers médicaux électroniques (systèmes DME) comportant des éléments numériques — ils utilisent la procédure d'évaluation de la conformité de l'EHDS plutôt que la voie standard du CRA.

Échéance

L'obligation de notification des vulnérabilités (article 14) s'applique à compter du 11 septembre 2026. L'ensemble du règlement devient applicable le 11 décembre 2027. Les certificats d'examen UE de type existants restent valables jusqu'au 11 juin 2028 au plus tard [Art. 69 par. 1]. Les modifications du CRA par l'EHDS sont formellement en vigueur avec la publication de l'EHDS ; leur effet pratique suit l'application échelonnée de l'EHDS à partir du 26 mars 2027 (systèmes DME) et du 26 mars 2029/2031 pour des catégories de données individuelles [art. 105 (UE) 2025/327].

Risque

Plafond : 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour non-respect des exigences essentielles de cybersécurité (annexe I) ou des obligations du fabricant [Art. 64 par. 1]. Deuxième palier : 10 millions d'euros ou 2 % pour manquements aux obligations des importateurs, distributeurs ou de marquage CE [Art. 64 par. 2]. Troisième palier : 5 millions d'euros ou 1 % pour fourniture d'informations inexactes aux autorités [Art. 64 par. 3].

Preuves

Statut juridique

  • En vigueur
  • au 2026-05-12
  • Version originale du règlement (UE) 2024/2847, complétée par l'art. 104 du règlement (UE) 2025/327 du 11 février 2025 — voie de conformité distincte pour les systèmes DME ; application échelonnée de l'EHDS à partir du 26 mars 2027.

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier le champ d'application du CRA pour chaque gamme de produits et identifier les exclusions sectorielles applicables (dispositifs médicaux, aviation, véhicules) [Art. 2 par. 2-4]
  • Rédiger et déposer la déclaration UE de conformité incluant les éléments requis à l'annexe V, et conserver la documentation technique pendant au moins dix ans [Art. 28, Art. 13 par. 13]
  • Mettre en place la politique de divulgation coordonnée des vulnérabilités et désigner un point de contact unique pour les signalements [Art. 13 par. 17, annexe I partie II point 5)]

Conformité

  • Cartographier les produits relevant des catégories 'importants' (annexe III, classes I et II) et 'critiques' (annexe IV) pour déterminer la procédure d'évaluation de conformité requise [Art. 7, Art. 8, Art. 32]
  • Mettre en place le processus de notification obligatoire au CSIRT coordinateur et à l'ENISA : alerte précoce en 24 heures, notification complète en 72 heures, rapport final en 14 jours [Art. 14 par. 2]
  • Définir et documenter la période d'assistance pour chaque produit (minimum cinq ans) et garantir la disponibilité des mises à jour de sécurité pendant dix ans après leur publication [Art. 13 par. 8-9]

IT / Sécurité

  • Établir une nomenclature des logiciels (SBOM) au format lisible par machine couvrant au minimum les dépendances de premier niveau, et mettre en place un processus de mise à jour continue [Annexe I partie II point 1)]
  • Implémenter les exigences essentielles de cybersécurité dès la conception : protection contre les accès non autorisés, chiffrement des données, intégrité et minimisation des surfaces d'attaque [Annexe I partie I]
  • Séparer les mises à jour de sécurité des mises à jour fonctionnelles et déployer un mécanisme de distribution sécurisé et automatique [Annexe I partie II points 2) et 7)]

Produit / Ingénierie

  • Afficher la date de fin de la période d'assistance au point de vente et intégrer les informations et instructions utilisateur requises à l'annexe II [Art. 13 par. 19, Art. 13 par. 18]
  • Planifier l'évaluation de conformité selon le module applicable (autocontrôle module A, examen UE de type modules B+C, ou assurance qualité complète module H) et budgéter les frais d'organisme notifié pour les produits de classe II [Art. 32 par. 1-3, annexe VIII]
  • Intégrer la cybersécurité dans le cycle de développement produit : évaluation des risques avant mise sur le marché, diligence raisonnable sur les composants tiers y compris open source [Art. 13 par. 2-5]

Contrôles interactifs pour cet acte juridique

Évaluation préalable basée sur le règlement. Pas un conseil juridique.

Lancer le contrôle CRA

Termes clés

Produit comportant des éléments numériques
Tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants mis sur le marché séparément, dont l'utilisation prévue comprend une connexion à un réseau [Art. 3 point 1)].
Nomenclature des logiciels (SBOM)
Document formel détaillant les composants logiciels et leurs relations dans la chaîne d'approvisionnement d'un produit, établi dans un format lisible par machine [Art. 3 point 53), annexe I partie II point 1)].
Période d'assistance
Durée pendant laquelle le fabricant garantit le traitement des vulnérabilités conformément aux exigences de l'annexe I partie II, d'au moins cinq ans sauf durée de vie plus courte du produit [Art. 3 point 20), Art. 13 par. 8].
Intendant de logiciels ouverts
Personne morale, autre que le fabricant, assurant un soutien systématique et continu au développement de produits open source destinés à des activités commerciales, soumise à des obligations allégées et exemptée d'amendes [Art. 3 point 14), Art. 24].
Vulnérabilité activement exploitée
Vulnérabilité pour laquelle il existe des preuves fiables qu'elle a été exploitée par un acteur malveillant dans un système, déclenchant l'obligation de notification en 24 heures [Art. 3 point 42), Art. 14 par. 1].
Évaluation de la conformité
Processus de vérification du respect des exigences essentielles de cybersécurité de l'annexe I, pouvant inclure l'autocontrôle (module A), l'examen de type (modules B+C) ou l'assurance qualité complète (module H) [Art. 3 point 27), Art. 32].
Modification substantielle
Toute modification d'un produit après sa mise sur le marché qui affecte sa conformité aux exigences du CRA ou qui modifie l'utilisation prévue pour laquelle le produit a été évalué [Art. 3 point 31), Art. 69 par. 2].
?

Questions fréquentes

Le CRA s'applique-t-il aux logiciels SaaS purs sans composant matériel ?
Le CRA couvre les produits dont l'utilisation prévue comprend une connexion directe ou indirecte à un réseau [Art. 2 par. 1]. Un logiciel mis sur le marché séparément (y compris le traitement de données à distance intégré au produit) est inclus dans la définition de 'produit comportant des éléments numériques' [Art. 3 point 1)]. Les solutions purement SaaS qui ne sont pas mises sur le marché en tant que produit distinct ne relèvent pas directement du CRA, mais le traitement de données à distance d'un produit couvert est dans le champ.
Les projets open source sont-ils soumis au CRA ?
Les logiciels libres et ouverts développés ou fournis en dehors d'une activité commerciale sont exclus. En revanche, un fabricant commercialisant un produit open source est pleinement soumis au règlement [Art. 13]. Les 'intendants de logiciels ouverts' ont des obligations allégées (politique de cybersécurité, coopération avec les autorités) et sont exemptés d'amendes [Art. 24, Art. 64 par. 10 point b)].
Quels sont les délais de notification en cas de vulnérabilité activement exploitée ?
Le fabricant doit adresser une alerte précoce au CSIRT coordinateur et à l'ENISA dans les 24 heures suivant la prise de connaissance, une notification détaillée dans les 72 heures, puis un rapport final dans les 14 jours suivant la disponibilité du correctif [Art. 14 par. 2 points a), b) et c)]. Pour les incidents graves, le rapport final est dû dans un délai d'un mois [Art. 14 par. 4 point c)].
Quelle est la durée minimale de la période d'assistance ?
La période d'assistance durant laquelle le fabricant doit gérer les vulnérabilités est d'au moins cinq ans, sauf si la durée de vie prévue du produit est plus courte [Art. 13 par. 8]. Les mises à jour de sécurité doivent rester disponibles pendant au moins dix ans après leur publication [Art. 13 par. 9].
Qu'est-ce que la nomenclature des logiciels (SBOM) exigée par le CRA ?
Il s'agit d'un document formel détaillant les composants et leurs relations dans la chaîne d'approvisionnement du produit [Art. 3 point 53)]. Le fabricant doit l'établir dans un format lisible par machine couramment utilisé, couvrant au minimum les dépendances de premier niveau [Annexe I partie II point 1)]. La Commission peut préciser le format par acte d'exécution [Art. 13 par. 24].
Les micro-entreprises et PME bénéficient-elles d'aménagements ?
Les frais d'évaluation de conformité facturés par les organismes notifiés doivent être réduits proportionnellement pour les micro-entreprises, petites et moyennes entreprises, ainsi que les jeunes pousses [Art. 32 par. 6]. Les micro et petites entreprises fabricantes sont exemptées d'amendes pour dépassement du délai de 24 heures de l'alerte précoce [Art. 64 par. 10 point a)].
Quelle procédure d'évaluation de conformité s'applique à mon produit ?
Les produits par défaut peuvent recourir à l'autocontrôle interne (module A) [Art. 32 par. 1]. Les produits 'importants' de classe I doivent passer par un organisme notifié (modules B+C ou H) s'ils n'appliquent pas de normes harmonisées [Art. 32 par. 2]. Les produits de classe II exigent un organisme notifié ou une certification européenne de niveau 'substantiel' [Art. 32 par. 3]. Les produits 'critiques' (annexe IV) suivent les mêmes règles que la classe II, sauf si la Commission impose une certification spécifique [Art. 32 par. 4].
3

Facteurs d’évaluation et liste de contrôle

Premium
Vérifier gratuitement
4

Questions pour votre avocat

Premium
Vérifier gratuitement
5

Conclusion et résumé

Premium
Vérifier gratuitement

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. Kostenlos prüfen mit Scout.

Vérifier gratuitement

Keine Kreditkarte. 50 Recherchen + 5 KI-Analysen frei.