Qu'est-ce que l'Acte sur la cyber-résilience ? Un guide pour les fabricants de produits
What you need to know: Qu'est-ce que l'Acte sur la cyber-résilience ? Un guide pour les fabricants de produits
L'Acte sur la cyber-résilience (Règlement 2024/2847) introduit des exigences obligatoires en matière de cybersécurité pour tous les produits comportant des éléments numériques mis sur le marché de l'UE. Les obligations de signalement s'appliquent à partir de septembre 2026 ; l'entrée en vigueur complète est prévue pour décembre 2027.
L'Acte sur la cyber-résilience (Règlement 2024/2847) est entré en vigueur le 10 décembre 2024. Il introduit des exigences obligatoires en matière de cybersécurité pour tous les produits comportant des éléments numériques mis sur le marché de l'UE — qu'il s'agisse de matériels avec logiciel intégré, de logiciels autonomes ou d'appareils connectés.
Pour la première fois, les fabricants et éditeurs de logiciels doivent démontrer leur conformité en matière de cybersécurité comme condition préalable au marquage CE. L'Acte sur la cyber-résilience comble une lacune importante du droit de l'UE : si le RGPD protège les données personnelles et la directive NIS2 protège les opérateurs d'infrastructures critiques, aucun de ces textes ne réglementait directement la sécurité des produits eux-mêmes.
Calendrier d'application
- 11 septembre 2026 : les obligations de signalement des vulnérabilités et des incidents s'appliquent
- 11 décembre 2027 : toutes les autres obligations découlant du CRA s'appliquent (exigences essentielles, évaluations de la conformité, marquage CE)
Champ d'application : quels produits le CRA couvre-t-il ?
Le CRA s'applique à tout produit comportant des éléments numériques — défini comme tout produit logiciel ou matériel et ses solutions de traitement de données à distance, lorsque le produit est destiné à une connexion de données logique ou physique, directe ou indirecte, à un appareil ou à un réseau.
Cette définition est intentionnellement large. Elle couvre :
- Les appareils IoT grand public (enceintes connectées, appareils électroménagers connectés, wearables)
- L'IoT industriel et les composants de technologie opérationnelle
- Les équipements réseau (routeurs, commutateurs, pare-feux)
- Les systèmes d'exploitation, les applications de bureau et mobiles
- Les composants de type logiciel-service (SaaS) qui traitent des données localement
- Les microcontrôleurs et microprocesseurs avec connectivité réseau
Exclusions — les produits déjà couverts par une réglementation sectorielle de l'UE en matière de cybersécurité sont exclus afin d'éviter les doublons :
- Dispositifs médicaux (MDR/IVDR)
- Véhicules à moteur (règlement sur la réception par type)
- Équipements aéronautiques (réglementations EASA)
- Produits militaires et produits relevant de la sécurité nationale
Classification des produits
Le CRA prévoit un système à quatre classes basé sur la criticité. La classe détermine la procédure d'évaluation de la conformité requise.
| Classe | Exemples | Évaluation de la conformité | |--------|----------|----------------------------| | Standard (la plupart des produits) | Électronique grand public, applications génériques, appareils domotiques | Auto-évaluation selon l'Annexe I | | Important — Classe I | Gestionnaires de mots de passe, VPN, navigateurs, outils de gestion de réseau, microcontrôleurs, pare-feux | Auto-évaluation (si norme harmonisée appliquée) ou tierce partie | | Important — Classe II | Systèmes d'exploitation pour serveurs/postes de travail/mobiles, systèmes d'automatisation industrielle, compteurs intelligents, routeurs à usage industriel | Évaluation obligatoire par tierce partie | | Critique (composants matériels de sécurité) | Modules matériels de sécurité (HSM), circuits intégrés de cartes à puce, éléments sécurisés, TPM | Évaluation obligatoire par tierce partie + examen UE de type |
Les fabricants sont responsables de la classification correcte de leurs produits. Une classification erronée entraînant une évaluation insuffisante constitue une violation du CRA.
Exigences essentielles en matière de cybersécurité (Annexe I)
En vertu de l'Article 10 du CRA, tous les produits comportant des éléments numériques doivent satisfaire aux exigences de la Partie I tout au long de leur cycle de vie, de la conception jusqu'à la fin du support :
- Sécurisé par défaut — livré avec une configuration sécurisée activée ; aucun port inutile ouvert, pas d'identifiants génériques
- Absence de vulnérabilités exploitables connues au moment de la mise sur le marché
- Surface d'attaque minimale — seuls les composants, fonctions et interfaces nécessaires sont actifs
- Contrôle d'accès — mécanismes de protection contre les accès non autorisés
- Protection des données — confidentialité et intégrité des données personnelles et sensibles en transit et au repos
- Intégrité — mécanismes permettant de vérifier l'intégrité des logiciels et micrologiciels et de se protéger contre les altérations
- Résilience — capacité à fonctionner malgré des événements de déni de service
- Disponibilité — les fonctions critiques sont maintenues ou dégradées de manière contrôlée en cas de perturbation
- Journalisation des incidents — journalisation suffisante pour permettre une investigation après incident
- Minimisation — les données collectées sont limitées à ce qui est nécessaire pour les fonctionnalités prévues
La Partie II de l'Annexe I porte sur les obligations de traitement des vulnérabilités : les fabricants doivent établir une politique de divulgation coordonnée, remédier aux vulnérabilités divulguées, distribuer des mises à jour de sécurité et communiquer les dates de fin de support.
Traitement des vulnérabilités et obligations de signalement
L'Article 14 fixe des délais de signalement obligatoires. À partir du 11 septembre 2026, les fabricants doivent :
- Signaler les vulnérabilités activement exploitées à l'ENISA et au CSIRT national compétent dans les 24 heures suivant leur prise de connaissance
- Signaler les incidents de sécurité graves ayant un impact sur la sécurité du produit dans les 24 heures à l'ENISA/CSIRT
- Fournir un rapport préliminaire dans les 72 heures
- Fournir un rapport final au plus tard 14 jours après avoir eu connaissance de la vulnérabilité
L'ENISA exploitera une plateforme de signalement unique. Les fabricants établis hors de l'UE doivent désigner un représentant autorisé établi dans l'UE, responsable du respect des obligations de conformité.
Les mises à jour de sécurité doivent être mises à disposition gratuitement pendant toute la période de support. La période de support minimale pour la plupart des produits est de 5 ans (ou la durée de vie prévue du produit si elle est plus courte). Les fabricants doivent communiquer clairement les dates de fin de support.
Évaluation de la conformité et marquage CE
La conformité au CRA est une condition préalable au marquage CE requis pour mettre des produits sur le marché de l'UE.
La procédure d'évaluation de la conformité dépend de la classe du produit :
- Produits standard : auto-évaluation. Le fabricant établit une déclaration UE de conformité et appose le marquage CE.
- Important Classe I : auto-évaluation lorsqu'une norme harmonisée est pleinement appliquée ; sinon, évaluation par tierce partie auprès d'un organisme notifié.
- Important Classe II : évaluation de conformité obligatoire par tierce partie auprès d'un organisme notifié (examen UE de type ou évaluation du système de management de la qualité).
- Critique : examen UE de type par un organisme notifié, plus évaluation continue de la qualité de la production.
La documentation technique doit être conservée pendant 10 ans après la mise sur le marché et mise à la disposition des autorités de surveillance du marché sur demande.
Amendes
Les autorités de surveillance du marché peuvent imposer des sanctions administratives :
| Violation | Amende maximale | |-----------|----------------| | Non-conformité aux exigences essentielles de cybersécurité (Annexe I) | 15 M€ ou 2,5 % du chiffre d'affaires annuel mondial | | Non-conformité aux autres obligations du CRA | 10 M€ ou 2 % du chiffre d'affaires annuel mondial | | Fourniture d'informations incorrectes ou incomplètes aux autorités | 5 M€ ou 1 % du chiffre d'affaires annuel mondial |
Le montant le plus élevé des deux s'applique. Pour les grandes entreprises technologiques, le plafond basé sur le chiffre d'affaires constitue la contrainte déterminante.
Liste de contrôle pratique en quatre étapes pour les fabricants et éditeurs de logiciels
- Classifier vos produits — parcourez les listes des Annexes III et IV pour déterminer si l'un de vos produits relève de la Classe Importante I/II ou Critique ; documentez la justification de votre classification
- Réaliser un audit par rapport à l'Annexe I — pour chaque produit, comparez les fonctionnalités de sécurité actuelles aux exigences essentielles ; identifiez les lacunes et désignez des responsables de la remédiation
- Mettre en place des processus de traitement des vulnérabilités — élaborez une politique de divulgation coordonnée des vulnérabilités, un processus de triage des vulnérabilités signalées, un pipeline de distribution des mises à jour de sécurité et un flux de signalement en 24 heures pour les vulnérabilités activement exploitées (obligatoire à partir de septembre 2026)
- Planifier l'évaluation de la conformité — si vous disposez de produits de Classe I ou supérieure, identifiez les organismes notifiés et engagez les démarches d'évaluation suffisamment tôt ; le marquage CE doit être en place avant décembre 2027
Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.
Foire aux questions
L'Acte sur la cyber-résilience s'applique-t-il aux produits logiciels ?
Oui. Le CRA couvre explicitement les produits logiciels comportant des éléments numériques, pas uniquement le matériel. Le Règlement 2024/2847 définit un « produit comportant des éléments numériques » comme tout produit logiciel ou matériel et ses solutions de traitement de données à distance, lorsque le produit est destiné à une connexion de données logique ou physique, directe ou indirecte, à un appareil ou à un réseau. Cela couvre les applications de bureau, les applications mobiles, les systèmes d'exploitation, les micrologiciels et les composants SaaS qui traitent des données localement sur l'appareil de l'utilisateur. Les logiciels vendus sous forme d'abonnement ou mis à jour à distance restent dans le champ d'application. Les principales exclusions concernent les logiciels développés exclusivement à des fins de sécurité nationale ou militaires, et les produits déjà régis par des règles sectorielles de l'UE en matière de cybersécurité, tels que les dispositifs médicaux relevant du MDR et les équipements aéronautiques relevant de la réglementation EASA.
Quelles sont les exigences essentielles en matière de cybersécurité au titre du CRA ?
L'Annexe I du Règlement 2024/2847 énonce deux parties d'exigences essentielles. La Partie I porte sur les propriétés de sécurité du produit tout au long de son cycle de vie : les produits doivent être sécurisés par défaut sans ports ouverts inutiles ni identifiants génériques, ne doivent contenir aucune vulnérabilité exploitable connue au moment de la mise sur le marché, doivent minimiser la surface d'attaque, protéger la confidentialité et l'intégrité des données en transit et au repos, mettre en œuvre des contrôles d'accès contre les accès non autorisés, maintenir une journalisation suffisante pour les investigations sur incident et être résilients aux événements de déni de service. La Partie II porte sur les obligations de traitement des vulnérabilités : les fabricants doivent établir une politique de divulgation coordonnée des vulnérabilités, remédier aux vulnérabilités signalées sans délai injustifié, fournir des mises à jour de sécurité gratuites pendant toute la période de support et communiquer clairement les dates de fin de support. La période de support minimale pour la plupart des produits est de cinq ans ou la durée de vie prévue du produit si elle est plus courte.
Quels sont les délais de conformité au CRA ?
Le CRA est entré en vigueur le 10 décembre 2024, mais s'applique par étapes. À partir du 11 septembre 2026, les obligations de signalement des vulnérabilités et incidents de sécurité deviennent obligatoires — les fabricants doivent signaler les vulnérabilités activement exploitées à l'ENISA et au CSIRT national compétent dans les 24 heures suivant leur prise de connaissance, avec un rapport préliminaire dans les 72 heures et un rapport final dans les 14 jours. L'ensemble des obligations du CRA — y compris les exigences essentielles de cybersécurité de l'Annexe I, les évaluations de la conformité, le marquage CE et la documentation technique — s'applique à partir du 11 décembre 2027. Les fabricants disposant de produits de Classe Importante I ou Classe II devraient commencer à contacter les organismes notifiés bien avant décembre 2027, car les capacités d'évaluation de la conformité devraient être limitées.
Sources
- Règlement (UE) 2024/2847 — Texte intégral de l'Acte sur la cyber-résilience — Le texte législatif officiel de l'Acte sur la cyber-résilience tel que publié au Journal officiel de l'Union européenne.
- Page de politique CRA de la Commission européenne — La présentation officielle du CRA par la Commission, incluant des orientations sur le champ d'application, une FAQ pour les fabricants et des liens vers les mesures d'exécution.
- Orientations de l'ENISA sur la mise en œuvre du CRA — Les orientations techniques de l'ENISA à l'intention des fabricants pour la mise en œuvre des exigences essentielles de cybersécurité et des procédures de signalement des vulnérabilités.
- Dossier législatif du Parlement européen — CRA — Historique législatif complet et procédure interinstitutionnelle pour l'Acte sur la cyber-résilience.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: Qu'est-ce que l'Acte sur la cyber-résilience ? Un guide pour les fabricants de produits
This article covers: Calendrier d'application, Champ d'application : quels produits le CRA couvre-t-il ?, Classification des produits.
- Calendrier d'application
- Champ d'application : quels produits le CRA couvre-t-il ?
- Classification des produits
- Exigences essentielles en matière de cybersécurité (Annexe I)
- Traitement des vulnérabilités et obligations de signalement
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.