CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
RôleArt. 3(14)

Gestionnaire open source

Un gestionnaire de logiciels open source est toute personne morale qui apporte un soutien systématique au développement d'un logiciel libre et open source dont il est raisonnablement prévisible que l'utilisation prévue soit commerciale.

Faits clés

  • Nouvelle catégorie introduite par le CRA pour traiter les OSS sans pénaliser les développeurs individuels
  • Obligations plus légères que pour les fabricants (pas de marquage CE, pas de DoC)
  • Doit mettre en place une politique de cybersécurité et coopérer avec les autorités
  • Le critère d'activité commerciale détermine si un projet OSS est dans le champ d'application
  • Le statut de gestionnaire ne s'applique pas aux utilisateurs en aval qui empaquettent/distribuent le logiciel

Échéances clés

1

11 décembre 2024 — Le CRA entre en vigueur

Le règlement est juridiquement en vigueur. Les produits mis sur le marché à compter de cette date devront être conformes au CRA une fois les dates d'application atteintes.

11 septembre 2026 — Les obligations de signalement des vulnérabilités s'appliquent

Le signalement des vulnérabilités et incidents à l'ENISA conformément à l'art. 14 devient obligatoire. Il s'agit de la première échéance ferme. Les fabricants doivent avoir mis en place leurs processus de signalement avant cette date.

3

11 juin 2027 — Notification des organismes d'évaluation de la conformité

Les États membres doivent notifier à la Commission les organismes d'évaluation de la conformité.

4

11 décembre 2027 — Le règlement s'applique intégralement

Toutes les exigences du CRA s'appliquent à tous les produits concernés. Aucun nouveau produit non conforme ne peut être mis sur le marché de l'UE.

Obligations (5)

OBL-ART23-01Binding

Tenir des registres de traçabilité de la chaîne d'approvisionnement et les fournir sur demande

Tous les opérateurs économiques doivent être en mesure, sur demande des autorités de surveillance du marché, d'identifier (a) tout opérateur économique qui leur a fourni un produit et (b) tout opérateur économique auquel ils ont fourni un produit. Les registres doivent être conservés pendant 10 ans à compter de chaque transaction.

Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding

Établir et documenter une politique de cybersécurité pour les logiciels libres

Les gestionnaires de logiciels libres doivent mettre en place et documenter une politique de cybersécurité favorisant le développement d'un produit sécurisé et permettant une gestion efficace des vulnérabilités dans les composants de logiciels libres qu'ils administrent.

Art. 24(1)
Open-source steward
OBL-ART24-02Binding

Notifier les vulnérabilités activement exploitées et les incidents graves

Les gestionnaires de logiciels libres doivent notifier sans délai le CSIRT désigné comme coordinateur de toute vulnérabilité activement exploitée dans leurs composants de logiciels libres, ainsi que de tout incident grave affectant la sécurité de ces composants.

Art. 24(2)
Open-source steward
OBL-ART24-03Binding

Coopérer avec les autorités de surveillance du marché

Les gestionnaires de logiciels libres doivent coopérer avec les autorités de surveillance du marché sur demande et fournir toutes les informations requises pour l'exercice de leurs missions réglementaires.

Art. 24(3)
Open-source steward
OBL-ART24-04Binding

Établir la documentation technique sur demande

Sur demande des autorités de surveillance du marché, les gestionnaires de logiciels libres doivent établir et tenir à jour la documentation technique des composants de logiciels libres qu'ils administrent, permettant l'évaluation de la conformité en matière de cybersécurité.

Art. 24(4)
Open-source steward

Prêt à aller plus loin ?

Explorez la bibliothèque complète des obligations, comprenez votre rôle ou consultez le calendrier.

Bibliothèque des obligations Voir le calendrier
Gestionnaire open source obligations — Hub Conformité CRA