Ce qu’est le Cyber Resilience Act
Le Cyber Resilience Act — CRA, règlement (UE) 2024/2847 — est la première loi européenne imposant des exigences de cybersécurité horizontales aux produits comportant des éléments numériques : matériels connectés et logiciels mis sur le marché de l’UE, du routeur à l’objet connecté en passant par les systèmes d’exploitation et les applications. Entré en vigueur le 10 décembre 2024, il s’applique en deux vagues : obligations de notification dès le 11 septembre 2026, puis obligations principales le 11 décembre 2027. La conformité conditionne le marquage CE : un produit non conforme ne peut tout simplement plus être vendu dans l’UE.
Le calendrier vérifié
| Date | Ce qui s’applique |
|---|---|
| 10 décembre 2024 | Entrée en vigueur |
| 11 septembre 2026 | Notifications de l’article 14 : vulnérabilités activement exploitées et incidents graves — y compris pour les produits déjà sur le marché |
| 11 décembre 2027 | Application pleine : exigences essentielles, évaluation de conformité, surveillance du marché |
Les produits mis sur le marché avant le 11 décembre 2027 ne sont pas rétroactivement soumis aux exigences principales (sauf modification substantielle) — mais l’obligation de notification de l’article 14 s’applique dès septembre 2026, produits existants compris.
L’escalade de notification (article 14)
À partir du 11 septembre 2026, un fabricant qui a connaissance d’une vulnérabilité activement exploitée dans l’un de ses produits, ou d’un incident grave touchant la sécurité du produit, doit notifier l’ENISA et son CSIRT national :
- Alerte précoce sous 24 heures après la prise de connaissance ;
- Notification structurée sous 72 heures, avec une première évaluation de gravité et d’impact ;
- Rapport final — sous 14 jours dès qu’un correctif ou une atténuation est disponible (vulnérabilité exploitée), ou sous un mois (incident grave).
Le schéma parlera à quiconque suit NIS2 ou le RGPD : l’UE a standardisé l’escalade 24 h/72 h. La conséquence pratique est la même — il faut un processus documenté et répété avant le premier événement, pas pendant.
Qui est concerné — et la nuance SaaS
Le CRA vise les fabricants de produits comportant des éléments numériques vendus dans l’UE (plus importateurs et distributeurs), où que soit établi le fabricant. Le pur SaaS n’est en général pas couvert — les services cloud relèvent de NIS2 — sauf lorsqu’un traitement de données à distance est partie intégrante des fonctions d’un produit. Les régimes sont proportionnés : une catégorie par défaut auto-évaluée par le fabricant, et des catégories *importantes* ou *critiques* (systèmes d’identité, pare-feu, compteurs intelligents…) soumises à une évaluation de conformité plus stricte. Le logiciel libre développé hors activité commerciale bénéficie d’un régime allégé.
Les exigences essentielles, en pratique
Les exigences essentielles de l’annexe I se lisent comme une politique de développement sécurisé : configuration sûre par défaut, absence de vulnérabilité exploitable connue à la mise sur le marché, gestion des vulnérabilités avec divulgation coordonnée, mises à jour de sécurité pendant la durée de vie attendue du produit, et documentation technique qui démontre le tout. Pour un éditeur, les livrables sont concrets : une politique de développement sécurisé, un processus de gestion et de divulgation des vulnérabilités, un engagement de support/mises à jour et le runbook de notification ci-dessus. Les sanctions atteignent 15 M€ ou 2,5 % du chiffre d’affaires mondial pour les manquements aux exigences essentielles.
Que faire avant septembre 2026
- Qualifiez vos produits : lesquels de vos offres sont des produits comportant des éléments numériques mis sur le marché de l’UE, et dans quelle catégorie ?
- Montez le runbook de l’article 14 dès maintenant — l’horloge des 24 heures démarre à la prise de connaissance, et elle s’applique aux produits déjà vendus.
- Documentez le développement sécurisé et la gestion des vulnérabilités — à la fois exigence essentielle et meilleure preuve.
- Suivez les ressources de l’ANSSI sur le CRA, publiées sur cyber.gouv.fr.
Sources de référence
- Règlement (UE) 2024/2847 (CRA) — texte intégral sur EUR-Lex (eur-lex.europa.eu/eli/reg/2024/2847/oj).
- ANSSI — Cyber Resilience Act (cyber.gouv.fr).
- Commission européenne — Cyber Resilience Act (digital-strategy.ec.europa.eu).
Comment PolicyForge vous aide
PolicyForge génère l’ossature documentaire du CRA — développement sécurisé, gestion des vulnérabilités avec divulgation, réponse aux incidents avec l’escalade 24 h/72 h, sécurité fournisseurs — bilingue, versionnée et approuvée. Commencer gratuitement →