Règlement UE
CRA : Cyber Resilience Act
Le Cyber Resilience Act (CRA) vise à sécuriser les consommateurs et entreprises achetant des produits logiciels ou matériels comportant des éléments numériques. Le règlement (UE) 2024/2847 renforce la cybersécurité des produits comportant des éléments numériques commercialisés dans l'Union européenne. Il introduit des exigences de cybersécurité obligatoires couvrant la planification, la conception, le développement et la maintenance de ces produits.
Périmètre et obligations
Le CRA s'applique aux produits comportant des éléments numériques, définis comme produits logiciels ou matériels et leurs solutions de traitement de données à distance, y compris les composants mis sur le marché séparément. Les produits sont classés en trois catégories : produits par défaut (smartphones, ordinateurs), produits importants de classe I (19 types incluant gestionnaires de mots de passe, SIEM, navigateurs, domotique) et produits importants de classe II (4 types : hyperviseurs, firewalls/IDS/IPS, microprocesseurs sécurisés).
Les obligations couvrent l'intégralité de la chaîne de valeur. Les fabricants doivent notifier les vulnérabilités activement exploitées et les incidents graves via la plateforme ENISA aux CSIRT coordinateurs nationaux (CERT-FR pour la France). Le calendrier de notification impose un premier signalement sous 24 heures, un rapport complet sous 72 heures et un rapport final sous 14 jours. Les produits portent le marquage CE pour indiquer leur conformité.
Lien avec NIS2
Le CRA est complémentaire à NIS2 qui traite d'opérateurs de services : le CRA vise à sécuriser les produits numériques utilisés dans l'UE tandis que NIS2 sécurise les moyens de production des entreprises et administrations. Le CRA s'applique aux produits (sécurité by design, gestion des vulnérabilités, marquage CE), tandis que NIS2 s'applique aux organisations (sécurité opérationnelle des réseaux et systèmes d'information).
Une entité soumise à NIS2 qui fabrique des produits numériques devra respecter les deux textes simultanément. La notification d'une vulnérabilité activement exploitée au titre du CRA est transmise au CSIRT désigné au titre de NIS2. Les fabricants fournissant des entités régulées NIS2 doivent donc intégrer les deux cadres dans leur gouvernance de sécurité.