Le Cyber Resilience Act entre en application progressive jusqu’en 2027. Voici ce que les fabricants et importateurs de produits avec éléments numériques doivent anticiper dès maintenant.
Le CRA s’applique à tout produit comportant des éléments numériques mis sur le marché européen : appareils IoT, logiciels commercialisés, applications professionnelles. Les logiciels open source non commerciaux et les services cloud purs sont exclus du périmètre direct.
Les fabricants de classe I (risque standard) peuvent s’auto-certifier. Les classes II et III, correspondant aux produits à risque élevé comme les routeurs industriels ou les logiciels de sécurité, exigent une évaluation par un organisme notifié.
Le CRA impose une conception éprouvée sécurité dès la conception (security-by-design), la gestion des vulnérabilités tout au long du cycle de vie du produit, et la fourniture de mises à jour de sécurité pendant au moins 5 ans après la mise sur le marché.
Tout incident de sécurité actif ou vulnérabilité exploitée doit être signalé à l’ENISA dans les 24 heures. La documentation technique doit prouver la conformité et être conservée 10 ans après la mise sur le marché.
Le règlement est entré en vigueur en décembre 2024. Les obligations de signalement des incidents s’appliquent dès septembre 2026. L’ensemble des exigences est pleinement applicable en décembre 2027 — mais la documentation technique doit être préte bien avant.
Les équipes produit doivent intégrer maintenant les exigences CRA dans leur roadmap : revue de l’architecture sécurité, procédures de gestion des vulnérabilités, plan de mises à jour. Un cycle de développement dure 12 à 24 mois — ce qui signifie que les produits conçus aujourd’hui seront soumis au CRA.
Le Pack Cyber Resilience Act Certitud couvre les exigences essentielles : analyse de périmètre, documentation technique, procédures de gestion des vulnérabilités et plan de notification des incidents. Des templates prêts à l’emploi pour anticiper l’échéance 2027 sans partir de zéro.
