Cyber Resilience Act (CRA) : le calendrier pour la conformité des produits numériques

A la Une17/06/2026

En publiant le Cyber Resilience Act (CRA), l’Europe s’attaque à la question de la vulnérabilité des produits numériques mis sur son marché. L’enjeu de ce règlement européen est à la fois de rehausser le niveau de sécurité des produits dès leur conception, et de redonner aux acheteurs et aux utilisateurs des gages de confiance dans le choix d’un produit numérique.

Pour les produits numériques présentant un niveau de criticité élevé, la conformité au CRA passera par une évaluation obligatoire, réalisée par un organisme d’évaluation de la conformité (OEC) accrédité par l’ANSSI. Organisme spécialisé dans l’évaluation de la conformité selon les référentiels de cybersécurité les plus exigeants, LSTI a fait acte de candidature pour être accrédité par l’ANSSI. Cette accréditation lui permettra d’évaluer la conformité CRA des produits numériques critiques.

Publié fin 2024, le CRA entrera pleinement en application fin 2027. Tour d’horizon des jalons essentiels d’entrée en application du CRA, à anticiper dès maintenant.

Qu’est-ce que le Cyber Resilience Act ?

Le règlement (UE) n°2024/2847, dit Cyber Resilience Act (CRA), est un règlement européen portant sur la cyberrésilience des produits numériques. Adopté le 23 octobre 2024 et publié au Journal officiel de l’Union européenne (JOUE) le 20 novembre 2024, il pose un cadre juridique uniforme pour les produits numériques mis sur le marché européen.

Le CRA concerne principalement trois catégories d’acteurs ou opérateurs économiques : les fabricants, les importateurs et les distributeurs de produits comportant des éléments numériques.

À l’échelle nationale, un écosystème autour de la conformité CRA est en cours de structuration. Il s’articule autour :

De l’ANSSI,
Des organismes d’évaluation de la conformité, chargés de réaliser l’évaluation globale des produits,
Des laboratoires, responsables de la vérification technique.

Quelles sont les exigences du CRA ?

Le CRA pose à la fois des exigences essentielles en matière de cybersécurité et des procédures d’évaluation de la conformité.

Les principales obligations de cybersécurité prévues par le règlement portent sur :

L’intégration des exigences de sécurité dès la conception du produit (approche Security by Design),
La gestion des vulnérabilités sur l’ensemble du cycle de vie du produit,
La mise sur le marché des produits sans vulnérabilité exploitable connue,
La fourniture et la mise à jour du SBOM (Software Bill of Materials, soit l’inventaire des composants logiciels intégrés).

Le CRA prévoit également, pour certains produits numériques critiques, des évaluations de conformité obligatoires. Ces évaluations seront menées par des OEC identifiés dans chacun des États membres. En France, ces OEC seront accrédités par l’ANSSI, en qualité de Supervisory Body.

À l’issue du processus d’évaluation, les produits conformes aux exigences du CRA devront porter le marquage CE.

Une classification des produits numériques en fonction de leur criticité

Le Cyber Resilience Act classe les produits numériques (logiciels ou matériels) en quatre catégories, en fonction du niveau de criticité des produits (de la montre connectée jusqu’aux composants cryptographiques). Cette catégorisation définit le niveau de contrôle applicable, de l’auto-évaluation par le fabricant à l’évaluation obligatoire par un organisme d’évaluation tiers comme LSTI.

Produits standards (catégorie par défaut) : auto-évaluation et déclaration de conformité par le fabricant.
Produits importants de classe I : auto-évaluation possible si des normes harmonisées CRA ont été appliquées ; à défaut, évaluation obligatoire par un organisme notifié.
Produits importants de classe II : évaluation obligatoire par un organisme notifié tiers.
Produits critiques : évaluation obligatoire par un organisme notifié tiers.

Certains fabricants devront donc obligatoirement recourir à des organismes notifiés par l’ANSSI pour évaluer la conformité au CRA de leurs produits numériques. Une dizaine d’organismes devraient être notifiés par l’ANSSI en France.

Plus d’informations sur le site internet de l’ANSSI.

Conformité au CRA : les trois échéances à connaître

Le CRA s’appliquera de manière progressive, en suivant trois jalons principaux.

Juin 2026 : notification des OEC accrédités par l’ANSSI

Les États membres doivent avoir désigné leur autorité notifiante (l’ANSSI en France) et ouvert la procédure de notification des OEC. En France, l’ANSSI rendra publique en juin 2026 la liste des organismes accrédités habilités à conduire les évaluations de conformité CRA.

Accrédité ISO 17021 et ISO 17065, LSTI s’est manifesté auprès de l’ANSSI pour figurer sur la liste des OEC accrédités et réaliser, en lien avec des laboratoires, les évaluations de conformité CRA pour les produits importants de classe II et les produits critiques.

11 septembre 2026 : obligation de notification des vulnérabilités à l’ENISA

À compter de cette date, les fabricants seront tenus de notifier à l’ENISA (Agence de l’Union européenne pour la cybersécurité) toute vulnérabilité activement exploitée, dans un délai de 24 heures, puis de produire un rapport complet dans un délai de 72 heures, et un rapport final sous 14 jours.

11 décembre 2027 : application complète du règlement et de ses obligations

L’ensemble des obligations du CRA s’appliqueront fin 2027.

Complémentaire au règlement machines (UE) 2023/1230, le Cyber Resilience Act contribue à améliorer la résistance des composants numériques des équipements industriels face aux cyberattaques, renforçant au passage la résilience des chaînes de production industrielles.

Le CRA impose des obligations renforcées aux fabricants, tout au long du cycle de vie des produits numériques. Du côté des acheteurs, le règlement européen apportera une meilleure visibilité sur le niveau de sécurité des produits numériques. Dans ce sens, il renforcera la confiance dans la chaîne d'approvisionnement numérique.

Un projet de conformité CRA ?

Contactez-nous