Guide indépendant du règlement (UE) 2024/2847 · Statut : en vigueur
Cette page est une traduction automatique (IA) qui n'a pas été révisée par un humain.
Accompagnement · Sources officielles

Conseils de la Commission européenne sur le CRA

Un aperçu en langage clair des conseils publiés par la Commission européenne pour aider à interpréter le règlement (UE) 2024/2847 ; ce qu’ils couvrent, et où ils clarifient les obligations du texte juridique.

01De quoi il s’agit

Le règlement fixe les obligations ; les conseils de la Commission expliquent comment les appliquer en pratique. Ces conseils ne sont pas contraignants et ne modifient pas la loi, mais les autorités de surveillance du marché et les organismes notifiés s’y réfèrent pour une interprétation cohérente : ils sont le complément naturel du Art. 1 texte.

Comment l’utiliser

Lisez les conseils en regard de l’article qu’ils interprètent. En cas de divergence entre les conseils et votre propre lecture, la référence contraignante reste toujours le texte du règlement et, en dernier ressort, les tribunaux.

02La FAQ de la Commission

La Commission tient à jour un document de questions fréquentes qui regroupe les questions d’interprétation les plus courantes : cas limites du champ d’application, traitement des pièces détachées et des composants, et application du calendrier aux produits déjà sur le marché. Publié pour la première fois en décembre 2025, c’est un « document vivant » mis à jour à mesure que de nouvelles questions apparaissent.

Source officielle

Lisez la FAQ de la Commission sur la mise en œuvre du CRA : Mise en œuvre du Cyber Resilience Act : foire aux questions ↗

03Clarifications sur le champ d’application

Une grande partie des conseils porte sur le champ d’application, le sujet de loin le plus fréquent. Ils précisent ce qui constitue un « produit comportant des éléments numériques », comment sont traitées les solutions de traitement de données à distance, et où se situe la frontière avec la législation sectorielle. Art. 2

  • Connexion de données ; une connexion logique ou physique, directe ou indirecte, suffit à faire entrer un produit dans le champ d’application.
  • Secteurs exclus ; les dispositifs médicaux, les véhicules à moteur et l’aviation civile restent régis par leurs propres cadres.
  • SaaS ; les services autonomes sont généralement hors du champ du CRA, mais le traitement nécessaire au fonctionnement d’un produit est considéré comme faisant partie du produit. Art. 3

04Logiciels libres

Les conseils expliquent le régime allégé et adapté aux logiciels libres. Les logiciels libres non commerciaux développés en dehors d’une activité commerciale sont largement hors du champ d’application ; les « gestionnaires de logiciels libres » ont un ensemble d’obligations défini et proportionné.

Distinction clé

Le critère déclencheur est l’activité commerciale. Un composant fourni gratuitement mais dans le cadre d’une activité commerciale peut tout de même être concerné.

05Période de support et mises à jour

Les conseils indiquent comment définir une période de support défendable : elle doit refléter la durée pendant laquelle le produit est raisonnablement censé être utilisé, et devrait généralement être d’au moins cinq ans, sauf si l’utilisation prévue est plus courte. Les mises à jour de sécurité doivent être gratuites et fournies séparément des mises à jour de fonctionnalités. Art. 13

06Signalement et ENISA

Le signalement passe par la plateforme de signalement unique que l’ENISA met en place au titre de l’ Art. 16. Dès qu’il a connaissance d’une vulnérabilité activement exploitée, ou d’un incident grave affectant la sécurité du produit, le fabricant notifie l’ENISA et le CSIRT national via cette plateforme selon un calendrier de 24 heures / 72 heures / 14 jours. Les conseils précisent ce que doivent contenir l’alerte précoce, la notification et le rapport final. Art. 14

S’applique à partir du 11 septembre 2026

Les obligations de signalement deviennent applicables le 11 septembre 2026, et la plateforme de signalement unique de l’ENISA devrait être opérationnelle à cette date.

07Normes harmonisées

Les exigences essentielles de l’ Annexe I sont exprimées en termes de résultats. Une fois citées au Journal officiel, les normes harmonisées confèrent une présomption de conformité aux produits qui les respectent.

La demande de normalisation de la Commission M/606 a été acceptée par le CEN, le CENELEC et l’ETSI en 2025 et couvre une quarantaine de normes : environ 15 horizontales (indépendantes du produit) et le reste verticales (propres aux produits). Les deux normes horizontales fondamentales, sur le développement sécurisé et sur la gestion des vulnérabilités, sont attendues pour le 30 août 2026 ; les normes verticales pour le 30 octobre 2026 ; et les normes horizontales restantes pour le 30 octobre 2027, environ un an avant l’application complète.

Pourquoi c’est important

Tant que les normes ne sont pas citées, la conformité doit être démontrée directement au regard des exigences de l’annexe I. Une fois une norme pertinente citée, la suivre est le moyen le plus simple d’obtenir une présomption de conformité.