Guide indépendant du règlement (UE) 2024/2847 · Statut : en vigueur
Cette page est une traduction automatique (IA) qui n'a pas été révisée par un humain.
Aide · FAQ

Questions fréquentes

Des réponses concises aux questions les plus fréquentes sur le Cyber Resilience Act, avec des renvois au texte.

Questions et réponses

Le CRA s’applique aux produits comportant des éléments numériques mis à disposition sur le marché de l’UE dont l’utilisation prévue ou raisonnablement prévisible comprend une connexion de données directe ou indirecte. Si votre produit contient un logiciel ou un micrologiciel et atteint le marché de l’UE, il est très probablement concerné. Art. 2 Le moyen le plus rapide de vérifier est l’auto-évaluation.

La classification dépend de la fonctionnalité principale du produit, et non de chacune de ses fonctions. Si la fonction principale correspond à une catégorie de l’annexe III, le produit est « important » (classe I ou II) ; si elle correspond à l’annexe IV, il est « critique » ; sinon, il est « par défaut ». Une fonction comme la gestion des identités ou un VPN, présente seulement comme fonctionnalité, ne rend pas le produit « important », sauf si c’est sa finalité première. Lorsque plusieurs catégories pourraient s’appliquer, c’est la classe la plus stricte qui prévaut. Art. 7

Les logiciels libres non commerciaux développés en dehors d’une activité commerciale sont largement exclus du champ d’application. Les « gestionnaires » de logiciels libres ont des obligations allégées et adaptées. Les composants open source fournis dans le cadre d’une activité commerciale peuvent, eux, être concernés.

Les services autonomes sont généralement hors du champ du CRA. Toutefois, les solutions de traitement de données à distance nécessaires au fonctionnement d’un produit sont considérées comme faisant partie de ce produit et sont donc concernées. Art. 3(2)

Oui. Le CRA s’applique aux produits mis sur le marché de l’UE, quel que soit le lieu d’établissement du fabricant. Les fabricants hors de l’UE doivent veiller à ce qu’un opérateur économique établi dans l’Union soit responsable des obligations concernées.

Elles se répartissent en deux parties de l’annexe I : les propriétés de sécurité que le produit doit présenter (sécurité par défaut, confidentialité, intégrité, disponibilité, surface d’attaque réduite, mises à jour de sécurité) et les processus de gestion des vulnérabilités que le fabricant doit mettre en œuvre (SBOM, correction, divulgation coordonnée). Annexe I

Oui. Les fabricants doivent identifier et documenter les composants contenus dans le produit, notamment en établissant une nomenclature logicielle dans un format courant et lisible par machine. Annexe I · II(1)

La période de support est la durée pendant laquelle un fabricant doit fournir des mises à jour de sécurité. Elle doit refléter la durée pendant laquelle le produit est raisonnablement censé être utilisé ; selon les conseils de la Commission, elle devrait généralement être d’au moins cinq ans, sauf si l’utilisation prévue est plus courte. Art. 13(8)

Les vulnérabilités activement exploitées et les incidents graves affectant la sécurité du produit doivent être notifiés à l’ENISA et au CSIRT compétent. Une alerte précoce est due dans les 24 heures suivant la prise de connaissance, suivie d’une notification plus complète puis d’un rapport final. Art. 14

Le règlement est entré en vigueur le 10 décembre 2024. Les obligations de signalement s’appliquent à partir de septembre 2026 (21 mois plus tard) et l’essentiel des obligations à partir de décembre 2027 (36 mois plus tard). Art. 71

Les manquements aux exigences essentielles ou aux obligations des fabricants peuvent entraîner des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. Des plafonds inférieurs s’appliquent aux autres infractions et à la communication d’informations inexactes.

Les obligations de signalement de l’article 14 deviennent applicables le 11 septembre 2026. L’ENISA met en place la plateforme de signalement unique prévue à l’article 16, par laquelle les fabricants notifieront les vulnérabilités activement exploitées et les incidents graves à l’ENISA et au CSIRT national ; elle devrait être opérationnelle à cette date. Art. 14

La demande de normalisation M/606 de la Commission a été acceptée par le CEN, le CENELEC et l’ETSI en 2025 et couvre une quarantaine de normes (horizontales et propres aux produits). Les deux normes horizontales fondamentales (développement sécurisé et gestion des vulnérabilités) sont attendues pour le 30 août 2026, les normes verticales de produits pour le 30 octobre 2026 et les normes horizontales restantes pour le 30 octobre 2027, avant l’application complète en décembre 2027. Le respect d’une norme harmonisée citée confère une présomption de conformité. Annexe I

Suivez la procédure d’évaluation de la conformité correspondant à la classe de votre produit, constituez la documentation technique, rédigez et signez la déclaration UE de conformité, puis apposez le marquage CE. Les produits par défaut peuvent s’auto-évaluer ; les produits importants et critiques exigent des procédures plus strictes. Art. 28 · 32

Commencez par le Test rapide CRA pour confirmer le champ d’application et la classe, suivez le guide correspondant à votre rôle, puis utilisez la matrice de conformité pour suivre les exigences essentielles jusqu’à leur réalisation.

Vous n’avez pas trouvé votre réponse ?

Confirmez la situation de votre produit avec l’auto-évaluation gratuite, ou lisez l’explication en langage simple.