Cyber Resilience Act : calendrier d'application
Actualité · Évolution réglementaire
Le règlement (UE) 2024/2847, dit « Cyber Resilience Act » (CRA), est entré en vigueur le 10 décembre 2024. Il établit des exigences de cybersécurité horizontales pour les « produits comportant des éléments numériques » placés sur le marché de l'Union. Son application est échelonnée : les premières obligations contraignantes arrivent en 2026, l'application complète en décembre 2027. Tout fabricant de matériel ou de logiciel connecté est concerné.
Un règlement horizontal, pas une directive
Section intitulée « Un règlement horizontal, pas une directive »Le CRA est un règlement, directement applicable dans tous les États membres sans transposition nationale, contrairement à une directive. Il couvre l'ensemble des produits comportant des éléments numériques, matériel et logiciel, dont l'usage prévu ou raisonnablement prévisible inclut une connexion de données directe ou indirecte à un appareil ou à un réseau.
À la différence de l'article 3.3 de la directive RED, qui ne vise que les équipements radio, le CRA a une portée beaucoup plus large : un capteur filaire, une passerelle, une bibliothèque logicielle ou un microcontrôleur connecté par Ethernet entrent dans son champ alors qu'ils échappent à la RED.
Le calendrier d'application échelonné
Section intitulée « Le calendrier d'application échelonné »Le CRA suit une montée en charge en plusieurs phases. Les trois jalons confirmés par les textes officiels sont les suivants :
| Date | Jalon |
|---|---|
| 10 décembre 2024 | Entrée en vigueur du règlement (UE) 2024/2847 |
| 11 septembre 2026 | Application des obligations de signalement des vulnérabilités activement exploitées et des incidents graves |
| 11 décembre 2027 | Application complète des obligations principales, dont l'évaluation de conformité et le marquage CE |
L'entrée en vigueur du 10 décembre 2024 ne déclenche pas d'obligation immédiate pour les fabricants : c'est le point de départ qui fait courir les délais des phases suivantes.
Première échéance contraignante : le signalement
Section intitulée « Première échéance contraignante : le signalement »À compter du 11 septembre 2026, les fabricants devront notifier les vulnérabilités activement exploitées et les incidents graves affectant la sécurité de leurs produits. Le règlement prévoit un signalement précoce rapide après la prise de connaissance, suivi de notifications plus complètes selon des délais définis par le texte. Cette phase arrive volontairement avant l'application complète, pour que les processus de divulgation et de réponse aux incidents soient opérationnels avant l'échéance principale.
Application complète : décembre 2027
Section intitulée « Application complète : décembre 2027 »À partir du 11 décembre 2027, les obligations principales s'appliquent pleinement : exigences essentielles de cybersécurité, évaluation de conformité adaptée à la catégorie de produit, déclaration UE de conformité et marquage CE intégrant la dimension cybersécurité. C'est la date à viser pour qu'un produit placé sur le marché soit pleinement conforme au CRA.
Ce que le CRA exige des fabricants
Section intitulée « Ce que le CRA exige des fabricants »Les exigences essentielles couvrent le produit sur tout son cycle de vie :
- Sécurité dès la conception : surface d'attaque minimale, configuration sécurisée par défaut, pas de mot de passe usine identique sur tous les exemplaires.
- Gestion des vulnérabilités sur toute la durée de support déclarée : traitement coordonné, correctifs, politique de divulgation.
- Mises à jour de sécurité disponibles et, lorsque c'est pertinent, automatiques, signées et vérifiables.
- Nomenclature logicielle (SBOM) documentant au moins les dépendances de premier niveau.
- Durée de support déclarée et communiquée à l'utilisateur.
Pour un produit déjà soumis à la RED 3.3 cybersécurité, une partie du travail (analyse de risque, gestion des secrets, mises à jour signées) est mutualisable. Mais les deux cadres restent distincts : la RED ne couvre que le radio, le CRA couvre aussi le non-radio et impose explicitement la gestion des vulnérabilités sur la durée de support.
Articulation avec la RED et le marquage CE
Section intitulée « Articulation avec la RED et le marquage CE »Le CRA s'inscrit dans la logique du marquage CE : il ajoute des exigences essentielles évaluées au sein de la déclaration UE de conformité, sans créer de marquage distinct. La Commission a indiqué son intention d'éviter les doubles évaluations entre le CRA et l'article 3.3 de la RED pour les équipements radio déjà couverts. Les modalités précises de cette articulation se préciseront via les actes d'exécution et les normes harmonisées à venir.
Le point d'attention pour les équipes produit : la durée de support déclarée engage le fabricant sur des années de gestion de vulnérabilités. Ce n'est pas une formalité de fin de projet mais un paramètre d'architecture, qui conditionne le choix des composants, la capacité de mise à jour à distance et le modèle de maintenance.
À retenir
Section intitulée « À retenir »- Le règlement (UE) 2024/2847 (CRA) est en vigueur depuis le 10 décembre 2024.
- Les obligations de signalement des vulnérabilités exploitées et incidents graves s'appliquent au 11 septembre 2026.
- L'application complète des obligations principales, dont l'évaluation de conformité et le marquage CE, intervient le 11 décembre 2027.
- Le CRA est horizontal : il couvre matériel et logiciel connectés, radio comme non-radio.
- La durée de support et la gestion des vulnérabilités sont des paramètres de conception, à décider en amont.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Périmètre du marquage CE: directives et règlements applicables
- Normes harmonisées RED: cybersécurité radio et présomption de conformité
Sources & références
- Règlement (UE) 2024/2847, Cyber Resilience Act , EUR-Lex eur-lex.europa.eu/eli/reg/2024/2847/oj
- Cyber Resilience Act, synthèse et calendrier , Commission européenne digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act