La CRA est la nouvelle loi européenne sur la cyber-résilience. Elle introduit de solides exigences horizontales obligatoires en matière de cybersécurité, garantissant que tous les produits numériques répondent à des normes de sécurité minimales tout au long de leur cycle de vie.
La CRA s’applique aux produits comportant des éléments numériques destinés à être connectés à un appareil ou à un réseau. Ces produits numériques désignent tout produit logiciel ou matériel, ainsi que les solutions de traitement de données à distance, y compris les composants logiciels ou matériels vendus séparément. Parmi ces produits, on peut citer (i) les routeurs, (ii) les compteurs intelligents, (iii) les logiciels d’accès à distance et (iv) les appareils de l’Internet des objets, comme les aspirateurs robots et les réfrigérateurs intelligents.
Obligations: Les obligations relatives aux produits numériques couvrent l’ensemble de leur cycle de vie, de la conception, du développement et de la production (ex ante) aux obligations relatives aux produits mis sur le marché et en service (ex post). La majorité des obligations s’adressent aux fabricants, bien que les distributeurs et les importateurs doivent également respecter certaines obligations.
Calendrier: La CRA est entrée en vigueur le 11 décembre 2024. En tant que règlement de l’UE, elle s’applique directement dans tous les États membres sans nécessiter de transposition dans les lois nationales. Un calendrier de mise en œuvre par étapes a été mis en place pour permettre aux opérateurs économiques de s’adapter progressivement (les principales obligations s’appliquant à partir du 11 décembre 2027) :
- 11 juin 2026 : les organismes d’évaluation de la conformité commenceront à évaluer la conformité des produits aux exigences de l’ARC
- 11 septembre 2026 : les fabricants doivent respecter les obligations de déclaration des vulnérabilités et des incidents
- 11 décembre 2027 : la conformité totale au CRA est requise, y compris le respect des exigences essentielles en matière de cybersécurité avant l’entrée sur le marché, la gestion des vulnérabilités tout au long du cycle de vie du produit et la garantie de la transparence pour les utilisateurs.
