Introduction
En décembre 2025, l’Union européenne a publié une FAQ Cyber Resilience Act (CRA) technique et détaillée, règlement européen de cybersécurité entré en vigueur le 20 décembre 2024. Ce document officiel de la Commission européenne constitue une ressource précieuse pour comprendre l’application concrète de cette réglementation qui établit des règles de cybersécurité pour les produits comportant des éléments numériques commercialisés dans l’UE.
Pour les entreprises françaises et européennes, la compréhension de ce règlement européen cybersécurité devient un enjeu stratégique majeur. Cette FAQ officielle vise à accompagner les acteurs économiques dans leur préparation à la mise en conformité CRA. Elle rassemble les questions récurrentes identifiées par les services de la Commission depuis l’entrée en vigueur du règlement et sera régulièrement mise à jour.
Cet article propose une synthèse accessible des principales questions abordées dans cette FAQ officielle, avec des réponses volontairement résumées pour offrir une vue d’ensemble rapide. Nous encourageons vivement les lecteurs à consulter le document source complet et le texte officiel du règlement CRA pour approfondir les aspects techniques et juridiques détaillés, car seuls ces documents font autorité en matière d’interprétation.
1. Champ d’Application
Quand un produit avec éléments numériques relève-t-il du CRA ?
Un produit relève du CRA s’il est mis sur le marché et que son usage prévu ou raisonnablement prévisible inclut une connexion de données (logique ou physique, directe ou indirecte) à un appareil ou réseau, sauf exemptions explicites prévues par le règlement.
Qu’est-ce qu’un produit avec éléments numériques ?
C’est un produit logiciel ou matériel incluant ses solutions de traitement de données à distance. Cela englobe logiciels autonomes, firmware, applications mobiles, composants matériels, objets connectés. Les sites web autonomes ou services cloud indépendants ne sont généralement pas concernés, sauf s’ils constituent du traitement de données à distance au sens du règlement.
Le CRA s’applique-t-il aux produits placés sur le marché avant décembre 2027 ?
Les produits placés avant le 11 décembre 2027 ne sont soumis au CRA que s’ils subissent une modification substantielle après cette date. Exception importante : les obligations de notification des vulnérabilités activement exploitées s’appliquent à tous les produits numériques relevant du CRA, même ceux placés avant 2027, dès le 11 septembre 2026.
Les produits fabriqués pour usage propre sont-ils concernés ?
Non. La mise sur le marché n’inclut pas les produits fabriqués pour son propre usage. Les outils de développement internes non commercialisés ne relèvent donc pas du CRA selon le Guide Bleu sur la mise en œuvre des règles produits de l’UE.
Peut-on commercialiser des versions de test non conformes ?
Oui. Les logiciels inachevés peuvent être mis à disposition pour tests pendant une période limitée avec indication visible claire de non-conformité. Les fabricants doivent effectuer une évaluation des risques, respecter autant que possible les exigences de sécurité et ne pas forcer les utilisateurs à migrer vers ces versions de test.
Les produits de sécurité nationale ou défense sont-ils exemptés ?
Oui. Le CRA ne s’applique pas aux produits développés ou modifiés exclusivement pour la sécurité nationale, la défense ou spécifiquement conçus pour traiter des informations classifiées. Les produits « double usage » (civil et militaire) restent concernés sauf modification exclusive pour ces finalités spécifiques.
Quels produits couverts par d’autres réglementations sont exemptés ?
Le CRA exempte les dispositifs médicaux (règlements 2017/745 et 2017/746), véhicules (règlement 2019/2144), équipements aéronautiques certifiés (règlement 2018/1139), équipements maritimes (directive 2014/90), et véhicules deux/trois roues et quadricycles (règlement 168/2013), à l’exception des vélos à assistance électrique de catégorie L1e.
2. Articulation avec Autres Réglementations
Comment le CRA s’articule-t-il avec le Règlement Machine ?
Un produit relevant des deux règlements doit respecter les exigences cybersécurité du CRA et les exigences santé-sécurité du Règlement Machine. La conformité CRA peut faciliter celle du Règlement Machine (sections 1.1.9 et 1.2.1 Annexe III) mais ne la remplace pas. Deux procédures d’évaluation de conformité distinctes sont requises.
Quelle interaction avec le règlement espace européen données santé ?
Un système de dossier médical électronique peut relever des deux règlements simultanément. Les exigences cybersécurité diffèrent et nécessitent double conformité. L’évaluation des risques CRA peut s’intégrer à celle de l’EHDS. Important : la procédure d’évaluation de conformité EHDS remplace celle du CRA pour ces produits, évitant ainsi une double certification.
Quel lien avec le règlement général protection des données ?
Le CRA et le RGPD sont complémentaires sans chevauchement légal. Le CRA fixe des exigences cybersécurité contribuant à la protection des données personnelles (confidentialité, intégrité, minimisation). La conformité CRA ne remplace pas les obligations RGPD ni n’affecte les mécanismes de démonstration de conformité RGPD comme les codes de conduite ou certifications.
Comment le CRA interagit-il avec le Data Act ?
Le Data Act impose l’accès aux données produits pour utilisateurs et tiers. Les fabricants doivent considérer ces obligations dans leur évaluation des risques CRA. Le Data Act prévoit des garde-fous (secrets commerciaux, sécurité) limitant le partage. Pas d’obligation stricte de reconception, mais conformité aux deux règlements requise.
3. Produits Importants et Critiques
Comment déterminer si un produit est important ou critique ?
La classification dépend de la fonctionnalité principale du produit. Les produits importants (Classe I, Annexe III) incluent gestionnaires de mots de passe, pare-feu, routeurs. Les produits critiques (Classe II, Annexe IV) comprennent systèmes d’exploitation, hyperviseurs, cartes à puce. La description technique détaillée figure dans le règlement d’exécution 2025/2392.
L’intégration d’un composant important/critique rend-elle le produit intégrateur important/critique ?
Non. Intégrer un navigateur dans une application mobile ne rend pas l’application importante. Intégrer un élément sécurisé dans un ordinateur portable ne rend pas l’ordinateur critique. C’est la fonctionnalité principale du produit final qui détermine sa classification, pas celle des composants intégrés.
La présence de fonctions multiples empêche-t-elle la classification ?
Non. Un produit gardant la fonctionnalité principale d’un produit important/critique reste classifié comme tel, même avec fonctions additionnelles. Un système d’exploitation reste classifié même avec calculatrice intégrée. À l’inverse, un smartphone intégrant système d’exploitation et gestionnaire de mots de passe n’est généralement pas classifié car sa fonctionnalité principale diffère.
4. Obligations des Fabricants
Que requiert l’évaluation des risques cybersécurité ?
L’évaluation des risques couvre identification, analyse et traitement des risques durant conception, développement, production, livraison et maintenance. Elle doit indiquer quelles exigences essentielles s’appliquent et comment elles sont mises en œuvre. Elle documente les mesures techniques implémentées et doit être mise à jour durant la période de support. Tous les fabricants doivent réaliser cette évaluation cybersécurité, quelle que soit la catégorie du produit.
Le CRA impose-t-il une méthodologie d’évaluation spécifique ?
Non. Les fabricants choisissent leur méthodologie pourvu qu’elle identifie et traite tous les risques pertinents de manière documentée. La modélisation des menaces doit refléter les risques selon l’usage prévu. Les produits pour infrastructures critiques nécessitent des modèles de menaces plus robustes que les produits grand public.
Faut-il implémenter toutes les exigences essentielles ?
Toutes les exigences de gestion des vulnérabilités (Annexe I, Partie II) s’appliquent obligatoirement. Pour les exigences liées aux propriétés des produits (Annexe I, Partie I), les fabricants déterminent lesquelles sont pertinentes via leur évaluation des risques. Une justification claire doit figurer dans la documentation technique pour toute exigence non applicable en raison de l’incompatibilité avec la nature du produit.
Comment l’usage prévu et l’usage raisonnablement prévisible affectent-ils l’évaluation ?
L’usage prévu est défini par le fabricant dans sa documentation. L’usage raisonnablement prévisible résulte de comportements humains ou interactions techniques probables, même non intentionnels par le fabricant. Les fabricants doivent anticiper qu’un outil professionnel pourrait être utilisé par des non-professionnels et adapter conception et instructions en conséquence.
Comment garantir l’absence de vulnérabilités exploitables ?
Le CRA n’exige pas l’absence totale de vulnérabilités, mais l’absence de vulnérabilités exploitables connues lors de la mise sur le marché, basée sur l’évaluation des risques. Une vulnérabilité est exploitable si elle peut être effectivement exploitée dans les conditions opérationnelles pratiques du produit. Certaines vulnérabilités théoriques ne sont pas exploitables en conditions réelles d’utilisation.
Comment fonctionne l’exigence de sécurité par défaut ?
Les produits doivent être livrés avec configuration sécurisée par défaut basée sur l’évaluation des risques et l’usage prévu. Pour composants destinés à l’intégration, l’obligation s’applique uniquement à la livraison initiale, pas aux configurations ultérieures de l’intégrateur. Exception possible pour produits sur-mesure avec accord contractuel explicite entre fabricant et utilisateur professionnel spécifique.
Faut-il corriger toutes les vulnérabilités découvertes durant la période de support ?
Non. Les fabricants évaluent le risque de chaque vulnérabilité et mettent en place des remèdes appropriés sans délai, selon les risques. Les remèdes peuvent être correctifs immédiats, contournements, mises à jour différées, guidances de configuration. Les vulnérabilités inexploitables dans le contexte opérationnel du produit peuvent être documentées sans correctif dédié.
Comment séparer mises à jour sécurité et fonctionnalités ?
Les nouvelles mises à jour sécurité doivent être fournies séparément des mises à jour fonctionnalités quand techniquement faisable. Exception acceptée : quand mise à jour fonctionnalité est nécessaire pour livrer la mise à jour sécurité, ou quand la mise à jour fonctionnalité constitue elle-même la correction de sécurité (par exemple désactivation d’une interface vulnérable).
Comment traiter les vulnérabilités dans les composants intégrés ?
Les obligations de gestion des vulnérabilités s’appliquent au produit complet incluant tous composants intégrés. Le fabricant doit informer le développeur du composant, corriger la vulnérabilité et partager le correctif applicable. Pour composants placés après application du CRA, le fabricant peut s’appuyer sur les obligations du fabricant du composant. Pour composants pré-CRA, le fabricant intégrateur assume seul la correction.
Que prescrit le CRA pour l’intégration de composants tiers ?
Les fabricants doivent exercer une diligence raisonnable lors de l’intégration de composants tiers pour garantir qu’ils ne compromettent pas la cybersécurité du produit final. Le niveau approprié dépend de la nature et des risques du composant. Actions possibles : vérification marquage CE, historique mises à jour sécurité, consultation bases vulnérabilités, tests supplémentaires, analyse composition logicielle, revue SBOM.
Quels critères déterminent la période de support ?
La période de support doit refléter la durée d’usage attendue, considérant principalement : attentes raisonnables utilisateurs, nature et usage prévu du produit, législation européenne sur durée de vie produits. Facteurs complémentaires : périodes de support produits similaires, disponibilité environnement opérationnel, support composants tiers critiques. L’ensemble doit être considéré de manière proportionnée.
Existe-t-il une période de support minimale ?
Oui, minimum cinq ans, sauf si durée d’usage attendue inférieure à cinq ans, auquel cas la période de support correspond à cette durée d’usage. Pour produits attendus en usage au-delà de cinq ans (matériel réseau, systèmes d’exploitation, systèmes industriels), les fabricants doivent prévoir des périodes plus longues selon les critères de l’article 13(8).
5. Obligations de Notification
Comment un fabricant prend-il connaissance d’une vulnérabilité activement exploitée ?
Le CRA n’impose pas de méthode spécifique mais exige notification dès connaissance avérée. Sources possibles : notification clients/partenaires, rapports renseignement menaces, chercheurs sécurité, agences gouvernementales, surveillance interne, télémétrie. Le fabricant doit disposer d’un point de contact unique pour signalement vulnérabilités conformément aux exigences de l’Annexe I, Partie II.
Faut-il notifier les vulnérabilités zero-day ?
Les vulnérabilités zero-day (sans correctif disponible) sont soumises à notification obligatoire uniquement si le fabricant dispose de preuves fiables d’exploitation malveillante réelle. Les vulnérabilités découvertes par tests de bonne foi, programmes bug bounty ou laboratoires d’évaluation, sans preuve d’exploitation malveillante préalable, ne sont pas soumises à notification obligatoire mais peuvent être notifiées volontairement.
Faut-il notifier pour les produits placés avant application du CRA ?
Oui. Les obligations de notification (article 14) s’appliquent à tous les produits relevant du CRA, incluant ceux placés sur le marché avant le 11 décembre 2027, dès le 11 septembre 2026. Les fabricants doivent notifier les vulnérabilités activement exploitées et incidents graves mais ne sont pas obligés de les corriger si techniquement impossible pour produits très anciens.
Si une vulnérabilité affecte un composant tiers, tous les intégrateurs doivent-ils notifier ?
Oui. Le fabricant du produit final contenant le composant vulnérable doit notifier si la vulnérabilité est activement exploitée dans son produit. Le fabricant du composant doit également notifier si le composant a été commercialisé séparément. Si la vulnérabilité n’est pas exploitable dans le produit final spécifique, pas d’obligation de notification obligatoire pour ce fabricant.
6. Évaluation de Conformité
Quelles sont les procédures d’évaluation de conformité disponibles ?
Le CRA offre trois modules : Module A (auto-évaluation sans organisme notifié), Module B+C (examen conception par organisme notifié), Module H (système qualité complet évalué par organisme notifié). Le choix dépend de la catégorie du produit. Module A applicable aux produits par défaut et certains produits importants sous conditions. Modules B+C ou H obligatoires pour produits critiques et certains importants.
Qu’est-ce que le marquage CE ?
Le marquage CE est l’autodéclaration visuelle du fabricant de conformité à toutes les législations applicables, incluant le CRA. Doit être visible, lisible, indélébile, généralement supérieur à 5 mm. Pour logiciels, apposé sur déclaration de conformité UE ou site web accompagnant le logiciel dans section facilement accessible. Ne peut être apposé sans évaluation de conformité positive préalable.
Qu’est-ce que la documentation technique ?
La documentation technique (Annexe VII) doit contenir tous éléments démontrant conformité aux exigences essentielles, incluant évaluation des risques et spécifications processus gestion vulnérabilités. Doit être complète et claire, disponible lors mise sur le marché. Pas d’obligation de publication publique, sauf logiciels libres importants ou critiques choisissant auto-attestation selon article 32(5).
Quand les normes harmonisées seront-elles disponibles ?
La demande de normalisation (M/606) prévoit 15 normes harmonisées en 3 livrables : système qualité (août 2026), exigences propriétés produits (octobre 2027), gestion vulnérabilités (août 2026). Plus 26 normes verticales produits-spécifiques (31 livrables) couvrant produits importants et critiques (octobre 2026). La Commission évaluera ces normes pour publication références au Journal Officiel UE.
7. Période de Transition
Quand le CRA commence-t-il à s’appliquer ?
Les dispositions sur organismes notifiés (articles 35-51) s’appliquent dès le 11 juin 2026. Les obligations de notification (article 14) débutent le 11 septembre 2026. Les exigences essentielles, surveillance du marché et autres dispositions principales s’appliquent à partir du 11 décembre 2027. Les certificats cybersécurité d’autres réglementations restent valides jusqu’au 11 juin 2028 sauf expiration antérieure.
Peut-on continuer à fabriquer des produits d’un type développé avant le CRA ?
Non. Le CRA s’applique aux produits individuels, pas aux types. Seules les unités individuelles placées sur le marché avant le 11 décembre 2027 sont exemptées (sauf notifications). Les nouvelles unités d’un type non conforme ne peuvent être placées après cette date, même si des unités identiques ont été commercialisées antérieurement.
Peut-on commercialiser des produits intégrant des composants sans marquage CE ?
Oui. Les fabricants peuvent intégrer des composants sans marquage CE (open source non commercial, composants pré-CRA, composants non commercialisés) en exerçant diligence raisonnable appropriée pour garantir que ces composants ne compromettent pas la cybersécurité du produit final. Durant la transition, vérification conformité CRA impossible, donc diligence par autres moyens requise.
Points Clés à Retenir
✓ Échéance CRA décembre 2027 : Application complète le 11 décembre 2027
✓ Notifications obligatoires : Dès le 11 septembre 2026 pour vulnérabilités exploitées
✓ Période de support minimale : 5 ans (sauf usage attendu inférieur)
✓ Trois modules de conformité : A (auto-évaluation), B+C (organisme notifié), H (système qualité)
✓ Documentation technique obligatoire : Évaluation risques et processus gestion vulnérabilités
✓ Marquage CE requis : Après évaluation de conformité positive uniquement
Conclusion
Cette FAQ simplifiée offre une première approche des principales dispositions du Cyber Resilience Act basée exclusivement sur la documentation officielle publiée par la Commission européenne. Nous insistons sur l’importance de consulter la FAQ complète et les textes réglementaires officiels pour toute décision de mise en conformité, car seuls ces documents font autorité.
Le CRA représente une évolution majeure dans l’approche réglementaire de la cybersécurité des produits numériques. Les fabricants, importateurs et distributeurs doivent anticiper leur mise en conformité CRA en évaluant leurs produits, en établissant des processus de gestion des vulnérabilités robustes, et en se familiarisant avec les procédures d’évaluation de conformité applicables.
AKENATECH est une entreprise de conseil et d’intégration de solutions basée à Lyon (Auvergne-Rhône-Alpes, France) qui accompagne les entreprises françaises et européennes dans leur démarche de conformité au CRA. Pour cela, nous combinons expertise technique en cybersécurité OT/IoT et maîtrise des exigences de gouvernance, risque et conformité (GRC). Nous intervenons sur l’ensemble du territoire : Paris, Marseille, Toulouse, Bordeaux, Nantes, Lille, Strasbourg et toute la France.
La période de transition jusqu’en décembre 2027 offre l’opportunité de transformer cette obligation réglementaire en avantage concurrentiel. Comment se conformer au CRA ? Nos consultants CRA France vous accompagnent dans votre stratégie de mise en conformité cybersécurité.