Le Cyber Resilience Act (CRA), ou Règlement sur la cyberrésilience, instaure des exigences de cybersécurité applicables à l’échelle de l’UE pour les produits comportant des éléments numériques. Cet article présente les principaux changements, le calendrier des principales obligations, et les organisations qui doivent s’y conformer dans l’ensemble de l’UE.

Sommaire

1. Cyber resilience act summary 
2. Qui est concerné ?
3. Évaluer et mettre en œuvre
4. Calendrier: Timeline 
5. Exigences : Tequirements 
6. Différence:  cyber resilience act vs nis2

Cyber resilience act summary : ce que régit le Cyber Resilience Act

Pour les équipes qui recherchent un guide du Cyber Resilience Act en français, ce résumé présente les exigences essentielles, le calendrier et les organisations concernées.

Le Cyber Resilience Act (CRA) est un règlement de l’UE. Il fixe des exigences communes en matière de cybersécurité pour les produits comportant des éléments numériques, y compris les logiciels et les appareils connectés, qui sont mis à disposition sur le marché de l’UE.

Ces exigences s’appliquent tout au long du cycle de vie du produit. Cela inclut la conception, le développement, la mise sur le marché des produits, la gestion des vulnérabilités et les mises à jour de sécurité. Pour mettre sur le marché de l’UE des produits relevant de son champ d’application, les opérateurs économiques doivent démontrer la conformité aux exigences du règlement, généralement par le biais de procédures d’évaluation de la conformité et du marquage CE.

Les responsabilités sont partagées tout au long de la chaîne d’approvisionnement. Les fabricants doivent concevoir et maintenir les produits conformément aux exigences du CRA. Les importateurs et les distributeurs doivent vérifier que les étapes de conformité nécessaires ont été accomplies avant que les produits ne soient mis à disposition sur le marché.

Le CRA exige également une gestion structurée des vulnérabilités. Par exemple, les fabricants doivent disposer de processus pour identifier, documenter et traiter les vulnérabilités, et le CRA introduit des délais de notification au niveau de l’UE pour les vulnérabilités activement exploitées et les incidents graves. Les obligations de notification prennent effet le 11 septembre 2026, tandis que les principales obligations s’appliquent à partir du 11 décembre 2027. Pour s’appuyer sur des sources fiables, la page de présentation du Cyber Resilience Act publiée par la Commission européenne, le texte juridique sur EUR-Lex et les ressources de l’ENISA en matière de politiques de cybersécurité constituent des points de référence utiles. En mars 2026, ces sources restent les plus pertinentes au niveau de l’UE pour comprendre le Cyber Resilience Act (CRA).

Cyber Resilience Act FAQ

Quels changements seront apportés dans le cadre du Cyber Resilience Act (CRA) en 2026 et 2027 ?

Cyber Resilience Act : dès le 11 septembre 2026, les obligations de notification des vulnérabilités s’appliquent. À partir du 11 décembre 2027, les produits numériques mis sur le marché de l’UE devront respecter les exigences essentielles, intégrer la gestion des vulnérabilités, prévoir des mises à jour et une documentation conforme, sécurisée.

Quelles sont les bonnes pratiques en matière de cyberrésilience ?

Une cyberrésilience efficace combine contrôles techniques et discipline opérationnelle : renforcer les systèmes, appliquer régulièrement mises à jour et correctifs, prioriser les vulnérabilités critiques, assurer un signalement clair des incidents. Elle suppose aussi de définir les responsabilités, tester les réponses et accompagner les collaborateurs par une sensibilisation continue et des conseils.

Qu’entend-on par « produits comportant des éléments numériques » au sens du CRA ?

Cyber Resilience Act : les produits comportant des éléments numériques sont du matériel ou des logiciels reposant sur un logiciel. Cela inclut systèmes d’exploitation, applications, appareils connectés, objets IoT, systèmes de contrôle industriels et systèmes informatiques d’entreprise avec logiciels ou micrologiciels. La plupart des produits connectés commercialisés dans l’UE sont concernés.

Comment les organisations peuvent-elles renforcer leur cyberrésilience ?

Les organisations renforcent leur cyberrésilience en intégrant la sécurité dans leurs opérations quotidiennes : processus structurés pour les mises à jour, les vulnérabilités et les incidents, tests réguliers, signalement simple, formation continue et simulations réalistes. Un cyber resilience assessment peut vous aider à identifier les priorités.

Qui est concerné par le Cyber Resilience Act ?

Le Cyber Resilience Act s’applique dans toute l’UE aux principaux opérateurs économiques qui mettent sur le marché des produits comportant des éléments numériques : fabricants, importateurs et distributeurs. Il couvre les produits matériels et logiciels dont la finalité prévue, ou l’utilisation raisonnablement prévisible, inclut une connexion directe ou indirecte à un appareil ou à un réseau.

Les fabricants sont responsables de la conception, du développement et de la mise sur le marché de l’UE de produits commercialisés sous leur nom ou leur marque. Les importateurs introduisent dans l’UE des produits provenant de pays tiers et doivent vérifier que les étapes de conformité requises ont été accomplies. Les distributeurs mettent les produits à disposition sur le marché de l’UE et doivent contrôler le respect de certaines exigences formelles essentielles, comme l’apposition du marquage CE et la présence des informations obligatoires destinées aux utilisateurs.

Voici quelques exemples typiques de produits comportant des éléments numériques :

• systèmes d’exploitation ;
• applications et logiciels ;
• micrologiciels ;
• routeurs, commutateurs et pare-feu ;
• appareils de domotique et équipements de bureau intelligents ;
• systèmes de contrôle industriels ;
• appareils portables ;
• systèmes informatiques d’entreprise, tels que les serveurs et les systèmes de stockage avec logiciels ou micrologiciels intégrés.

Pour une référence rapide, utilisez cet aperçu des produits comportant des éléments numériques dans le cadre du Cyber Resilience Act.

Comment réaliser un cyber resilience assessment et planifier la mise en œuvre

Une auto-évaluation rapide permet de déterminer dans quelle mesure votre organisation est préparée à la cyberrésilience, même si vous ne développez pas de logiciels ou ne fabriquez pas de produits numériques. Elle aide à vérifier si les mesures fondamentales sont déjà en place au sein de votre organisation et de votre chaîne d’approvisionnement, notamment les politiques, la formation, la gestion des correctifs, les canaux de signalement et les contrôles de base. Le résultat offre une première vision des lacunes et des priorités à traiter.

Une évaluation plus détaillée de la cyberrésilience s’appuie sur cette base de référence. Elle transforme les premières conclusions en une feuille de route pratique avec des responsabilités claires, des jalons, des activités de sensibilisation et un suivi régulier. Des tableaux de bord peuvent ensuite aider les équipes à suivre les progrès réalisés et à conserver une bonne visibilité dans la durée.Dans ce contexte, un test de cyber resilience assessment permet de structurer l’analyse et les prochaines étapes.

Évaluez votre degré de préparation aux cyberattaques en moins de 5 minutes

Testez, dès à présent,
votre cyberrésilience

Quel est le niveau de cyberrésilience de votre entreprise ? Répondez à quelques questions pour découvrir, en direct, le niveau de préparation de votre entreprise et obtenir quelques conseils sur mesure pour améliorer votre cybersécurité.

Start assessment

Your results

Score:

Level 1Foundational

Level 2Proactive

Level 3Resilient

Envie de passer au niveau supérieur ?

Découvrez vos résultats dans leur intégralité, des avis d’experts et des conseils personnalisés pour renforcer votre sécurité, étape par étape !

Get results

Calendrier du Cyber Resilience Act : dates clés de son entrée en vigueur et de sa mise en œuvre

Ce schéma présente les étapes clés de la cyber resilience act timeline, de son adoption à sa pleine application dans toute l’UE.  Après sa publication au Journal officiel de l’Union européenne, le règlement est entré en vigueur et une période de transition progressive a commencé. Celle-ci laisse aux organisations le temps de mettre en place les processus, la documentation et les responsabilités nécessaires pour se préparer à la conformité avant que l’ensemble des obligations ne s’applique pleinement.

Aperçu des Cyber Resilience Act requirements

Les Cyber Resilience Act requirements regroupent des exigences à la fois techniques et organisationnelles. Celles-ci s’appliquent à tout le cycle de vie du produit, de la conception et du développement à la maintenance, aux mises à jour et à la gestion des vulnérabilités. Ensemble, elles forment un cadre européen commun pour la cyberrésilience en matière de conception, de maintenance et de prise en charge des produits.

Sécurité dès la conception et par défaut
Les exigences de sécurité sont intégrées à l’architecture, au développement et à la configuration du produit dès le départ. Les paramètres par défaut doivent fournir un niveau de sécurité de base sans nécessiter d’action supplémentaire de la part des utilisateurs.

Gestion des vulnérabilités et mises à jour
Les organisations doivent disposer de processus permettant d’identifier, d’évaluer et de traiter les vulnérabilités dans des délais adaptés. Les mises à jour de sécurité doivent être fournies de manière sécurisée, et la divulgation coordonnée des vulnérabilités favorise une remédiation plus rapide.

Documentation et conformité
La documentation technique, les évaluations des risques et la procédure d’évaluation de la conformité applicable permettent d’accéder au marché de l’UE. Ces documents doivent être tenus à jour et pouvoir être tracés dans le temps.

Canaux de signalement et gestion des incidents
Les équipes doivent disposer de responsabilités claires, d’étapes de signalement internes et de procédures d’escalade. Les organisations peuvent ainsi enregistrer, évaluer et orienter les problèmes de sécurité de manière structurée.

Chaîne d’approvisionnement et composants
Les produits doivent inclure une documentation claire des composants et des dépendances, y compris les logiciels open source et, le cas échéant, une nomenclature logicielle (SBOM). Les modifications doivent rester traçables tout au long du cycle de vie du produit.

Informations destinées aux utilisateurs
Les utilisateurs doivent recevoir des informations claires sur les fonctionnalités de sécurité, les périodes de support et de mise à jour, ainsi que sur les modifications pertinentes.  Cela renforce la transparence et favorise un usage sécurisé dans la pratique.

NIS2 vs Cyber Resilience Act : quelles différences ?

Les différences cyber resilience act vs nis2 sont les suivantes : la directive SRI 2 (NIS2)  et le Cyber Resilience Act font tous deux partie du cadre actuel de cybersécurité de l’UE, mais ils s’appliquent à des aspects différents du paysage des risques. La directive SRI 2 (NIS2) porte sur la manière dont les organisations gèrent la cybersécurité, tandis que le Cyber Resilience Act se concentre sur la sécurité des produits comportant des éléments numériques tout au long de leur cycle de vie. La comparaison des deux permet de clarifier leurs recoupements, leurs différences et ce que chacun exige dans la pratique.

Aspect	SRI 2 (NIS2)	Règlement sur la cyberrésilience (CRA)
Nature juridique	Directive de l’UE. Transposée en droit national.	Règlement de l’UE. S’applique directement dans toute l’UE.
Objet	Gestion des risques de cybersécurité dans les organisations, y compris les obligations de signalement d’incidents.	Sécurité des produits comportant des éléments numériques tout au long de leur cycle de vie, y compris la sécurité dès la conception et la gestion des vulnérabilités.
Destinataires	Entités essentielles et importantes dans des secteurs définis.	Fabricants, importateurs et distributeurs de produits comportant des éléments numériques.
Obligations	Mesures de gestion des risques, traitement des incidents et obligations de signalement.	Exigences de sécurité pour la conception, le développement, la maintenance et les mises à jour, y compris l’évaluation de la conformité et la documentation.
Justificatifs	Politiques, procédures, évaluations des risques et processus de signalement.	Documentation technique, évaluation de la conformité et marquage CE.
Objectif	Renforcer la cyberrésilience des entités essentielles et importantes.	Garantir la sécurité des produits numériques sur le marché intérieur de l’UE.
Rôle pratique	Renforce la sécurité organisationnelle et la gouvernance.	Complète la directive SRI 2 (NIS2) en traitant les exigences de sécurité au niveau des produits. Ensemble, ces deux textes couvrent à la fois les risques organisationnels et ceux liés aux produits.

Les organisations qui travaillent déjà sur la directive SRI 2 (NIS2) peuvent s’appuyer sur un grand nombre des mêmes fondements pour se préparer au Cyber Resilience Act. Les deux textes visent à renforcer la cyberrésilience en Europe, mais ils traitent de niveaux de risque différents.  La directive SRI 2 (NIS2) se concentre sur la sécurité des organisations, tandis que le CRA porte sur la sécurité des produits. Ensemble, ils forment un cadre complémentaire pour la sécurité et la conformité.

Pour de nombreuses organisations, cette articulation offre une structure claire pour hiérarchiser les prochaines étapes.

À noter : cet article est fourni à titre d’information générale uniquement et ne constitue pas un avis juridique. Il ne remplace pas une évaluation juridique individuelle. Pour obtenir une interprétation faisant autorité de vos obligations au titre du Cyber Resilience Act, consultez des juristes qualifiés ou les autorités compétentes.

Développez une approche évolutive de la sécurité et de la conformité

Apprenez à gérer les exigences réglementaires tout en accompagnant les équipes dans leur travail quotidien.

Découvrez comment cela fonctionne