Satisfaites aux exigences essentielles de l'annexe I, classez vos produits, réalisez l'évaluation de la conformité pour le marquage CE et signalez les vulnérabilités et incidents graves au titre de l'article 14 — dans un espace de travail unique.
Dates clés
Signalement à partir du 11 sept. 2026 ; obligations principales à partir du 11 déc. 2027
Qui doit se conformer
Fabricants (ainsi qu'importateurs et distributeurs) de produits comportant des éléments numériques sur le marché de l'UE
Amendes maximales
Jusqu'à 15 M€ ou 2,5% du chiffre d'affaires annuel mondial (art. 64)
Le CRA porte sur les produits comportant des éléments numériques mis sur le marché de l'UE. Les produits déjà régis par une législation sectorielle — dispositifs médicaux, véhicules à moteur, aviation civile — sont exclus, et les gestionnaires de logiciels libres et open source relèvent d'un régime allégé. Il s'agit d'une orientation et non d'un conseil juridique.
Le CRA établit des règles horizontales de cybersécurité pour les produits comportant des éléments numériques tout au long de leur cycle de vie :
Concevoir et fabriquer des produits sécurisés par défaut, sans vulnérabilité exploitable connue au moment de la mise sur le marché, et traiter les vulnérabilités pendant toute la période de support (annexe I, parties I et II).
Réaliser une évaluation des risques de cybersécurité, fixer une période de support d'au moins cinq ans, fournir des mises à jour de sécurité, fournir une nomenclature logicielle (SBOM) et gérer une politique de divulgation coordonnée des vulnérabilités.
Classer le produit (par défaut, important de classe I ou II, ou critique), réaliser la procédure d'évaluation de la conformité correspondante, établir la déclaration UE de conformité et apposer le marquage CE.
Notifier les vulnérabilités activement exploitées et les incidents graves au CSIRT coordinateur et à l'ENISA — une alerte précoce sous 24 heures et une notification plus complète sous 72 heures.
Transformez le règlement en un programme de conformité suivi — des exigences de l'annexe I au dossier de marquage CE.
Suivez chaque exigence essentielle de l'annexe I — propriétés de sécurité et traitement des vulnérabilités — par rapport à vos preuves, avec une visibilité claire des écarts.
Classez chaque produit selon les niveaux de risque du CRA (par défaut, important, critique) pour déterminer la voie de conformité requise.
Enregistrez la procédure d'évaluation de la conformité choisie, assemblez la documentation technique et suivez la déclaration UE de conformité et le marquage CE.
Préparez les notifications de vulnérabilités activement exploitées et d'incidents graves au CSIRT et à l'ENISA selon les délais de 24 et 72 heures.
Le CRA (règlement (UE) 2024/2847) est la loi horizontale de l'UE sur la cybersécurité des produits comportant des éléments numériques — matériels et logiciels dotés d'une connexion de données. Il fixe des exigences essentielles de cybersécurité, des obligations de traitement des vulnérabilités et de signalement, ainsi qu'une évaluation de la conformité menant au marquage CE.
Le CRA est entré en vigueur en décembre 2024. Ses obligations de signalement (article 14) s'appliquent à partir du 11 septembre 2026 et les obligations principales — exigences essentielles, évaluation de la conformité et marquage CE — à partir du 11 décembre 2027.
Tout produit matériel ou logiciel dont l'utilisation prévue ou raisonnablement prévisible comprend une connexion de données directe ou indirecte à un dispositif ou à un réseau. Les produits déjà couverts par une législation sectorielle — dispositifs médicaux, véhicules à moteur et aviation civile — sont exclus.
Les fabricants doivent notifier les vulnérabilités activement exploitées et les incidents graves au CSIRT coordinateur désigné et à l'ENISA : une alerte précoce sous 24 heures et une notification plus complète sous 72 heures, suivies d'un rapport final (article 14).
Le non-respect des exigences essentielles de l'annexe I ou des obligations des articles 13 et 14 peut entraîner des amendes pouvant atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu ; d'autres manquements jusqu'à 10 millions d'euros ou 2%, et les informations trompeuses jusqu'à 5 millions d'euros ou 1% (article 64).
Faites l'auto-évaluation gratuite pour estimer votre préparation au CRA en quelques minutes — sans créer de compte.