Comprendre le règlement sur la cyberrésilience

Le règlement sur la cyberrésilience (règlement (UE) 2024/2847) est un règlement européen horizontal qui introduit des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques (PEN) mis sur le marché de l'UE. Il est entré en vigueur le 11 décembre 2024.

Le CRA s'applique tout au long du cycle de vie du produit — de la conception et du développement jusqu'à la fin du support. Il établit des exigences essentielles en matière de sécurité (annexe I), des obligations documentaires, un régime de signalement des vulnérabilités et des procédures d'évaluation de la conformité. L'objectif est de s'assurer que les produits matériels et logiciels sont sécurisés dès la conception et restent sécurisés tout au long de leur durée de vie supportée.

Le CRA s'applique à tout opérateur économique qui :

• Fabrique des produits comportant des éléments numériques et les met sur le marché de l'UE — y compris le matériel avec logiciel intégré et les produits logiciels autonomes
• Importe des produits de fabricants non européens et les met sur le marché de l'UE sous son propre nom ou marque commerciale
• Distribue des produits sur le marché de l'UE sans les modifier
• Gestionnaires de logiciels libres qui fournissent systématiquement des logiciels gratuits/libres destinés à un usage commercial

Les fabricants non européens qui vendent des produits dans l'UE sont pleinement dans le champ d'application. Ils doivent désigner un mandataire établi dans l'UE (article 17).

Un produit comportant des éléments numériques (PEN) est tout produit logiciel ou matériel et sa solution de traitement à distance des données, qui possède une connexion de données directe ou indirecte à un appareil ou à un réseau. Cette définition volontairement large couvre :

• Les appareils IoT grand public (maison intelligente, wearables, routeurs)
• Le matériel industriel avec connectivité réseau
• Les applications logicielles autonomes (ordinateur de bureau, mobile, serveur)
• Les systèmes d'exploitation et hyperviseurs
• Les composants logiciels et bibliothèques mis sur le marché
• Les appareils connectés au cloud où le fabricant contrôle le backend

Certains secteurs sont partiellement ou totalement exclus, notamment les dispositifs médicaux au titre du MDR/IVDR, les véhicules à moteur au titre de la réglementation sur la réception par type, l'aviation civile et les équipements marins.

Tous les PDN ne sont pas traités de manière identique. Le CRA divise les produits concernés en quatre classes selon leur profil de risque en matière de cybersécurité, telles que définies aux annexes III et IV :

• Par défaut — tous les produits concernés non répertoriés à l'annexe III ou IV. La grande majorité des PDN appartient à cette catégorie.
• Important — Classe I (Annexe III, Classe I) — produits présentant un risque significatif en matière de cybersécurité, tels que les logiciels de gestion d'identité, les navigateurs, les gestionnaires de mots de passe et les systèmes d'exploitation à usage général.
• Important — Classe II (Annexe III, Classe II) — produits à risque plus élevé, notamment les hyperviseurs, les TPM, les logiciels d'automatisation industrielle et les passerelles pour compteurs intelligents.
• Critique (Annexe IV) — les produits présentant le risque le plus élevé, notamment les modules de sécurité matériels (HSM), les cartes à puce et les dispositifs matériels avec boîtiers de sécurité.

La classification détermine la procédure d'évaluation de la conformité qu'un fabricant doit suivre avant d'apposer le marquage CE :

Classe	Auto-évaluation (Module A)	Organisme notifié (Module B+C / H)
Par défaut	Toujours disponible	Facultatif
Important — Classe I	Si normes harmonisées appliquées	Requis en l'absence de normes harmonisées
Important — Classe II	Non disponible	Requis
Critique	Non disponible	Requis (ou certification de cybersécurité UE)

→ Utiliser l'outil de classification des produits pour identifier votre classe et votre procédure de conformité

Le CRA établit un système gradué d'amendes administratives en vertu de l'Article 64. Les autorités de surveillance du marché de chaque État membre de l'UE peuvent infliger ces amendes aux fabricants, importateurs, distributeurs et gestionnaires de logiciels libres.

Niveau 1 — jusqu'à 15 000 000 € ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) :

Non-respect des exigences essentielles de cybersécurité de l'annexe I, ou violations relatives au marquage CE, à l'évaluation de la conformité, à la documentation technique ou à l'obligation de représentant autorisé (Articles 13, 16, 19–22, 24).

Niveau 2 — jusqu'à 10 000 000 € ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) :

Violations des obligations de notification des vulnérabilités et des incidents de sécurité prévues à l'Article 14, manquements à la notification des organismes d'évaluation de la conformité, ou défaut de coopération avec les autorités de surveillance du marché (Articles 15, 17, 18, 23).

Niveau 3 — jusqu'à 5 000 000 € ou 1 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) :

Fourniture d'informations incorrectes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités de surveillance du marché.

Pour les grandes organisations disposant d'un chiffre d'affaires mondial significatif, le plafond basé sur le chiffre d'affaires dépassera généralement le plafond fixe. Les États membres peuvent également imposer des sanctions supplémentaires en vertu du droit national. La date limite de l'Article 14 du 11 septembre 2026 est le premier moment à partir duquel les amendes de niveau 2 deviennent exécutoires.