Le Cyber Resilience Act impose des exigences de cybersécurité à tous les produits comportant des éléments numériques (matériels et logiciels) mis sur le marché de l'Union européenne. SYAGA vous accompagne pour comprendre vos obligations et construire votre dossier de conformité, sans improviser.
Le Cyber Resilience Act (CRA) est un texte européen horizontal sur la cybersécurité des produits numériques
Le CRA couvre les produits comportant des éléments numériques (matériel connecté, logiciel, firmware) destinés à être mis sur le marché de l'UE, avec des exigences de cybersécurité tout au long du cycle de vie du produit.
Fabricant, importateur ou distributeur : le règlement répartit des obligations différentes selon votre position dans la chaîne de mise sur le marché, sur le modèle déjà utilisé par d'autres réglementations produits européennes.
Le texte est entré en vigueur le 10 décembre 2024 et prévoit une application par paliers dans le temps. Les échéances précises de mise en application vous concernant sont à vérifier auprès du texte officiel pour votre situation.
Comme pour les autres textes cyber européens récents, la mise en conformité CRA demande une méthode (cartographie des produits, analyse des écarts, documentation technique) que la plupart des éditeurs et fabricants n'ont pas encore engagée faute de ressources internes dédiées.
Le CRA s'adresse aux opérateurs économiques qui mettent des produits numériques sur le marché de l'UE
Entreprises qui conçoivent ou font concevoir des produits comportant des éléments numériques (matériel, logiciel, firmware) commercialisés sous leur nom ou leur marque.
Entreprises qui mettent sur le marché de l'UE un produit numérique conçu en dehors de l'Union.
Entreprises qui mettent un produit à disposition sur le marché de l'UE sans en être le fabricant ni l'importateur.
Une démarche structurée pour cartographier vos produits, mesurer les écarts et construire votre plan de mise en conformité
Entretien avec la direction ou l'équipe R&D pour identifier les produits potentiellement concernés par le CRA (matériel connecté, logiciel embarqué, firmware) et votre rôle d'opérateur économique (fabricant, importateur, distributeur).
Cartographie de vos produits numériques et de leurs éléments de cybersécurité actuels (gestion des vulnérabilités, mises à jour de sécurité, documentation existante), comparée aux exigences du règlement.
Plan de mise en conformité priorisé : ce qui doit être traité en premier, ce qui peut attendre les prochaines échéances réglementaires, et les ressources à mobiliser en interne.
Accompagnement à la structuration de la documentation technique attendue par le règlement (description du produit, gestion des risques de cybersécurité, procédures de traitement des vulnérabilités).
Restitution du diagnostic et du plan d'action à la direction, avec remise des livrables éditables pour appropriation par vos équipes.
Un diagnostic et une feuille de route pour piloter votre mise en conformité CRA
Inventaire de vos produits comportant des éléments numériques et qualification de leur exposition au règlement.
Synthèse des écarts entre votre pratique actuelle et les exigences du règlement.
Feuille de route priorisée pour combler les écarts identifiés.
Accompagnement à la structuration de la documentation attendue par le règlement.
Suivi des textes d'application et clarifications officielles publiées sur le CRA.
Tous les documents dans des formats que vous pouvez modifier et faire vivre en interne.
Le CRA ne remplace pas vos autres chantiers de conformité, il les complète
NIS2 encadre la gestion des risques cyber des organisations essentielles et importantes ; le CRA encadre la sécurité des produits numériques qu'elles utilisent ou commercialisent. Les deux textes sont complémentaires.
Un système de management de la sécurité de l'information déjà en place facilite la structuration des processus de gestion des vulnérabilités exigés par le CRA.
Si votre produit numérique traite des données personnelles, les exigences de sécurité du CRA recoupent en partie les mesures techniques et organisationnelles attendues par l'article 32 du RGPD.
Si votre produit intègre des composants d'intelligence artificielle, le CRA et l'AI Act peuvent s'appliquer conjointement selon la nature du produit. Un point à clarifier au cas par cas avec votre conseil juridique.
Chaque produit, chaque périmètre est différent : nous établissons un devis adapté à votre situation
Un produit, un périmètre restreint
Plusieurs produits, mise en conformité active
Gamme de produits, cycle de conformité continu
Contactez-nous pour recevoir un devis adapté à vos produits et à votre situation.
Ce que dit vraiment le texte du CRA, expliqué simplement. Chaque point renvoie à sa source officielle (EUR-Lex ou Commission européenne) pour que vous puissiez vérifier par vous-même.
Le Cyber Resilience Act est un règlement européen (Règlement UE 2024/2847) qui fixe des
règles de cybersécurité pour les produits numériques - matériel et logiciel - vendus dans
l'Union européenne. Il est entré en vigueur le 10 décembre 2024.
source officielle ↗
Tout produit comportant des éléments numériques et destiné à se connecter, directement ou
indirectement, à un appareil ou à un réseau. Sont exclus les produits déjà encadrés par
d'autres textes européens : dispositifs médicaux, véhicules, aviation, équipements marins,
pièces de rechange identiques, ou produits conçus exclusivement pour la défense/sécurité
nationale.
source officielle (Article 2) ↗
10 décembre 2024 : le texte est entré en vigueur.
11 juin 2026 : les autorités chargées de le faire appliquer doivent être en
place. 11 septembre 2026 : les obligations de signalement des failles et
incidents démarrent. 11 décembre 2027 : l'essentiel des obligations,
dont le marquage CE, devient applicable.
source officielle (Article 71) ↗
Si une vulnérabilité activement exploitée ou un incident grave touche votre produit, le
règlement impose de prévenir les autorités : une première alerte sous 24 heures,
une notification plus détaillée sous 72 heures, puis un rapport final au plus
tard 14 jours après la mise à disposition d'un correctif.
source officielle (Article 14) ↗
Le texte distingue des catégories de produits jugées plus sensibles (par exemple
antivirus, VPN, gestionnaires de mots de passe, systèmes d'exploitation, routeurs, objets
connectés de sécurité domestique) et des produits "critiques" (par exemple cartes à puce,
passerelles de compteurs intelligents), soumis à des exigences renforcées.
source officielle (Annexes III et IV) ↗
Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial (le
montant le plus élevé) pour les manquements les plus graves aux exigences de sécurité de
base. Jusqu'à 10 millions ou 2 % pour d'autres obligations, et jusqu'à
5 millions ou 1 % en cas d'informations trompeuses données aux autorités.
Les micro et petites entreprises bénéficient d'une dispense spécifique sur le retard du
délai de 24 heures de signalement.
source officielle (Article 64) ↗
Le CRA complète la directive NIS2 et s'appuie sur la stratégie de cybersécurité de l'UE de
2020. Un marquage CE sera nécessaire pour attester la conformité, et ce sont les autorités
nationales de surveillance du marché qui contrôleront son application.
source officielle (Commission européenne) ↗