Lexique parlementaire
CRA (Cyber Resilience Act)
Règlement européen 2024/2847 qui impose des exigences de cybersécurité aux produits comportant des éléments numériques (matériel et logiciel) commercialisés dans l'UE. Applicable à partir de décembre 2027.
Le CRA (Cyber Resilience Act) est le règlement (UE) 2024/2847 du 23 octobre 2024. Il impose des exigences essentielles de cybersécurité à tous les produits comportant des éléments numériques (PCEN) mis sur le marché européen. Pleinement applicable le 11 décembre 2027 (obligations de signalement vulnérabilités dès septembre 2026).
Logique du texte
Avant le CRA, la cybersécurité des produits relevait de cadres sectoriels (jouets connectés, dispositifs médicaux…) ou volontaires. Le CRA crée un régime horizontal : tout produit numérique vendu dans l’UE doit respecter des exigences essentielles, comme l’a fait le marquage CE pour la sécurité physique.
Conséquence : la cybersécurité devient une condition d’accès au marché unique.
Champ d’application
Inclus : les “PCEN”
Tout produit matériel ou logiciel dont l’utilisation prévue inclut une connexion directe ou indirecte à un réseau ou un appareil :
- IoT grand public (caméras, montres connectées, jouets)
- Logiciels (applications, OS, middleware)
- Composants matériels (microcontrôleurs, processeurs)
- Logiciels open source distribués dans un cadre commercial
Exclus
- Dispositifs médicaux (RDM), véhicules (R 2019/2144), aviation (R 2018/1139), services SaaS purs (couverts par NIS2)
- Logiciels open source non commerciaux (avec garde-fous via les “stewards”)
Classification
Trois classes selon le niveau de criticité :
Classe par défaut
Auto-évaluation de conformité par le fabricant, déclaration UE de conformité.
Classe importante (Annexe III)
- Catégorie I : navigateurs, gestionnaires de mots de passe, logiciels antivirus, VPN, IoT grand public sensibles → autoévaluation possible si normes harmonisées suivies, sinon évaluation tierce partie
- Catégorie II : hyperviseurs, pare-feu, systèmes d’authentification → évaluation tierce partie obligatoire
Classe critique
Produits désignés par actes délégués Commission : nécessité d’un schéma européen de certification cybersécurité (cf. Cybersecurity Act).
Principales obligations
Pour le fabricant
- Évaluation des risques dès la conception (security by design)
- Pas de vulnérabilités exploitables connues au moment de la mise sur le marché
- Configuration sécurisée par défaut
- Mises à jour de sécurité gratuites pendant la durée de vie attendue (≥ 5 ans recommandé)
- Documentation technique et déclaration UE de conformité
- Marquage CE
Gestion des vulnérabilités
- Signalement à l’ENISA dans les 24h d’une vulnérabilité activement exploitée
- Rapport de mesures correctives sous 14 jours
- Coordination avec les CSIRT nationaux
- Politique de divulgation publique
Pour les importateurs et distributeurs
Vérifier le marquage CE et la conformité documentaire avant mise à disposition sur le marché.
Calendrier
| Date | Étape |
|---|---|
| 10 décembre 2024 | Entrée en vigueur |
| 11 juin 2026 | Désignation des organismes notifiés |
| 11 septembre 2026 | Obligations de signalement vulnérabilités |
| 11 décembre 2027 | Pleine application — obligations conformité |
Sanctions
- Jusqu’à 15 M€ ou 2,5 % du chiffre d’affaires mondial annuel pour non-respect des exigences essentielles
- 10 M€ ou 2 % pour non-respect des autres obligations
- 5 M€ ou 1 % pour informations incorrectes aux autorités
Mises en œuvre par les autorités de surveillance du marché des États membres (en France : DGCCRF + ANSSI selon le cas).
Articulation avec d’autres textes
- NIS2 : couvre les opérateurs (entités essentielles/importantes) ; le CRA couvre les produits. Cumulatifs.
- IA Act : la cybersécurité des systèmes d’IA à haut risque relève des deux textes.
- RGPD : la sécurité des données personnelles reste régie par le RGPD ; le CRA ajoute la dimension produit.
- Cybersecurity Act (R 2019/881) : socle pour les schémas de certification (EUCC, EUCS).
Enjeux pour les organisations
Fabricants matériels et éditeurs
Refonte des cycles de développement (security by design), équipes PSIRT renforcées, contrats fournisseurs revus. Impact lourd sur les ETI et PME, allègements limités.
Open source
Le statut des “stewards” (mainteneurs sponsorisés) reste précisé par les actes délégués — sujet politiquement sensible (forte mobilisation lors des trilogues 2023-2024).
ENISA et ANSSI
Montée en charge importante : la base européenne de signalement vulnérabilités sera centralisée à l’ENISA, avec relais ANSSI pour la France.
Cabinets AP
Dossier en pleine précision via actes d’exécution (catégories de produits classe importante, normes harmonisées). Forte activité auprès de DG CONNECT.
Sources officielles
Comprendre, c'est bien. Agir, c'est mieux.
Legiwatch suit en temps réel toutes les mentions de ces objets parlementaires : amendements, scrutins, articles, alinéas, débats. Avec une IA qui parle votre métier.
Voir une démo