VORN°clarity before control
Retour aux ressources
Cheat Sheet

Cyber Resilience Act (CRA)

L'essentiel en 1 page — Régulation des produits numériques dans l'UE

Cyber Resilience Act (CRA)

L'essentiel en 1 page — Régulation des produits numériques dans l'UE

VORN°

Idée clé

Le CRA ne régule pas des entreprises.
Il régule des produits numériques en tant que condition d'accès au marché européen.

➡️ Un produit non sécurisé = un produit non conforme = un produit non commercialisable dans l'UE.

1. Périmètre : qui / quoi est concerné ?

Concernés :
  • Produits avec éléments numériques (hardware/software) mis à disposition sur le marché UE
  • Composants vendus séparément
  • "Remote data processing solutions" si nécessaires au fonctionnement d'une fonction du produit

⚠️ Important : Le CRA s'applique indépendamment du modèle de distribution : vente, abonnement, téléchargement, mise à disposition gratuite dans un cadre commercial.

Hors périmètre :
  • Produits déjà couverts par d'autres textes UE spécifiques
  • Produits non mis sur le marché (hors activité commerciale)

2. La rupture : "security-by-design"

"Security-by-design" devient une condition d'accès au marché

Le CRA n'impose pas de solutions techniques, mais une obligation de conception pilotée par le risque, démontrable et traçable.

Le CRA impose des exigences de cybersécurité :

  • Dès la conception / développement
  • Jusqu'à la fin de vie via une logique de support et de traitement des vulnérabilités

3. Obligations majeures (fabricant)

Avant mise sur le marché

Analyse de risques cybersécurité = point d'entrée obligatoire (pilote tous les choix de conception)

  • Réaliser une analyse de risques cybersécurité (pilote les choix de conception)
  • Concevoir et produire selon les exigences essentielles (Annexe I)
  • Gérer la sécurité de la supply chain (composants tiers)
  • Constituer une documentation technique
  • Réaliser une évaluation de conformité
  • Émettre la déclaration UE de conformité + apposer le marquage CE
  • Fournir des informations utilisateurs (Annexe II), dont la date de fin de support

Après mise sur le marché (lifecycle)

  • Assurer un support (durée définie par le fabricant et annoncée à l'utilisateur) : correction, vulnérabilités, correctifs
  • Mettre en place une vulnerability handling policy et des capacités de traitement
  • Déclarer certains événements (voir §5)

4. Rôles dans la chaîne

Chaque acteur de la chaîne devient un point de contrôle du marché.

Fabricant

Responsable principal (conception, conformité, support, reporting)

Importateur

Vérifie conformité, CE, doc ; bloque si non conforme ; coopère avec autorités

Distributeur

Vérifie CE + infos essentielles + support ; retire/bloque si doute sérieux

Mandataire

Peut porter certaines obligations par mandat écrit

Open-source software steward

Obligations spécifiques (politique cyber, vulnérabilités…), mais régime particulier

5. Reporting : ce qui change

Le CRA introduit un reporting produit-centric (pas "opérateur-centric").

Le reporting CRA repose sur la connaissance du fabricant, pas sur la visibilité publique de l'incident. (Très différenciant par rapport à DORA / NIS2)

Déclencheurs (fabricant)

  • Vulnérabilité activement exploitée dont il a connaissance
  • Incident sévère impactant la sécurité du produit

Canal

  • Notifications vers CSIRT (État membre de l'établissement principal) + ENISA
  • Via une plateforme de reporting dédiée (Single Reporting Platform)

Délais

  • Early warning rapide
  • Notification principale sous 72h
  • Rapport final (rythme différent selon vulnérabilité exploitée vs incident sévère)

Le reporting s'applique aussi à des produits déjà sur le marché à la date d'entrée en application des obligations de reporting.

6. Supervision : surveillance de marché

Le CRA s'appuie sur des autorités de surveillance de marché (approche produit), avec :

  • Coopération inter-États
  • Mécanismes coordonnés (type contrôles/sweeps)

7. Conformité : auto-évaluation ou tiers ?

En pratique :

  • Une partie des produits peut passer par auto-évaluation
  • Certaines catégories "importantes" ou "critiques" imposent une évaluation par un tiers (notified body) selon le cas

⚠️ Important : La qualification "standard / important / critique" n'est pas déclarative : elle est définie par le règlement et conditionne le régime de conformité.

➡️ le CRA crée une frontière nette entre "produit standard" et "produit à forte criticité cyber", avec des exigences de conformité plus lourdes.

➡️ Le CRA transforme la cybersécurité produit en enjeu de compétitivité.

8. Dates à retenir

Entrée en vigueur
10 décembre 2024
Notification des organismes d'évaluation
11 juin 2026
Début des obligations de reporting
11 septembre 2026
Application complète
11 décembre 2027

9. Ce que le CRA change "sur le terrain"

Pour les éditeurs / fabricants

  • Obligation de prouver (doc + conformité) et pas seulement de "faire"
  • Obligation de maintenir (support, vulnérabilités) sur une période annoncée
  • Obligation de déclarer (exploitations actives / incidents sévères)

Pour les acheteurs (entreprises)

  • Le marquage CE + infos utilisateur deviennent des éléments de lecture de la "qualité cyber" d'un produit
  • Le CRA pousse à contractualiser et exiger : durée de support, correctifs, transparence vulnérabilités

Ce que le CRA ne fait PAS

  • Il ne certifie pas qu'un produit est "sûr"
  • Il n'élimine pas les vulnérabilités
  • Il ne remplace pas les audits clients

Besoin d'accompagnement sur le CRA ?

VORN° accompagne les éditeurs et fabricants dans leur préparation au CRA et la structuration de leur conformité produit.

Prendre contact