Art. 3(13)Un fabricant est toute personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques, ou les fait concevoir ou fabriquer, et les commercialise sous son propre nom ou sa propre marque.
11 décembre 2024 — Le CRA entre en vigueur
Le règlement est juridiquement en vigueur. Les produits mis sur le marché à compter de cette date devront être conformes au CRA une fois les dates d'application atteintes.
11 septembre 2026 — Les obligations de signalement des vulnérabilités s'appliquent
Le signalement des vulnérabilités et incidents à l'ENISA conformément à l'art. 14 devient obligatoire. Il s'agit de la première échéance ferme. Les fabricants doivent avoir mis en place leurs processus de signalement avant cette date.
11 juin 2027 — Notification des organismes d'évaluation de la conformité
Les États membres doivent notifier à la Commission les organismes d'évaluation de la conformité.
11 décembre 2027 — Le règlement s'applique intégralement
Toutes les exigences du CRA s'appliquent à tous les produits concernés. Aucun nouveau produit non conforme ne peut être mis sur le marché de l'UE.
Les fabricants doivent concevoir, développer et produire les produits comportant des éléments numériques de manière à assurer un niveau approprié de cybersécurité en fonction des risques. La sécurité doit être prise en compte tout au long du cycle de vie du produit — de la conception jusqu'à la mise hors service.
Avant de mettre sur le marché un produit comportant des éléments numériques, les fabricants doivent procéder à une évaluation des risques de cybersécurité associés au produit. Cette évaluation doit orienter la conception, le développement et la production du produit, et être documentée dans le dossier technique.
Les fabricants doivent établir une documentation technique contenant toutes les informations nécessaires pour démontrer la conformité du produit aux exigences essentielles du CRA. La documentation doit être tenue à jour et conservée pendant dix ans à compter de la mise sur le marché (ou pendant la durée de vie prévue du produit si celle-ci est plus longue).
Les fabricants doivent démontrer la conformité en appliquant la procédure appropriée à leur classe de produit. Les produits par défaut peuvent s'autocertifier (module A). Les produits importants de classe I peuvent s'autocertifier si des normes harmonisées sont appliquées ; à défaut, un organisme notifié doit être impliqué. Les produits importants de classe II et les produits critiques requièrent toujours un organisme notifié.
Lorsqu'un composant logiciel incorporé dans un produit comportant des éléments numériques n'est pas développé par le fabricant, celui-ci doit exercer une diligence appropriée pour s'assurer que ce composant ne compromet pas la sécurité du produit. Une nomenclature des composants logiciels (SBOM) doit être établie et tenue à jour dans le cadre de la documentation technique.
Lors de la mise sur le marché d'un produit comportant des éléments numériques, les fabricants doivent s'assurer que le produit ne contient aucune vulnérabilité exploitable connue. Cette obligation s'applique au moment de la distribution et à chaque mise à jour ultérieure publiée.
Les fabricants doivent mettre en place une politique de divulgation coordonnée des vulnérabilités (DCV) et la rendre publiquement accessible. Cette politique doit prévoir un point de contact pour le signalement des vulnérabilités et décrire la manière dont le fabricant traitera les signalements, notamment les délais d'accusé de réception et le processus de coordination de la divulgation avec les chercheurs.
Les fabricants doivent déclarer la durée de support de leur produit et rendre cette information accessible aux utilisateurs avant l'achat. La durée de support doit être d'au moins cinq ans, sauf si la durée d'utilisation prévue du produit est plus courte. La date de fin de la durée de support doit figurer dans la documentation du produit et au point de vente.
Les fabricants doivent fournir gratuitement des mises à jour de sécurité pendant au moins cinq ans (ou pendant la durée d'utilisation prévue si celle-ci est plus courte). Les mises à jour doivent être livrées rapidement, séparément des mises à jour fonctionnelles, et la date de fin de la durée de support doit être divulguée.
Les fabricants doivent disposer de processus permettant d'identifier, d'analyser et de traiter les vulnérabilités de leurs produits pendant toute la durée de support. L'Annexe I Partie II précise des exigences détaillées, notamment l'attribution de CVE, le scoring CVSS, la divulgation coordonnée et la remédiation dans les délais impartis.
Les fabricants doivent établir une déclaration UE de conformité conformément à l'article 28 et à l'Annexe V, attestant que le produit satisfait à toutes les exigences applicables du CRA. La déclaration UE de conformité doit être tenue à jour et mise à la disposition des autorités de surveillance du marché et, le cas échéant, des utilisateurs.
Les fabricants doivent apposer le marquage CE sur leurs produits avant leur mise sur le marché de l'UE, en attestation de la conformité du produit à toutes les exigences applicables du CRA. Le marquage CE doit être visible, lisible et indélébile, et ne peut être apposé avant l'établissement de la déclaration UE de conformité.
Les fabricants doivent s'assurer que chaque produit comportant des éléments numériques porte un type, un numéro de lot, un numéro de série ou tout autre élément permettant son identification. Pour les produits purement logiciels, le numéro de version remplit cette fonction.
Les fabricants doivent indiquer leur nom, leur raison sociale enregistrée ou leur marque commerciale, ainsi que leur adresse postale, sur le produit ou son emballage. Une adresse de contact électronique (site web ou courriel) doit également être indiquée lorsqu'elle est disponible. Cela permet aux autorités de surveillance du marché, aux importateurs, aux distributeurs et aux utilisateurs de contacter le fabricant.
Les fabricants doivent accompagner le produit des informations et instructions figurant à l'Annexe II, dans une langue aisément compréhensible par les utilisateurs. Ces informations comprennent notamment l'identité du produit, ses capacités de sécurité, le contact pour le signalement de vulnérabilités, la date de fin de la durée de support et des conseils d'utilisation sécurisée.
Lorsqu'un fabricant a des raisons de considérer qu'un produit mis sur le marché n'est pas conforme aux exigences du CRA, il doit immédiatement prendre des mesures correctives — y compris le retrait ou le rappel si nécessaire. Les fabricants doivent également coopérer avec les autorités de surveillance du marché et fournir toutes les informations et la documentation demandées.
Les fabricants doivent signaler à l'ENISA, via la plateforme unique de signalement, toute vulnérabilité activement exploitée dans leur produit dans un délai de 24 heures (avertissement précoce) et de 72 heures (notification). Un rapport final est dû dans un délai de 14 jours. Cette obligation s'applique à compter du 11 septembre 2026.
Dans les 72 heures suivant la prise de connaissance d'une vulnérabilité activement exploitée dans un produit, les fabricants doivent soumettre à l'ENISA une notification détaillée via la plateforme unique de signalement. Cette notification fait suite à l'avertissement précoce de 24 heures (OBL-ART14-01) et doit inclure les détails techniques sur la vulnérabilité et le produit concerné.
Dans les 14 jours suivant la prise de connaissance d'une vulnérabilité activement exploitée, les fabricants doivent soumettre à l'ENISA un rapport final contenant une description complète de la vulnérabilité, les mesures correctives prises et l'indication de la divulgation publique éventuelle ou de l'attribution d'un CVE.
Lorsqu'une vulnérabilité est activement exploitée, les fabricants doivent notifier les utilisateurs affectés sans délai injustifié. La notification doit contenir des informations suffisantes pour permettre aux utilisateurs de prendre des mesures de protection, y compris les mesures d'atténuation disponibles avant la publication d'un correctif.
Un fabricant peut désigner un mandataire (AR) par mandat écrit. Le mandat doit autoriser l'AR à accomplir au moins trois tâches légales minimales : conserver la déclaration UE de conformité et la documentation technique à la disposition des autorités de surveillance du marché pendant au moins 10 ans ; fournir les informations de conformité sur demande ; et coopérer aux mesures correctives. Les obligations fondamentales de conception et de production ne peuvent pas être déléguées.
Toute personne physique ou morale — autre que le fabricant, l'importateur ou le distributeur d'origine — qui procède à une modification substantielle d'un produit et le met à disposition sur le marché est considérée comme le fabricant. Cette personne est alors soumise aux articles 13 et 14, soit pour la partie affectée du produit, soit, si la modification affecte la cybersécurité de l'ensemble du produit, pour l'intégralité du produit.
Tous les opérateurs économiques doivent être en mesure, sur demande des autorités de surveillance du marché, d'identifier (a) tout opérateur économique qui leur a fourni un produit et (b) tout opérateur économique auquel ils ont fourni un produit. Les registres doivent être conservés pendant 10 ans à compter de chaque transaction.
Les fabricants doivent établir une déclaration UE de conformité (DoC UE) qui suit la structure type de l'Annexe V et contient tous les éléments spécifiés. La DoC UE déclare que le produit satisfait aux exigences essentielles de cybersécurité applicables. Une version simplifiée (Annexe VI) peut accompagner le produit à condition que la DoC complète soit accessible en ligne. La DoC doit être mise à jour à chaque modification pertinente.
Les fabricants doivent établir une documentation technique avant de mettre un produit sur le marché et la mettre à jour en continu (au moins pendant la période de support). La documentation doit contenir tous les éléments listés à l'Annexe VII, démontrant la conformité du produit et des processus aux exigences essentielles de l'Annexe I. Elle doit rester accessible aux autorités de surveillance du marché pendant au moins 10 ans ou la durée de la période de support.
Les fabricants doivent réaliser une évaluation de conformité démontrant que le produit et leurs processus satisfont aux exigences essentielles de l'Annexe I, avant la mise sur le marché. La procédure requise dépend de la classification du produit : module A (auto-évaluation) pour les produits standard, évaluation par un tiers pour certains produits importants, et participation obligatoire d'un organisme notifié pour les produits importants de classe II et les produits critiques.
Les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché de l'UE que s'ils satisfont aux exigences essentielles de cybersécurité énoncées à la Partie I de l'Annexe I, à condition qu'ils soient correctement installés, entretenus et utilisés conformément à leur destination, et que les mises à jour de sécurité nécessaires aient été installées.
Les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché de l'UE que si les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à la Partie II de l'Annexe I, couvrant l'identification, la gestion et la divulgation des vulnérabilités tout au long de la période de support.
Les produits dont la fonctionnalité principale relève d'une catégorie de l'Annexe III sont des « produits importants comportant des éléments numériques » et doivent suivre une procédure d'évaluation de conformité plus stricte. Les produits importants de classe I peuvent utiliser l'auto-évaluation du module A uniquement si des normes harmonisées ou des spécifications communes sont appliquées ; sinon un organisme notifié est requis. La classe II requiert toujours un organisme notifié.
Les produits dont la fonctionnalité principale relève de l'Annexe IV (boîtiers de sécurité matériels, passerelles de compteurs intelligents et cartes à puce/éléments sécurisés) sont des « produits critiques ». Après l'acte délégué pertinent de la Commission, ils devront obtenir un certificat européen de cybersécurité au niveau « substantiel » ou supérieur. En attendant, une évaluation selon le module B+C ou H est requise.
Explorez la bibliothèque complète des obligations, comprenez votre rôle ou consultez le calendrier.