norppa.io
Guides

Guide CRA · 11 min

Le règlement européen sur la cyberrésilience (CRA) : ce qu'il exige, quand il s'applique et ce qu'il signifie pour votre chaîne d'approvisionnement

Le règlement sur la cyberrésilience est la première loi horizontale de cybersécurité de l'UE portant sur les produits. Là où NIS2 régit la manière dont les organisations gèrent leur sécurité, le CRA régit la sécurité du matériel et des logiciels mis sur le marché de l'UE (des objets connectés aux logiciels autonomes. Il est déjà en vigueur, ses premières obligations de signalement commencent en septembre 2026, et à partir de décembre 2027 un produit qui ne satisfait pas à ses exigences ne pourra plus être légalement vendu dans l'UE. Ce guide explique le champ d'application, le calendrier et les obligations) et, pour les équipes qui achètent ces produits et en dépendent, ce qu'il faut demander à vos fournisseurs et comment en apporter la preuve.

Points clés

  • Le CRA réglemente les produits comportant des éléments numériques (matériels et logiciels) vendus dans l'UE ; il vise d'abord les fabricants, avec des obligations aussi pour les importateurs et les distributeurs.
  • Dates échelonnées : en vigueur depuis décembre 2024, signalement des vulnérabilités et incidents à partir du 11 septembre 2026, toutes les obligations principales à partir du 11 décembre 2027.
  • Le pur SaaS est généralement hors du champ du CRA, mais si vous achetez des produits ou des composants, votre obligation NIS2 sur la chaîne d'approvisionnement et le CRA pointent désormais dans la même direction : exigez des preuves de sécurité dès la conception et de traitement des vulnérabilités.

Ce qu'est le CRA

Le règlement sur la cyberrésilience (règlement (UE) 2024/2847) fixe des exigences obligatoires de cybersécurité pour les « produits comportant des éléments numériques » : tout produit logiciel ou matériel, et ses solutions de traitement de données à distance, pouvant être connecté à un appareil ou à un réseau et mis sur le marché de l'UE. C'est un règlement : il s'applique donc directement dans les 27 États membres, sans transposition nationale.

L'essentiel des obligations incombe au fabricant, qui doit concevoir, fabriquer et entretenir le produit de manière sûre et démontrer la conformité (le marquage CE). Les importateurs et les distributeurs ont leurs propres obligations. Ils ne peuvent mettre sur le marché que des produits conformes et doivent agir lorsqu'ils apprennent qu'un produit ne l'est pas. Le règlement définit aussi deux catégories à risque plus élevé, les produits « importants » et « critiques » (par exemple les gestionnaires de mots de passe, les systèmes de gestion de réseau ou les modules matériels de sécurité), soumis à des voies de conformité plus strictes.

Dans le champ d'application

Les produits matériels et logiciels mis sur le marché de l'UE pouvant se connecter à un appareil ou à un réseau : objets connectés, systèmes d'exploitation, applications, bibliothèques, et les solutions de traitement de données à distance qui leur sont intégrées.

Hors champ (notamment le SaaS)

Le pur logiciel-service n'est généralement pas un « produit » au sens du CRA et relève plutôt de NIS2 : sauf si une solution de traitement de données à distance est essentielle au fonctionnement d'un produit et conçue par le fabricant de ce produit. Les produits déjà couverts par des règles sectorielles (p. ex. dispositifs médicaux, véhicules à moteur, certains produits aéronautiques) sont également exclus.

Le calendrier qui compte

Le CRA s'applique par étapes. Deux dates structurent l'essentiel de la planification :

10 déc. 2024

Entré en vigueur. Le compte à rebours commence ; aucune obligation de fond ne s'applique encore.

11 sept. 2026

Les obligations de signalement commencent. Les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents graves (une alerte précoce sous 24 heures, une notification sous 72 heures et un rapport final sous 14 jours) à leur CSIRT national et à l'ENISA via la plateforme de signalement unique.

11 déc. 2027

Application intégrale. Toutes les exigences essentielles s'appliquent ; les produits comportant des éléments numériques non conformes ne peuvent plus être mis sur le marché de l'UE.

Ce que les fabricants doivent faire

Les exigences essentielles couvrent tout le cycle de vie du produit. En résumé, un fabricant conforme doit :

  • Concevoir de manière sûre (sécurité dès la conception et par défaut) : livrer avec une configuration sûre, réduire la surface d'attaque et protéger la confidentialité et l'intégrité.
  • Traiter les vulnérabilités pendant toute la période de prise en charge : les identifier, les documenter et les corriger, et fournir des mises à jour de sécurité gratuitement pendant une période de prise en charge reflétant la durée de vie attendue du produit (la Commission évoque au moins cinq ans pour de nombreux produits).
  • Fournir une nomenclature logicielle (SBOM) : tenir un inventaire lisible par machine des composants afin que, lorsqu'une nouvelle vulnérabilité apparaît dans une dépendance, les produits concernés soient repérés rapidement.
  • Mettre en place une politique de divulgation coordonnée des vulnérabilités : publier un point de contact et un processus de signalement des vulnérabilités (le rôle que joue security.txt en pratique).
  • Signaler les vulnérabilités activement exploitées et les incidents graves : selon le calendrier 24 h / 72 h / 14 jours, à partir du 11 septembre 2026.
  • Démontrer la conformité et apposer le marquage CE : par auto-évaluation pour la plupart des produits, ou par évaluation par un tiers pour les catégories « importants » et « critiques », étayée par une documentation technique.

Comment le CRA s'articule avec NIS2

NIS2 et le CRA sont complémentaires, et non concurrents. NIS2 porte sur les entités (la façon dont une entité essentielle ou importante gouverne et exploite sa propre sécurité, y compris le risque cyber de ses fournisseurs (art. 21(2)(d)). Le CRA porte sur les produits) la question de savoir si les objets mis sur le marché sont sûrs dès la conception et correctement entretenus. L'un réglemente l'exploitant, l'autre ce que l'exploitant achète et utilise.

C'est précisément là qu'ils se rejoignent. L'obligation de chaîne d'approvisionnement d'une entité NIS2 inclut de plus en plus la question « les produits et composants que nous achetons sont-ils prêts pour le CRA ? » : le fournisseur traite-t-il les vulnérabilités, livre-t-il des mises à jour, publie-t-il un canal de divulgation et fournit-il une SBOM ? À partir de décembre 2027, le marquage CE en répondra en partie ; jusque-là, et en continu ensuite, les acheteurs ont encore besoin de leur propre assurance que la sécurité d'un fournisseur tient en pratique.

Le CRA est un règlement de type sécurité des produits, et certaines frontières (en particulier la limite entre SaaS et traitement de données à distance, ainsi que les catégories « importants » et « critiques ») peuvent être nuancées. Vérifiez son application à un produit donné avec un conseil qualifié et le texte officiel.

Ce que cela signifie pour vous

Vos obligations dépendent de votre rôle dans la chaîne. Une orientation rapide :

Un fabricant de produits comportant des éléments numériques

Le CRA s'applique directement. Mettez en place dès maintenant les capacités de sécurité dès la conception, de traitement des vulnérabilités, de SBOM, de divulgation et de signalement : l'obligation de signalement est active depuis septembre 2026 et la pleine conformité est requise pour décembre 2027.

Un importateur ou un distributeur

Vous ne pouvez mettre sur le marché de l'UE que des produits conformes et marqués CE, devez vérifier que le fabricant a rempli ses obligations, et devez agir (et informer les autorités) lorsque vous apprenez qu'un produit présente un risque de cybersécurité important.

Un acheteur ou exploitant (notamment sous NIS2)

Le CRA ne vous réglemente pas directement en tant qu'acheteur, mais il redéfinit ce qui est « bon » à l'achat. Exigez des preuves de traitement des vulnérabilités, une SBOM, une politique de divulgation et une période de prise en charge, et surveillez si les fournisseurs tiennent réellement leurs engagements.

Un pur fournisseur de SaaS

Généralement hors du CRA (vous relevez plutôt de NIS2) : sauf si votre service est une solution de traitement de données à distance essentielle à un produit réglementé. Dans tous les cas, la diligence de vos clients posera les mêmes questions de sécurité.

Sources : Règlement (UE) 2024/2847 (Cyber Resilience Act) et les pages de la Commission européenne consacrées au Cyber Resilience Act. Les dates et le champ d'application reflètent le règlement publié ; vérifiez les détails pour vos produits avec un conseil qualifié.

Comment norppa.io aide

norppa.io ne rendra pas un produit conforme au CRA (c'est le rôle du fabricant) mais il donne aux acheteurs et exploitants la preuve externe qu'exigent désormais les achats et la diligence NIS2. Les signaux sur lesquels le CRA repose sont justement ceux que nous surveillons en continu : logiciels en fin de vie et vulnérabilités non corrigées (traitement des vulnérabilités défaillant), absence de canal de divulgation coordonnée, et services exposés ou mal configurés.

Les questionnaires d'auto-évaluation captent ce qu'aucun scan externe ne voit (disponibilité de la SBOM, période de prise en charge et de mise à jour déclarée, statut de conformité) et chaque réponse est confrontée au profil technique en direct. Le résultat : une preuve actuelle et corroborée du niveau de sécurité d'un fournisseur, prête pour votre dossier fournisseur, plutôt qu'une affirmation ponctuelle.

La preuve que vos fournisseurs tiennent vraiment

Voyez un rapport fournisseur d'exemple (constats, preuves et correspondance des articles) en environ deux minutes.

Voir le rapport d'exemple
Voir le tableau de bord exemple

Guides associés

Comment se conformer à NIS2 : une feuille de route étape par étape

Les étapes de la conformité NIS2 dans l'ordre : confirmer le champ, s'enregistrer, responsabilité de la direction (art. 20), les mesures de l'art. 21(2), sécurité de la chaîne d'approvisionnement, notification d'incidents (art. 23) et assurance continue et démontrée.

Qui est concerné par NIS2 ? Entités essentielles et importantes, secteurs et seuils de taille

Déterminez si NIS2 s'applique à vous : les deux catégories, les secteurs des annexes I/II, les seuils de taille, les exceptions indépendantes de la taille et comment la chaîne d'approvisionnement vous implique même sans désignation.

NIS2 et les exigences sur la chaîne d'approvisionnement. Ce que cela signifie en pratique

NIS2 oblige les entités essentielles et importantes à évaluer les risques cyber de leur chaîne d'approvisionnement. Hiérarchisation des fournisseurs, risque de 4e partie, notification Art. 23 et ce que les auditeurs recherchent.

Évaluation des cyber-risques fournisseurs : ce que le monitoring NIS2 automatisé vérifie

Toutes les catégories de contrôle expliquées : ransomware, fuites dark web, TLS/DNSSEC, sécurité des cookies, CVE/EPSS, sanctions, listes noires MX et SAQ. Cycle de vie des constatations et cartographie NIS2.

NIS2 Art. 21(2) : liste de contrôle sécurité pour fournisseurs

Liste de contrôle pour les équipes achats et sécurité : quoi demander, quels justificatifs collecter et comment réagir quand un fournisseur est en défaut. Inclut des propositions de documents probants.

Questionnaire fournisseur NIS2 (SAQ) : quoi demander, comment le noter, et un modèle gratuit

Quoi demander aux fournisseurs au titre de l'art. 21(2)(d), comment noter les réponses et réagir aux lacunes, pourquoi l'auto-déclaration doit être vérifiée, et un modèle gratuit.

Notification d'incident NIS2 : les délais de 24 et 72 heures expliqués

Ce qui constitue un incident important, le calendrier de l'article 23 (alerte à 24 h, notification à 72 h, rapport final à un mois) et quand l'incident d'un fournisseur devient votre obligation.

NIS2 et la responsabilité de la direction : ce que les conseils et dirigeants doivent savoir

Ce que NIS2 attend de l'organe de direction : devoirs d'approbation et de supervision, responsabilité personnelle (art. 20), formation, indicateurs de reporting et sanctions de l'art. 34.

ISO 27001 et NIS2 : ce que votre SMSI couvre déjà, et les écarts qui restent

Si vous détenez l'ISO 27001 : ce qui se reporte sur NIS2 et ce qui ne le fait pas (notification légale, responsabilité de la direction, enregistrement et assurance continue) et comment combler l'écart.

NIS2 vs DORA : différences, recouvrements et lequel s'applique à vous

En quoi les deux régimes UE diffèrent et se recoupent, pourquoi DORA est lex specialis pour les entités financières, lequel s'applique à vous, et ce que les deux impliquent pour le risque tiers.

RGPD vs NIS2 : recoupements, différences et quand un incident déclenche les deux

En quoi RGPD et NIS2 diffèrent et se recoupent, quand un incident déclenche les deux (RGPD art. 33 72 h à l'autorité de protection des données vs NIS2 art. 23 24 h/72 h/un mois au CSIRT), la coopération de l'art. 35 et l'absence de double amende, et ce que les deux impliquent pour la diligence fournisseurs.

Le règlement européen sur l'IA : niveaux de risque, calendrier et obligations des déployeurs (article 26)

Ce qu'exige le règlement IA de l'UE : les niveaux de risque, les dates échelonnées (en vigueur 2024, interdit fév. 2025, GPAI août 2025, haut risque août 2026), les obligations des déployeurs de l'art. 26, son articulation avec NIS2 et le RGPD, et ce que cela signifie pour l'achat d'IA.