Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Cybersécurité/CRA
🛡️Cybersécurité & IT

Règlement sur la cyberrésilience (CRA) — Exigences de cybersécurité horizontales pour les produits comportant des éléments numériques

Analyse du 17 avril 20263 sourcesVersion consolidée du 20.11.2024 (000.003)EUR-Lex Original

Mon produit connecté doit-il passer une évaluation de cybersécurité avant sa mise sur le marché européen, et que risque-t-on si les correctifs de vulnérabilités ne sont pas livrés à temps ?

Tout fabricant de produits comportant des éléments numériques vendus dans l'UE doit se conformer au CRA d'ici le 11 décembre 2027 — sous peine d'amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial, le chef produit et le RSSI devant agir en priorité.

Réponse courte

Le règlement (UE) 2024/2847 impose des exigences de cybersécurité dès la conception pour tout produit matériel ou logiciel connecté à un réseau [Art. 2 par. 1]. Les fabricants doivent réaliser une évaluation des risques de cybersécurité, établir une nomenclature des logiciels (SBOM) et assurer la gestion des vulnérabilités pendant toute la période d'assistance, d'au moins cinq ans [Art. 13 par. 8]. Toute vulnérabilité activement exploitée doit être notifiée au CSIRT coordinateur et à l'ENISA dans un délai de 24 heures [Art. 14 par. 2, point a)]. Les produits classés 'importants' (annexe III) ou 'critiques' (annexe IV) sont soumis à des procédures d'évaluation de conformité renforcées impliquant un organisme notifié [Art. 32 par. 2-4].

Concernés

Tout opérateur économique — fabricant, importateur, distributeur — mettant sur le marché de l'UE un produit comportant des éléments numériques connecté directement ou indirectement à un réseau [Art. 2 par. 1]. Les produits relevant des dispositifs médicaux (règlement 2017/745), de l'aviation civile (règlement 2018/1139) et des véhicules (règlement 2019/2144) sont exclus [Art. 2 par. 2-3]. Les micro-entreprises et PME bénéficient de frais d'évaluation réduits [Art. 32 par. 6], et les intendants de logiciels ouverts sont exemptés d'amendes [Art. 64 par. 10, point b)].

Échéance

L'obligation de notification des vulnérabilités (article 14) s'applique à compter du 11 septembre 2026. L'ensemble du règlement devient applicable le 11 décembre 2027. Les certificats d'examen UE de type existants restent valables jusqu'au 11 juin 2028 au plus tard [Art. 69 par. 1].

Risque

Plafond : 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour non-respect des exigences essentielles de cybersécurité (annexe I) ou des obligations du fabricant [Art. 64 par. 1]. Deuxième palier : 10 millions d'euros ou 2 % pour manquements aux obligations des importateurs, distributeurs ou de marquage CE [Art. 64 par. 2]. Troisième palier : 5 millions d'euros ou 1 % pour fourniture d'informations inexactes aux autorités [Art. 64 par. 3].

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-17
  • Version consolidée du 20.11.2024 (000.003)

Sources primaires

À faire maintenant

Juridique / DPO

  • Vérifier le champ d'application du CRA pour chaque gamme de produits et identifier les exclusions sectorielles applicables (dispositifs médicaux, aviation, véhicules) [Art. 2 par. 2-4]
  • Rédiger et déposer la déclaration UE de conformité incluant les éléments requis à l'annexe V, et conserver la documentation technique pendant au moins dix ans [Art. 28, Art. 13 par. 13]
  • Mettre en place la politique de divulgation coordonnée des vulnérabilités et désigner un point de contact unique pour les signalements [Art. 13 par. 17, annexe I partie II point 5)]

Conformité

  • Cartographier les produits relevant des catégories 'importants' (annexe III, classes I et II) et 'critiques' (annexe IV) pour déterminer la procédure d'évaluation de conformité requise [Art. 7, Art. 8, Art. 32]
  • Mettre en place le processus de notification obligatoire au CSIRT coordinateur et à l'ENISA : alerte précoce en 24 heures, notification complète en 72 heures, rapport final en 14 jours [Art. 14 par. 2]
  • Définir et documenter la période d'assistance pour chaque produit (minimum cinq ans) et garantir la disponibilité des mises à jour de sécurité pendant dix ans après leur publication [Art. 13 par. 8-9]

IT / Sécurité

  • Établir une nomenclature des logiciels (SBOM) au format lisible par machine couvrant au minimum les dépendances de premier niveau, et mettre en place un processus de mise à jour continue [Annexe I partie II point 1)]
  • Implémenter les exigences essentielles de cybersécurité dès la conception : protection contre les accès non autorisés, chiffrement des données, intégrité et minimisation des surfaces d'attaque [Annexe I partie I]
  • Séparer les mises à jour de sécurité des mises à jour fonctionnelles et déployer un mécanisme de distribution sécurisé et automatique [Annexe I partie II points 2) et 7)]

Produit / Ingénierie

  • Afficher la date de fin de la période d'assistance au point de vente et intégrer les informations et instructions utilisateur requises à l'annexe II [Art. 13 par. 19, Art. 13 par. 18]
  • Planifier l'évaluation de conformité selon le module applicable (autocontrôle module A, examen UE de type modules B+C, ou assurance qualité complète module H) et budgéter les frais d'organisme notifié pour les produits de classe II [Art. 32 par. 1-3, annexe VIII]
  • Intégrer la cybersécurité dans le cycle de développement produit : évaluation des risques avant mise sur le marché, diligence raisonnable sur les composants tiers y compris open source [Art. 13 par. 2-5]

Termes clés

Produit comportant des éléments numériques
Tout produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants mis sur le marché séparément, dont l'utilisation prévue comprend une connexion à un réseau [Art. 3 point 1)].
Nomenclature des logiciels (SBOM)
Document formel détaillant les composants logiciels et leurs relations dans la chaîne d'approvisionnement d'un produit, établi dans un format lisible par machine [Art. 3 point 53), annexe I partie II point 1)].
Période d'assistance
Durée pendant laquelle le fabricant garantit le traitement des vulnérabilités conformément aux exigences de l'annexe I partie II, d'au moins cinq ans sauf durée de vie plus courte du produit [Art. 3 point 20), Art. 13 par. 8].
Intendant de logiciels ouverts
Personne morale, autre que le fabricant, assurant un soutien systématique et continu au développement de produits open source destinés à des activités commerciales, soumise à des obligations allégées et exemptée d'amendes [Art. 3 point 14), Art. 24].
Vulnérabilité activement exploitée
Vulnérabilité pour laquelle il existe des preuves fiables qu'elle a été exploitée par un acteur malveillant dans un système, déclenchant l'obligation de notification en 24 heures [Art. 3 point 42), Art. 14 par. 1].
Évaluation de la conformité
Processus de vérification du respect des exigences essentielles de cybersécurité de l'annexe I, pouvant inclure l'autocontrôle (module A), l'examen de type (modules B+C) ou l'assurance qualité complète (module H) [Art. 3 point 27), Art. 32].
Modification substantielle
Toute modification d'un produit après sa mise sur le marché qui affecte sa conformité aux exigences du CRA ou qui modifie l'utilisation prévue pour laquelle le produit a été évalué [Art. 3 point 31), Art. 69 par. 2].
?

Questions fréquentes

Le CRA s'applique-t-il aux logiciels SaaS purs sans composant matériel ?
Le CRA couvre les produits dont l'utilisation prévue comprend une connexion directe ou indirecte à un réseau [Art. 2 par. 1]. Un logiciel mis sur le marché séparément (y compris le traitement de données à distance intégré au produit) est inclus dans la définition de 'produit comportant des éléments numériques' [Art. 3 point 1)]. Les solutions purement SaaS qui ne sont pas mises sur le marché en tant que produit distinct ne relèvent pas directement du CRA, mais le traitement de données à distance d'un produit couvert est dans le champ.
Les projets open source sont-ils soumis au CRA ?
Les logiciels libres et ouverts développés ou fournis en dehors d'une activité commerciale sont exclus. En revanche, un fabricant commercialisant un produit open source est pleinement soumis au règlement [Art. 13]. Les 'intendants de logiciels ouverts' ont des obligations allégées (politique de cybersécurité, coopération avec les autorités) et sont exemptés d'amendes [Art. 24, Art. 64 par. 10 point b)].
Quels sont les délais de notification en cas de vulnérabilité activement exploitée ?
Le fabricant doit adresser une alerte précoce au CSIRT coordinateur et à l'ENISA dans les 24 heures suivant la prise de connaissance, une notification détaillée dans les 72 heures, puis un rapport final dans les 14 jours suivant la disponibilité du correctif [Art. 14 par. 2 points a), b) et c)]. Pour les incidents graves, le rapport final est dû dans un délai d'un mois [Art. 14 par. 4 point c)].
Quelle est la durée minimale de la période d'assistance ?
La période d'assistance durant laquelle le fabricant doit gérer les vulnérabilités est d'au moins cinq ans, sauf si la durée de vie prévue du produit est plus courte [Art. 13 par. 8]. Les mises à jour de sécurité doivent rester disponibles pendant au moins dix ans après leur publication [Art. 13 par. 9].
Qu'est-ce que la nomenclature des logiciels (SBOM) exigée par le CRA ?
Il s'agit d'un document formel détaillant les composants et leurs relations dans la chaîne d'approvisionnement du produit [Art. 3 point 53)]. Le fabricant doit l'établir dans un format lisible par machine couramment utilisé, couvrant au minimum les dépendances de premier niveau [Annexe I partie II point 1)]. La Commission peut préciser le format par acte d'exécution [Art. 13 par. 24].
Les micro-entreprises et PME bénéficient-elles d'aménagements ?
Les frais d'évaluation de conformité facturés par les organismes notifiés doivent être réduits proportionnellement pour les micro-entreprises, petites et moyennes entreprises, ainsi que les jeunes pousses [Art. 32 par. 6]. Les micro et petites entreprises fabricantes sont exemptées d'amendes pour dépassement du délai de 24 heures de l'alerte précoce [Art. 64 par. 10 point a)].
Quelle procédure d'évaluation de conformité s'applique à mon produit ?
Les produits par défaut peuvent recourir à l'autocontrôle interne (module A) [Art. 32 par. 1]. Les produits 'importants' de classe I doivent passer par un organisme notifié (modules B+C ou H) s'ils n'appliquent pas de normes harmonisées [Art. 32 par. 2]. Les produits de classe II exigent un organisme notifié ou une certification européenne de niveau 'substantiel' [Art. 32 par. 3]. Les produits 'critiques' (annexe IV) suivent les mêmes règles que la classe II, sauf si la Commission impose une certification spécifique [Art. 32 par. 4].
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.