Les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché de l'UE que s'ils satisfont aux exigences essentielles de cybersécurité énoncées à la Partie I de l'Annexe I, à condition qu'ils soient correctement installés, entretenus et utilisés conformément à leur destination, et que les mises à jour de sécurité nécessaires aient été installées.
Les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché de l'UE que si les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à la Partie II de l'Annexe I, couvrant l'identification, la gestion et la divulgation des vulnérabilités tout au long de la période de support.
Les produits dont la fonctionnalité principale relève d'une catégorie de l'Annexe III sont des « produits importants comportant des éléments numériques » et doivent suivre une procédure d'évaluation de conformité plus stricte. Les produits importants de classe I peuvent utiliser l'auto-évaluation du module A uniquement si des normes harmonisées ou des spécifications communes sont appliquées ; sinon un organisme notifié est requis. La classe II requiert toujours un organisme notifié.
Les produits dont la fonctionnalité principale relève de l'Annexe IV (boîtiers de sécurité matériels, passerelles de compteurs intelligents et cartes à puce/éléments sécurisés) sont des « produits critiques ». Après l'acte délégué pertinent de la Commission, ils devront obtenir un certificat européen de cybersécurité au niveau « substantiel » ou supérieur. En attendant, une évaluation selon le module B+C ou H est requise.
Les fabricants doivent concevoir, développer et produire les produits comportant des éléments numériques de manière à assurer un niveau approprié de cybersécurité en fonction des risques. La sécurité doit être prise en compte tout au long du cycle de vie du produit — de la conception jusqu'à la mise hors service.
Avant de mettre sur le marché un produit comportant des éléments numériques, les fabricants doivent procéder à une évaluation des risques de cybersécurité associés au produit. Cette évaluation doit orienter la conception, le développement et la production du produit, et être documentée dans le dossier technique.
Les fabricants doivent établir une documentation technique contenant toutes les informations nécessaires pour démontrer la conformité du produit aux exigences essentielles du CRA. La documentation doit être tenue à jour et conservée pendant dix ans à compter de la mise sur le marché (ou pendant la durée de vie prévue du produit si celle-ci est plus longue).
Les fabricants doivent démontrer la conformité en appliquant la procédure appropriée à leur classe de produit. Les produits par défaut peuvent s'autocertifier (module A). Les produits importants de classe I peuvent s'autocertifier si des normes harmonisées sont appliquées ; à défaut, un organisme notifié doit être impliqué. Les produits importants de classe II et les produits critiques requièrent toujours un organisme notifié.
Lorsqu'un composant logiciel incorporé dans un produit comportant des éléments numériques n'est pas développé par le fabricant, celui-ci doit exercer une diligence appropriée pour s'assurer que ce composant ne compromet pas la sécurité du produit. Une nomenclature des composants logiciels (SBOM) doit être établie et tenue à jour dans le cadre de la documentation technique.
Lors de la mise sur le marché d'un produit comportant des éléments numériques, les fabricants doivent s'assurer que le produit ne contient aucune vulnérabilité exploitable connue. Cette obligation s'applique au moment de la distribution et à chaque mise à jour ultérieure publiée.
Les fabricants doivent mettre en place une politique de divulgation coordonnée des vulnérabilités (DCV) et la rendre publiquement accessible. Cette politique doit prévoir un point de contact pour le signalement des vulnérabilités et décrire la manière dont le fabricant traitera les signalements, notamment les délais d'accusé de réception et le processus de coordination de la divulgation avec les chercheurs.
Les fabricants doivent déclarer la durée de support de leur produit et rendre cette information accessible aux utilisateurs avant l'achat. La durée de support doit être d'au moins cinq ans, sauf si la durée d'utilisation prévue du produit est plus courte. La date de fin de la durée de support doit figurer dans la documentation du produit et au point de vente.
Les fabricants doivent fournir gratuitement des mises à jour de sécurité pendant au moins cinq ans (ou pendant la durée d'utilisation prévue si celle-ci est plus courte). Les mises à jour doivent être livrées rapidement, séparément des mises à jour fonctionnelles, et la date de fin de la durée de support doit être divulguée.
Les fabricants doivent disposer de processus permettant d'identifier, d'analyser et de traiter les vulnérabilités de leurs produits pendant toute la durée de support. L'Annexe I Partie II précise des exigences détaillées, notamment l'attribution de CVE, le scoring CVSS, la divulgation coordonnée et la remédiation dans les délais impartis.
Les fabricants doivent établir une déclaration UE de conformité conformément à l'article 28 et à l'Annexe V, attestant que le produit satisfait à toutes les exigences applicables du CRA. La déclaration UE de conformité doit être tenue à jour et mise à la disposition des autorités de surveillance du marché et, le cas échéant, des utilisateurs.
Les fabricants doivent apposer le marquage CE sur leurs produits avant leur mise sur le marché de l'UE, en attestation de la conformité du produit à toutes les exigences applicables du CRA. Le marquage CE doit être visible, lisible et indélébile, et ne peut être apposé avant l'établissement de la déclaration UE de conformité.
Les fabricants doivent s'assurer que chaque produit comportant des éléments numériques porte un type, un numéro de lot, un numéro de série ou tout autre élément permettant son identification. Pour les produits purement logiciels, le numéro de version remplit cette fonction.
Les fabricants doivent indiquer leur nom, leur raison sociale enregistrée ou leur marque commerciale, ainsi que leur adresse postale, sur le produit ou son emballage. Une adresse de contact électronique (site web ou courriel) doit également être indiquée lorsqu'elle est disponible. Cela permet aux autorités de surveillance du marché, aux importateurs, aux distributeurs et aux utilisateurs de contacter le fabricant.
Les fabricants doivent accompagner le produit des informations et instructions figurant à l'Annexe II, dans une langue aisément compréhensible par les utilisateurs. Ces informations comprennent notamment l'identité du produit, ses capacités de sécurité, le contact pour le signalement de vulnérabilités, la date de fin de la durée de support et des conseils d'utilisation sécurisée.
Lorsqu'un fabricant a des raisons de considérer qu'un produit mis sur le marché n'est pas conforme aux exigences du CRA, il doit immédiatement prendre des mesures correctives — y compris le retrait ou le rappel si nécessaire. Les fabricants doivent également coopérer avec les autorités de surveillance du marché et fournir toutes les informations et la documentation demandées.
Les fabricants doivent signaler à l'ENISA, via la plateforme unique de signalement, toute vulnérabilité activement exploitée dans leur produit dans un délai de 24 heures (avertissement précoce) et de 72 heures (notification). Un rapport final est dû dans un délai de 14 jours. Cette obligation s'applique à compter du 11 septembre 2026.
Dans les 72 heures suivant la prise de connaissance d'une vulnérabilité activement exploitée dans un produit, les fabricants doivent soumettre à l'ENISA une notification détaillée via la plateforme unique de signalement. Cette notification fait suite à l'avertissement précoce de 24 heures (OBL-ART14-01) et doit inclure les détails techniques sur la vulnérabilité et le produit concerné.
Dans les 14 jours suivant la prise de connaissance d'une vulnérabilité activement exploitée, les fabricants doivent soumettre à l'ENISA un rapport final contenant une description complète de la vulnérabilité, les mesures correctives prises et l'indication de la divulgation publique éventuelle ou de l'attribution d'un CVE.
Lorsqu'une vulnérabilité est activement exploitée, les fabricants doivent notifier les utilisateurs affectés sans délai injustifié. La notification doit contenir des informations suffisantes pour permettre aux utilisateurs de prendre des mesures de protection, y compris les mesures d'atténuation disponibles avant la publication d'un correctif.
Un fabricant peut désigner un mandataire (AR) par mandat écrit. Le mandat doit autoriser l'AR à accomplir au moins trois tâches légales minimales : conserver la déclaration UE de conformité et la documentation technique à la disposition des autorités de surveillance du marché pendant au moins 10 ans ; fournir les informations de conformité sur demande ; et coopérer aux mesures correctives. Les obligations fondamentales de conception et de production ne peuvent pas être déléguées.
Avant de mettre sur le marché de l'UE un produit comportant des éléments numériques, les importateurs doivent vérifier que le fabricant a effectué l'évaluation de la conformité appropriée, établi la documentation technique, apposé le marquage CE, et mis à disposition la déclaration UE de conformité ou la déclaration de performance.
Lorsqu'un importateur considère ou a des raisons de croire qu'un produit comportant des éléments numériques n'est pas conforme aux exigences essentielles de cybersécurité, il ne doit pas mettre le produit sur le marché jusqu'à ce que la conformité soit assurée.
Les importateurs doivent indiquer leur nom, leur raison sociale enregistrée ou leur marque commerciale, leur adresse postale et, lorsqu'elle est disponible, leur adresse de site web ou de courriel, sur le produit lui-même, sur son emballage ou dans un document accompagnant le produit.
Tant qu'un produit comportant des éléments numériques relève de la responsabilité de l'importateur, celui-ci doit veiller à ce que les conditions de stockage et de transport ne compromettent pas sa conformité aux exigences essentielles de cybersécurité.
Si un importateur apprend qu'un produit qu'il a mis sur le marché n'est pas conforme, il doit immédiatement prendre des mesures correctives — y compris le retrait ou le rappel si nécessaire. Lorsque le produit présente un risque significatif de cybersécurité, l'importateur doit immédiatement notifier l'autorité nationale compétente.
Les importateurs doivent conserver une copie de la déclaration UE de conformité ou de la déclaration de performance pendant 10 ans après la mise sur le marché du produit, et veiller à ce que la documentation technique puisse être mise à la disposition des autorités de surveillance du marché sur demande.
Sur demande motivée d'une autorité compétente, les importateurs doivent fournir toutes les informations et la documentation — sur support papier ou électronique — nécessaires pour démontrer la conformité d'un produit comportant des éléments numériques. Ils doivent également coopérer à toute action corrective requise.
Lors de la mise à disposition d'un produit comportant des éléments numériques sur le marché, les distributeurs doivent agir avec diligence et vérifier que le produit porte le marquage CE, est accompagné de la documentation et des informations requises, et que le fabricant et l'importateur (le cas échéant) ont respecté leurs obligations d'étiquetage et d'identification.
Lorsqu'un distributeur considère ou a des raisons de croire qu'un produit n'est pas conforme aux exigences essentielles du CRA, il ne doit pas mettre le produit à disposition sur le marché jusqu'à ce que la conformité soit assurée, et doit notifier le fabricant et, le cas échéant, l'autorité de surveillance du marché.
Les distributeurs doivent veiller à ce que, tant qu'un produit comportant des éléments numériques relève de leur responsabilité, les conditions de stockage et de transport ne compromettent pas sa conformité aux exigences essentielles de cybersécurité.
Si un distributeur apprend qu'un produit qu'il a mis à disposition sur le marché n'est pas conforme, il doit immédiatement prendre des mesures correctives, y compris le retrait ou le rappel si nécessaire. Lorsque le produit présente un risque significatif de cybersécurité, il doit immédiatement notifier l'autorité nationale de surveillance du marché compétente.
Sur demande motivée d'une autorité compétente, les distributeurs doivent fournir toutes les informations et la documentation nécessaires pour démontrer la conformité d'un produit, et coopérer à toute action corrective requise par cette autorité.
Un importateur ou un distributeur est considéré comme un fabricant — et est donc soumis à l'ensemble des articles 13 et 14 — s'il met sur le marché un produit comportant des éléments numériques sous son propre nom ou sa propre marque, ou s'il procède à une modification substantielle d'un produit déjà mis sur le marché.
Toute personne physique ou morale — autre que le fabricant, l'importateur ou le distributeur d'origine — qui procède à une modification substantielle d'un produit et le met à disposition sur le marché est considérée comme le fabricant. Cette personne est alors soumise aux articles 13 et 14, soit pour la partie affectée du produit, soit, si la modification affecte la cybersécurité de l'ensemble du produit, pour l'intégralité du produit.
Tous les opérateurs économiques doivent être en mesure, sur demande des autorités de surveillance du marché, d'identifier (a) tout opérateur économique qui leur a fourni un produit et (b) tout opérateur économique auquel ils ont fourni un produit. Les registres doivent être conservés pendant 10 ans à compter de chaque transaction.
Les gestionnaires de logiciels libres doivent mettre en place et documenter une politique de cybersécurité favorisant le développement d'un produit sécurisé et permettant une gestion efficace des vulnérabilités dans les composants de logiciels libres qu'ils administrent.
Les gestionnaires de logiciels libres doivent notifier sans délai le CSIRT désigné comme coordinateur de toute vulnérabilité activement exploitée dans leurs composants de logiciels libres, ainsi que de tout incident grave affectant la sécurité de ces composants.
Les gestionnaires de logiciels libres doivent coopérer avec les autorités de surveillance du marché sur demande et fournir toutes les informations requises pour l'exercice de leurs missions réglementaires.
Sur demande des autorités de surveillance du marché, les gestionnaires de logiciels libres doivent établir et tenir à jour la documentation technique des composants de logiciels libres qu'ils administrent, permettant l'évaluation de la conformité en matière de cybersécurité.
Les fabricants doivent établir une déclaration UE de conformité (DoC UE) qui suit la structure type de l'Annexe V et contient tous les éléments spécifiés. La DoC UE déclare que le produit satisfait aux exigences essentielles de cybersécurité applicables. Une version simplifiée (Annexe VI) peut accompagner le produit à condition que la DoC complète soit accessible en ligne. La DoC doit être mise à jour à chaque modification pertinente.
Les fabricants doivent établir une documentation technique avant de mettre un produit sur le marché et la mettre à jour en continu (au moins pendant la période de support). La documentation doit contenir tous les éléments listés à l'Annexe VII, démontrant la conformité du produit et des processus aux exigences essentielles de l'Annexe I. Elle doit rester accessible aux autorités de surveillance du marché pendant au moins 10 ans ou la durée de la période de support.
Les fabricants doivent réaliser une évaluation de conformité démontrant que le produit et leurs processus satisfont aux exigences essentielles de l'Annexe I, avant la mise sur le marché. La procédure requise dépend de la classification du produit : module A (auto-évaluation) pour les produits standard, évaluation par un tiers pour certains produits importants, et participation obligatoire d'un organisme notifié pour les produits importants de classe II et les produits critiques.
