ACFACF ComplianceAI Governance
ProduitCouvertureACF StandardTarifsDiagnostic FlashContactSe connecter
Démarrer gratuitement
Retour à la couverture
Règlement (UE) 2024/2847

CRA

Cyber Resilience Act

EUEEAVoir la régulation officielle
articles documentés
10
obligations actionnables
10
niveaux de sanction
3
En vigueur depuis
2027-12-11

Périmètre d'application

Entités concernées

  • manufacturer
  • importer
  • distributor
  • open_source_software_steward

Seuils d'application

  • Tout produit comportant des éléments numériques (PEN) mis sur le marché dans l'UE
  • Couvre hardware, software, composants distribués séparément, et solutions de traitement de données à distance pour la mise en œuvre des PEN (art. 3(1) et art. 2(2))
  • Trois catégories de produits : produits standards, produits importants (annexe III classe I et II), produits critiques (annexe IV)

Exemptions

  • Produits couverts par d'autres règles UE équivalentes : dispositifs médicaux (Règlements 2017/745 et 2017/746), produits à usage militaire (art. 2(6)), produits aéronautiques (Règlement 2018/1139), véhicules motorisés (Règlement 2019/2144)
  • Open Source Software développé ou fourni hors d'une activité commerciale (art. 2(7))
  • Données brutes à usage unique des services SaaS B2B en ligne (sauf solutions de traitement de données à distance intégrées à un PEN)
Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 6

Exigences essentielles cybersécurité

Les PEN doivent être conçus, développés et produits conformément aux exigences essentielles de l'Annexe I parts I (propriétés cybersécurité) et II (gestion vulnérabilités). Sécurisation de tous les processus.

Obligations
  • Concevoir les PEN selon les exigences Annexe I §1 (propriétés : confidentialité, intégrité, disponibilité, mises à jour de sécurité, etc.)
  • Mettre en place les processus Annexe I §2 (gestion vulnérabilités, mises à jour, SBOM)
Annexe I §1

Propriétés essentielles de cybersécurité

13 exigences sur les propriétés : livraison sans vulnérabilité exploitable connue, paramétrage sécurisé par défaut, mécanismes de mise à jour de sécurité, contrôle d'accès et identification, chiffrement, intégrité, minimisation des données, disponibilité, exposition réduite (attack surface), résilience aux attaques DoS, fonctionnalités de sécurité (logs), suppression / transfert sécurisés.

Obligations
  • Livrer sans vulnérabilité exploitable connue
  • Configurer sécurement par défaut (avec retour à la configuration usine)
  • Fournir des mises à jour de sécurité automatiques quand applicable
  • Implémenter contrôle d'accès approprié
  • Implémenter chiffrement et intégrité (données au repos / en transit)
  • Minimiser la surface d'attaque et la collecte de données personnelles ou business
  • Fournir un mécanisme de logging des actions de sécurité
  • Permettre suppression / transfert sécurisé des données
Annexe I §2

Exigences de gestion des vulnérabilités

8 exigences process : identifier et documenter vulnérabilités et composants (SBOM), traiter sans délai et apporter des correctifs, tester régulièrement la sécurité, divulguer une fois corrigé, faciliter le partage d'information, fournir politique de divulgation coordonnée, fournir un canal de signalement public, distribuer les mises à jour sans délai et gratuitement.

Obligations
  • Produire et maintenir un SBOM (Software Bill of Materials) au minimum au top niveau
  • Mettre en place une politique de divulgation coordonnée des vulnérabilités
  • Fournir un canal public de réception (security.txt, email, formulaire)
  • Tester régulièrement la sécurité (revue code, tests, fuzzing)
  • Distribuer les patches gratuitement et sans délai
  • Maintenir le support sécurité pour la durée de vie attendue (par défaut 5 ans, art. 13(8))
Art. 13

Obligations du fabricant

Documenter l'évaluation des risques cyber, intégrer la cybersécurité dès la conception, fournir la documentation technique annexe VII, fournir une déclaration UE de conformité, déclarer la durée de support, conserver la documentation 10 ans.

Obligations
  • Réaliser une évaluation des risques cybersécurité (art. 13(2))
  • Documenter cette évaluation dans la documentation technique (annexe VII)
  • Déterminer et déclarer la durée de support sécurité (au moins 5 ans sauf justification)
  • Conserver documentation technique et déclaration UE 10 ans (art. 13(7) et 28)
Art. 14

Obligations de notification du fabricant

Notification à l'autorité compétente et à l'ENISA des vulnérabilités activement exploitées (alerte précoce 24h, notification 72h, rapport final 14 jours) et des incidents de sécurité graves affectant la sécurité du produit. Notification aux utilisateurs si pertinent.

Obligations
  • Notifier l'ENISA et le CSIRT national d'une vulnérabilité activement exploitée : alerte 24h
  • Notification de vulnérabilité sous 72h
  • Rapport final sous 14 jours après la mise à disposition d'une mesure corrective
  • Notifier les utilisateurs lorsque pertinent (recommander mesures de mitigation)
Art. 19

Obligations de l'importateur

Vérifier l'évaluation de conformité, le marquage CE, la documentation technique disponible. Refuser la mise sur le marché si non-conforme. Coopérer en cas d'incident.

Obligations
  • Vérifier conformité avant mise sur le marché
  • Conserver la documentation 10 ans
  • Coopérer en cas de demande d'autorité ou d'incident
Art. 20

Obligations du distributeur

Vérifier la présence du marquage CE et des instructions, ne pas mettre en circulation un produit non-conforme, contribuer à la coordination en cas d'incident.

Obligations
  • Vérifier marquage CE et instructions
  • Stopper la distribution en cas de non-conformité suspectée
Art. 24-29

Documentation technique et déclaration UE de conformité

Documentation technique annexe VII obligatoire avant mise sur le marché. Déclaration UE de conformité annexe V. Marquage CE obligatoire (annexe VI).

Obligations
  • Produire la documentation annexe VII
  • Établir la déclaration UE de conformité annexe V
  • Apposer le marquage CE conformément à l'annexe VI
Art. 32

Évaluation de conformité

Trois modules selon la catégorie de produit : (a) contrôle interne pour produits standards et importants classe I, (b) module B+C pour produits importants classe II avec organisme notifié, (c) examen UE de type ou système de qualité total avec organisme notifié pour produits critiques.

Obligations
  • Identifier la catégorie de produit (annexe III ou IV)
  • Choisir le module d'évaluation applicable
  • Pour produits importants classe II et critiques : recourir à un organisme notifié
Art. 64

Sanctions

Sanctions établies par les États membres mais plafonnées par le règlement. Trois niveaux : violations exigences essentielles annexe I et obligations principales (15 M€ ou 2,5 %), autres obligations (10 M€ ou 2 %), info trompeuse aux autorités notifiées (5 M€ ou 1 %).

Obligations
  • Être en mesure de démontrer la conformité à tout moment
  • Coopérer avec les autorités de surveillance du marché
Obligations transverses

10 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

  • GouvernanceArt. 13 · Annexe I

    Réaliser une évaluation des risques cybersécurité par produit (art. 13(2))

  • TechniqueAnnexe I §1 · Art. 6

    Concevoir le produit selon Annexe I §1 (13 propriétés essentielles)

  • ProcessAnnexe I §2

    Mettre en place le processus de gestion des vulnérabilités (Annexe I §2)

  • DocumentationAnnexe I §2

    Produire et maintenir un SBOM (au minimum top niveau, Annexe I §2(1))

  • GouvernanceAnnexe I §2(5)

    Mettre en place une politique de divulgation coordonnée des vulnérabilités

  • ProcessArt. 13(8) · Annexe I §2(8)

    Fournir des mises à jour de sécurité gratuitement pendant la durée de support (par défaut 5 ans)

  • NotificationArt. 14

    Notifier ENISA et CSIRT en cas de vulnérabilité activement exploitée (24h / 72h / 14j) (art. 14)

  • DocumentationArt. 13 · Art. 28 · Annexe VII

    Produire la documentation technique annexe VII et la conserver 10 ans (art. 28)

  • DocumentationArt. 28 · Art. 30 · Annexe V · Annexe VI

    Établir la déclaration UE de conformité (annexe V) et apposer le marquage CE (annexe VI)

  • GouvernanceArt. 32 · Annexe III · Annexe IV

    Recourir à un organisme notifié pour produits importants classe II et critiques (annexe III/IV)

    Si : produit annexe III classe II · produit annexe IV (critique)

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 64(2)
15 M€ ou 2,5 % du CA mondial annuel total (le plus élevé)

Violations des exigences essentielles cybersécurité (annexe I) et des obligations principales du fabricant (art. 13, 14)

Base légale · Art. 64(3)
10 M€ ou 2 % du CA mondial annuel total (le plus élevé)

Violations des autres obligations CRA (importateur, distributeur, OSS steward)

Base légale · Art. 64(4)
5 M€ ou 1 % du CA mondial annuel total (le plus élevé)

Communication d'informations inexactes, incomplètes ou trompeuses aux autorités / organismes notifiés

Articulation avec l'AI Act

Le CRA et l'AI Act s'appliquent cumulativement aux PEN intégrant un système IA, avec une coordination explicite : (1) l'art. 8 AI Act prévoit que les systèmes IA haut-risque intégrés à un PEN doivent satisfaire les exigences AI Act ET CRA ; (2) un fabricant unique peut produire une documentation technique combinée couvrant Annexe VII CRA et Annexe IV AI Act ; (3) les notifications d'incident sont distinctes : AI Act art. 73 (incident grave système IA, 15 jours) et CRA art. 14 (vulnérabilité activement exploitée, 24h/72h/14j) ; (4) un produit IA classé haut-risque + critique CRA combine les régimes d'évaluation de conformité (organisme notifié) sans cumul d'organismes - mécanisme prévu par les actes d'exécution.

Retour à /coverageLancer le Diagnostic FlashDiscuter de votre périmètre
CRA (Règlement (UE) 2024/2847) — ACF Compliance | ACF Compliance