Quelles sont les obligations du Cyber Resilience Act (CRA) pour votre entreprise en 2026 ? Découvrez le calendrier, les produits concernés et nos conseils d'experts pour assurer votre conformité européenne.

Après NIS 2 et DORA, l’arsenal législatif européen s’attaque désormais à la sécurité des produits : le Cyber Resilience Act (CRA). Si vous fabriquez, importez ou distribuez des produits numériques (matériels ou logiciels), cette réglementation va devenir votre nouveau cadre de référence.

Alors que le calendrier d’application s’accélère en cette année 2026, voici ce qu’il faut retenir pour mettre votre entreprise en conformité.

Qu’est-ce que le Cyber Resilience Act (CRA) ?

Le CRA est un règlement européen qui impose des exigences de cybersécurité à tous les « produits comportant des éléments numériques » mis sur le marché de l’Union Européenne.

L’objectif est simple : s’assurer que la sécurité n’est plus une option ajoutée après coup, mais un élément intrinsèque du cycle de vie du produit, de sa conception à sa fin de vie.

Qui est concerné par cette réglementation ?

Contrairement à NIS 2 qui cible les infrastructures critiques, le CRA vise les opérateurs économiques de la chaîne d’approvisionnement :

  • Les Fabricants : Ils portent la responsabilité principale de la conformité et de l’évaluation.
  • Les Importateurs et Distributeurs : Ils doivent vérifier que les produits qu’ils mettent sur le marché respectent les exigences de l’UE et portent le marquage CE.

Quels produits sont visés ?

Le champ d’application est extrêmement large. Il inclut les objets connectés (IoT), les logiciels embarqués, les routeurs, les caméras IP, mais aussi les systèmes industriels.

Note : Certains produits comme les dispositifs médicaux ou l’automobile sont exclus, car ils sont déjà régis par des normes sectorielles spécifiques (comme TISAX pour l’auto).

Les 3 piliers de la conformité au CRA

Pour être conforme, un produit doit désormais répondre à trois exigences majeures :

  1. La Sécurité par défaut (Security by Design) : Les produits doivent être livrés sans vulnérabilités connues et configurés de manière sécurisée dès la sortie d’usine.
  2. La Gestion des vulnérabilités : Le fabricant a l’obligation de fournir des mises à jour de sécurité pendant toute la durée de vie prévue du produit (ou pendant au moins 5 ans).
  3. Le Signalement obligatoire : Dès septembre 2026, les fabricants devront notifier toute vulnérabilité activement exploitée ou tout incident grave à l’ENISA et au CERT-FR (ANSSI) sous 24 heures.

Calendrier : Les dates clés à retenir

Le déploiement du CRA est progressif, mais les échéances se rapprochent :

  • Juin 2026 : Entrée en vigueur des dispositions relatives aux organismes d’évaluation de la conformité.
  • Septembre 2026 : Début de l’obligation de notification des vulnérabilités exploitées.
  • Décembre 2027 : Application intégrale. Tous les produits mis sur le marché devront être conformes, sous peine de sanctions.

Quelles sanctions en cas de non-conformité ?

L’Union Européenne a prévu des amendes dissuasives pour garantir l’efficacité du texte :

  • Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.
  • Le retrait pur et simple des produits non conformes du marché européen par les autorités de surveillance (l’ANFR en France).

Conclusion : Anticiper pour ne pas subir

Le Cyber Resilience Act n’est pas qu’une contrainte administrative ; c’est un gage de confiance pour vos clients. En 2026, la cybersécurité est devenue un critère de choix commercial majeur.

Votre entreprise est-elle prête pour l’échéance de septembre ?

Pour en savoir plus sur les détails techniques du règlement, vous pouvez consulter la page officielle de la Commission Européenne sur le Cyber Resilience Act.

Mots-clés

Voir tous les articles