Cyber Resilience Act : quels produits sont concernés ?

Le règlement (UE) 2024/2847, dit Cyber Resilience Act (CRA), a été adopté le 23 octobre 2024 et est entré en vigueur le 10 décembre 2024. Il impose des exigences de cybersécurité aux produits comportant des éléments numériques mis à disposition sur le marché européen.

Quels produits

Sont visés les produits — matériels ou logiciels — dont l’usage prévu, ou raisonnablement prévisible, comporte une connexion logique ou physique, directe ou indirecte, à un appareil ou à un réseau. Le champ est large : des objets connectés aux applications. Certains produits déjà régis par des réglementations sectorielles — dispositifs médicaux, automobile, aviation, par exemple — en sont exclus.

Quelles obligations

Le règlement fixe des exigences essentielles de cybersécurité, à respecter dès la conception et tout au long du cycle de vie, ainsi qu’une gestion des vulnérabilités. Il prévoit une documentation technique, des procédures d’évaluation de la conformité, et le marquage CE attestant le respect des exigences. Ces obligations pèsent sur les fabricants, mais aussi sur les importateurs et les distributeurs.

Le calendrier

Le CRA sera pleinement applicable le 11 décembre 2027. Deux jalons interviennent avant : les obligations de signalement incombant aux fabricants — vulnérabilités activement exploitées et incidents graves — s’appliquent à partir du 11 septembre 2026, et certaines obligations relatives aux organismes d’évaluation de la conformité à partir du 11 juin 2026.

Pour les organisations qui conçoivent ou intègrent de tels produits, la mise en conformité se prépare en amont ; déterminer son rôle dans la chaîne de valeur en est le point de départ.