Mise en conformité au Cyber Resilience Act
Spécialistes des accompagnements à la mise en conformité cybersécurité, nos experts sont à vos côtés dans le cadre du Cyber Resilience Act (règlement sur la cyberrésilience)
Qu’est-ce que le Cyber Resilience Act
Le Cyber Resilience Act (CRA), adopté par l’Union européenne en 2024, est un règlement européen qui vise à établir des exigences harmonisées en matière de sécurité pour les produits comportant des éléments numériques mis sur le marché de l’UE. Le CRA est né du besoin de renforcer la sécurité des produits numériques dès leur conception et s’inscrit dans une démarche de « security by design », imposant aux fabricants de prendre en compte la cybersécurité tout au long du cycle de vie de leurs produits.
L’objectif principal est double : protéger les consommateurs et les entreprises contre les menaces cybernétiques, tout en créant un cadre réglementaire unifié au sein du marché unique européen. Cette harmonisation permet d’éviter la fragmentation réglementaire entre les États membres et de faciliter la circulation des produits numériques.
Champ d’application du Cyber Resilience Act
Le règlement s’applique à une large gamme de produits comportant des éléments numériques : logiciels, matériel informatique, objets connectés (IoT), applications, et certains services numériques étroitement liés au matériel. Sont concernés aussi bien les produits grand public que les solutions professionnelles, qu’ils soient gratuits ou payants.
Toutefois, certaines catégories bénéficient d’exemptions, notamment les dispositifs médicaux, les systèmes automobiles et aéronautiques déjà soumis à des réglementations sectorielles spécifiques, ainsi que les produits strictement destinés à la sécurité nationale.
Obligations principales
Les fabricants doivent respecter plusieurs exigences essentielles. Ils sont tenus d’assurer la cybersécurité de leurs produits dès la conception, de gérer activement les vulnérabilités découvertes, et de fournir des mises à jour de sécurité pendant toute la durée de vie prévue du produit. Une documentation technique détaillée doit être maintenue, et les vulnérabilités exploitées activement doivent être signalées aux autorités compétentes dans les 24 heures.
Le règlement introduit également une classification des produits selon leur niveau de criticité. Les produits considérés comme critiques ou hautement critiques sont soumis à des obligations renforcées, incluant des évaluations de conformité par des organismes tiers.
Dates clés
| Étape | Date | Remarques / application |
|---|---|---|
| Adoption | 23 octobre 2024 | Le Parlement européen et le Conseil adoptent le texte réglementaire |
| Publication au Journal officiel de l’UE | 20 novembre 2024 | Le règlement est publié dans le Journal officiel |
| Entrée en vigueur | 10 décembre 2024 | Le règlement entre en vigueur 20 jours après la publication |
| Possibilité d’évaluation de conformité par les organismes notifiés | 11 juin 2026 | Les organismes d’évaluation seront habilités à vérifier la conformité des produits |
| Obligations de notification des vulnérabilités | 11 septembre 2026 | Les fabricants doivent commencer à notifier les incidents / vulnérabilités sur la plateforme unique de signalement |
| Application complète / obligations principales | 11 décembre 2027 | Les exigences du règlement s’appliquent, y compris les normes minimales avant la commercialisation, la gestion des vulnérabilités et le devoir de transparence envers les utilisateurs |
| Rapport d’évaluation sur la plateforme unique de notification | 11 septembre 2028 | La Commission devra évaluer l’efficacité de la plateforme unique de signalement |
Sanctions et Surveillance
Les autorités nationales de surveillance du marché (en France, potentiellement la DGCCRF avec l’appui technique de l’ANSSI) pourront :
– Ordonner le retrait immédiat du produit du marché.
– Ordonner le rappel des produits déjà vendus.
Les amendes administratives peuvent atteindre :
Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel (le montant le plus élevé étant retenu) pour non-respect des exigences essentielles de sécurité.
Le Cyber Resilience Act est plus qu’une simple réglementation technique ; c’est un acte de politique industrielle. Il établit le « marquage CE » comme une référence mondiale de cybersécurité. Si ce règlement représente un défi coûteux et complexe pour les fabricants — en particulier pour les PME et le secteur de l’Open Source —, il est indispensable pour restaurer la confiance des consommateurs et sécuriser l’infrastructure numérique du continent. À terme, être « CRA compliant » ne sera pas seulement une obligation légale, mais un avantage concurrentiel majeur sur le marché international.
Méthodologie d’accompagnement à la mise en conformité au Cyber Resilience Act
Pourquoi choisir Ad Confirma
✓ Des consultants ayant déjà effectué plusieurs accompagnement à la mise en conformité au Cyber Resilience Act
✓ Une méthodologie pragmatique éprouvée
✓ Une approche de la gestion de projet flexible et adaptée à votre organisation
✓ Un accompagnement adapté à votre budget et à vos contraintes
