Le règlement sur la cyber-résilience (ou CRA) (1) pose un cadre horizontal pour sécuriser les produits comportant des éléments numériques mis sur le marché de l’Union européenne. Le CRA répond à l’augmentation des cyberattaques et à la nécessité d’harmoniser les règles de cybersécurité sur les territoires européens. Il fixe ainsi des obligations précises pour les acteurs du marché, tout en clarifiant les attentes relatives au cycle de vie des produits.
Objectifs essentiels du règlement
Le CRA poursuit un objectif clair : garantir que les « produits comportant des éléments numériques » (2) présentent moins de vulnérabilités et que les fabricants assurent la sécurité durant tout le cycle de vie du produit. Le règlement vise aussi à donner aux utilisateurs l’information nécessaire pour choisir des produits plus sûrs.
Ce texte crée un cadre unique à l’échelle européenne. Il évite la fragmentation des législations nationales, décrite dans les considérants initiaux, qui créait une insécurité juridique pour les entreprises.
Champ d’application du CRA
Le règlement s’applique à l’ensemble des « produits comportant des éléments numériques » (2), qu’ils soient matériels ou logiciels. Cette approche large vise à couvrir l’ensemble des vecteurs potentiels d’attaque, même lorsque le produit n’est qu’un maillon intermédiaire dans la chaîne technique.
Le CRA inclut aussi les solutions de traitement de données à distance (3) lorsque ces services sont nécessaires au fonctionnement du produit et développés par le fabricant ou pour son compte.
En France, l’ANSSI souligne déjà la nécessité pour les organismes d’évaluation de la conformité de se préparer à accompagner les entreprises dans la mise en œuvre de ces obligations (4).
Le CRA s’applique à l’ensemble des opérateurs économiques intervenant dans la mise sur le marché des produits comportant des éléments numériques, qu’ils soient établis dans l’Union européenne ou dans un pays tiers, dès lors que ces produits sont mis sur le marché.
Il vise non seulement les fabricants, mais également les importateurs, les distributeurs, les mandataires et, plus largement, toute entité qui met un produit sous son propre nom ou apporte une modification substantielle à sa cybersécurité.
Catégories de produits et obligations renforcées – CRA
Le CRA distingue plusieurs niveaux de risque : catégorie par défaut, produits importants et produits critiques. Les produits importants et critiques font l’objet de procédures plus strictes d’évaluation de la conformité en raison de leur impact potentiel en cas d’exploitation d’une vulnérabilité.
Cette classification concerne une large variété de produits comportant des éléments numériques, qu’ils soient matériels ou logiciels. Elle vise notamment des équipements matériels connectés, tels que les systèmes d’alarme, les dispositifs domotiques de sécurité. Elle s’étend également aux produits purement logiciels, y compris les systèmes d’exploitation, les applications, les logiciels embarqués, les solutions de gestion de réseaux, les outils de cybersécurité ou encore les logiciels intégrés dans des environnements industriels ou professionnels.
En revanche, les services d’informatique en nuage et les solutions de type SaaS ne relèvent du champ d’application du CRA que lorsqu’ils constituent une « solution de traitement de données à distance » (considérant 12 du CRA), c’est-à-dire lorsque le service est conçu ou développé par le fabricant (ou pour son compte) et que son absence empêcherait le produit de remplir l’une de ses fonctions essentielles. À défaut, les services SaaS autonomes, qui ne conditionnent pas le fonctionnement d’un produit comportant des éléments numériques, demeurent exclus du champ du règlement. Aucun de ces produits ne peut être mis sur le marché s’ils ne satisfait pas aux exigences essentielles de cybersécurité (articles 6, 7, 8 et 12 du CRA ).
Calendrier de mise en œuvre
Le CRA est entré en vigueur le 10 décembre 2024 après sa publication au Journal officiel de l’Union européenne le 20 novembre 2024.
Le texte officiel publié au Journal officiel précise ce calendrier d’application échelonné.
Le CRA s’appliquera ainsi de manière générale à compter du 11 décembre 2027 (article 71 du CRA). Toutefois, certaines obligations feront l’objet d’une application anticipée :
- • à compter du 11 juin 2026, les dispositions relatives à la notification des organismes d’évaluation de la conformité deviendront applicables ;
- • à compter du 11 septembre 2026, s’appliqueront les obligations de signalement des vulnérabilités activement exploitées et des incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques.
Perspectives – CRA et préparation des acteurs
L’entrée en application progressive du CRA impose aux opérateurs économiques d’anticiper dès à présent leur mise en conformité.
En cas de non-respect des exigences essentielles de cybersécurité ou des obligations clés pesant sur les fabricants en matière de gestion des vulnérabilités et de mises à jour de sécurité, les autorités pourront infliger des amendes administratives pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial de l’entreprise concernée (article 64 du CRA).
À ces sanctions financières pourront s’ajouter des mesures particulièrement contraignantes, telles que le retrait ou le rappel des produits du marché, susceptibles d’affecter durablement l’accès au marché européen. Ces perspectives rendent indispensable une anticipation structurée de la mise en conformité pendant la période transitoire prévue par le CRA. Les autorités nationales, dont l’ANSSI (4), encouragent d’ores et déjà la mobilisation des acteurs techniques pour anticiper les évaluations de conformité, notamment pour les produits importants et critiques.
Conclusion
Le CRA constitue une avancée majeure dans la construction d’un espace numérique plus sûr.
Ce règlement s’inscrit dans la stratégie plus globale de l’UE de lutte contre la cybermenace [Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS 2), Directive sur la résilience des entités critiques (REC), Règlement sur la résilience opérationnelle numérique du secteur financier (DORA)].
En harmonisant les obligations applicables aux produits comportant des éléments numériques, l’Union européenne renforce la confiance des utilisateurs et clarifie les responsabilités des acteurs économiques.
- Règlement concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyber-résilience).
- Tels que définis à l’art. 3(13) du CRA.
- Le terme « traitement de données à distance » désigne « tout traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant ou sous la responsabilité de ce dernier, et dont l’absence empêcherait le produit comportant des éléments numériques d’exécuter une de ses fonctions » (CRA, art. 3 (2)).
- CRA, l’ANSSI encourage l’implication d’organismes d’évaluation de la conformité.
Avocate
Directrice du département Informatique contentieux complexe
Avocate
Département Informatique contentieux complexe
