Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Cyber Resilience Act/CRA et NIS2 : comment s'articulent les deux règlements de cy...
Cyber Resilience Act

CRA et NIS2 : comment s'articulent les deux règlements de cybersécurité

Le CRA et NIS2 forment le socle européen de cybersécurité. Comment ces deux règlements se completent, se chevauchent, et comment gérer la double conformité.

Par Thiébaut DevergrannePublie le 2 fevrier 2026Mis a jour le 2 fevrier 20269 min de lecture
Sommaire
  1. I. Deux textes, deux logiques distinctes
  2. II. Les zones de chevauchement
  3. III. La chaîne d’approvisionnement : le point de convergence stratégique
  4. IV. Comparaison des sanctions
  5. V. Strategie pratique de double conformité
  6. Conclusion

Le Cyber Résilience Act (CRA) et la directive NIS2 constituent les deux piliers du cadre européen de cybersécurité. Le premier règlemente la sécurité des produits numériques mis sur le marché. La seconde impose des obligations de cybersécurité aux entités qui exploitent des réseaux et systèmes d’information. Leur articulation – l’objet de cet article – est une question centrale pour les organisations qui relèvent des deux textes simultanément.

I. Deux textes, deux logiques distinctes

A. Le CRA : la sécurité du produit

Le CRA – règlement (UE) 2024/2847 – est un texte de réglementation produit. Il s’inscrit dans la logique du marché intérieur et du marquage CE. Son objectif est d’imposer un niveau minimum de cybersécurité à tout produit comportant des éléments numériques avant sa mise sur le marché européen. Les obligations pèsent sur les fabricants, importateurs et distributeurs, et couvrent l’ensemble du cycle de vie du produit : conception sécurisée, gestion des vulnérabilités, fourniture de mises à jour de sécurité.

Le CRA ne s’intéressé pas à la manière dont une organisation exploite ses systèmes d’information. Il s’intéressé à la sécurité intrinseque du produit lui-même.

B. NIS2 : la sécurité de l’organisation

La directive NIS2 – directive (UE) 2022/2555 – suit une logique radicalement différente. Elle impose des mesures de cybersécurité aux organisations elles-mêmes, c’est-à-dire aux entités essentielles et aux entités importantes qui opèrent dans des secteurs critiques (énergie, transports, santé, infrastructures numériques, etc.). Les obligations portent sur la gouvernance des risques, la sécurité des réseaux et des systèmes d’information, la gestion des incidents et la sécurité de la chaîne d’approvisionnement.

NIS2 ne s’intéressé pas directement à la sécurité intrinseque des produits. Elle s’intéressé à la sécurité de l’écosystème opérationnel de l’entité.

C. Tableau comparatif

Critère CRA NIS2
Nature juridique Règlement (directement applicable) Directive (transposition nationale)
Logique Sécurité produit (marché intérieur) Sécurité organisationnelle (réseaux et systèmes)
Sujets de droit Fabricants, importateurs, distributeurs Entites essentielles et importantes
Périmètre Produits avec éléments numériques Réseaux et systèmes d’information
Notification d’incident 24h à l’ENISA (vulnérabilités activement exploitées) 24h au CSIRT national (incidents significatifs)
Sanctions maximales 15 M EUR ou 2,5 % du CA mondial 10 M EUR ou 2 % du CA mondial (entités essentielles)
Évaluation de conformité Marquage CE, auto-évaluation ou organisme tiers Controles et audits par les autorités nationales
Entree en application Obligations principales au 11 décembre 2027 Transposition au 17 octobre 2024

II. Les zones de chevauchement

A. Quand les deux textes s’appliquent simultanément

La question de l’articulation CRA-NIS2 se posé concrètement pour les organisations qui sont à la fois :

  • fabricants de produits numériques au sens du CRA (elles concoivent et commercialisent des logiciels, des équipements connectés ou des composants) ; et
  • entités essentielles ou importantes au sens de NIS2 (elles opèrent dans un secteur couvert par les annexes I ou II de la directive).

L’exemple type est un éditeur de logiciels de sécurité (pare-feu, antivirus, systèmes de détection d’intrusion) qui, du fait de son activité dans le secteur des infrastructures numériques, relève de NIS2 en tant qu’entité importante, tout en étant soumis au CRA en tant que fabricant d’un produit comportant des éléments numériques. Pour les éditeurs SaaS, la situation est plus nuancée puisque les services cloud purs relèvent principalement de NIS2.

Un fabricant d’équipements médicaux connectés opérant dans le secteur de la santé constitue un autre cas de figure fréquent, bien que les dispositifs médicaux proprement dits soient exclus du CRA au profit de leurs réglementations sectorielles.

B. La question de la notification des incidents

C’est sur le terrain de la notification que la coexistence des deux textes est la plus tangible.

Au titre du CRA (article 14), le fabricant qui découvre une vulnérabilité activement exploitée dans l’un de ses produits doit en informer l’ENISA dans un délai de 24 heures, via la plateforme de signalement unique. Une analyse complète doit suivre dans un délai de 72 heures, puis un rapport final dans les 14 jours. L’obligation porte sur les vulnérabilités du produit, indépendamment de tout incident affectant les systèmes du fabricant lui-même.

Au titre de NIS2 (article 23), l’entité essentielle ou importante qui subit un incident significatif affectant ses réseaux et systèmes d’information doit le notifier à son CSIRT national dans un délai de 24 heures (alerte initiale), puis fournir une notification intermédiaire dans les 72 heures et un rapport final dans un mois.

Les deux obligations sont cumulatives. Un fabricant-entité essentielle qui découvre qu’une vulnérabilité de son propre produit a été exploitée pour compromettre ses propres systèmes devra effectuer une double notification : à l’ENISA pour la vulnérabilité produit (CRA) et au CSIRT national pour l’incident opérationnel (NIS2). Les délais sont voisins mais les canaux, les destinataires et les contenus attendus différent.

Le considérant 15 du CRA precise d’ailleurs explicitement que le règlement ne fait pas obstacle aux obligations de notification prévues par NIS2 et que les deux mécanismes doivent se compléter.

III. La chaîne d’approvisionnement : le point de convergence stratégique

L’un des apports majeurs de l’articulation CRA-NIS2 concerne la sécurité de la chaîne d’approvisionnement.

NIS2 (article 21, paragraphe 2, point d) impose aux entités essentielles et importantes de prendre en compte la sécurité de la chaîne d’approvisionnement, y compris les aspects lies à la sécurité des relations entre chaque entité et ses fournisseurs ou prestataires directs. Concrètement, une entité NIS2 doit s’assurer que les produits et services qu’elle acquiert presentent un niveau de sécurité adéquat.

C’est ici que le CRA offre un levier direct. Un produit conforme au CRA – portant le marquage CE, accompagné d’une déclaration de conformité et d’un SBOM (Software Bill of Materials) – fournit à l’entité NIS2 des garanties documentées sur le niveau de sécurité du produit. L’entité peut s’appuyer sur ces éléments pour justifier de sa diligence en matière de sécurité de la chaîne d’approvisionnement.

Le recours à des produits conformes au CRA ne dispense toutefois pas l’entité NIS2 de ses propres obligations de gouvernance. La conformité CRA est une brique, non un substitut à l’analyse de risques prévue par NIS2.

IV. Comparaison des sanctions

Les deux textes prévoient des régimes de sanctions distincts mais d’un ordre de grandeur comparable.

Pour le CRA, les sanctions peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les infractions les plus gravés (non-respect des exigences essentielles de sécurité). Les infractions moins gravés sont sanctionnées jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires.

Pour NIS2, les sanctions maximales sont de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et de 7 millions d’euros ou 1,4 % du chiffre d’affaires pour les entités importantes. NIS2 prévoit en outre la possibilité de sanctions personnelles à l’encontre des dirigeants, y compris des interdictions temporaires d’exercer des fonctions de direction.

Une organisation soumise aux deux textes s’expose donc à un cumul des sanctions en cas de manquement affectant simultanément la sécurité de ses produits et la sécurité de ses systèmes.

V. Strategie pratique de double conformité

Pour les organisations relevant des deux textes, une approche intégrée est indispensable. Voici les axes a privilégier.

A. Unifier la gouvernance

La désignation d’un responsable unique de la conformité cybersécurité, couvrant à la fois les obligations CRA (produit) et NIS2 (organisation), évite les silos et les doublons. Ce responsable doit disposer d’une vision transversale sur les processus de sécurité produit (développement sécurisé, gestion des vulnérabilités) et sur la sécurité opérationnelle (gestion des incidents, sécurité des réseaux).

B. Intégrer les processus de notification

La mise en place d’un processus unique de détection et de qualification des évènements de sécurité, avec un aiguillage vers les canaux CRA (ENISA) ou NIS2 (CSIRT) selon la nature de l’évènement, est un facteur critique d’efficacité. Un incident peut nécessiter une double notification ; le processus doit le prévoir.

C. Capitaliser sur le SBOM

Le SBOM, exigé par le CRA, constitue un atout pour la conformité NIS2. Il permet de documenter la composition logicielle des produits déployés dans l’infrastructure de l’entité et d’identifier rapidement les composants affectés en cas de vulnérabilité. Les entités NIS2 ont donc intérêt a exiger des SBOM de leurs fournisseurs, y compris en dehors du champ strict du CRA.

D. Aligner les analysés de risques

Le CRA exigé une analyse de risques au niveau du produit ; NIS2 exige une analyse de risques au niveau de l’organisation. Ces deux exercices peuvent être conduits de manière articulee, en utilisant un référentiel commun (ISO 27001, NIST CSF) et en alimentant l’analyse organisationnelle avec les résultats des analysés produit.

E. Préparer les audits

Les contrôles CRA (surveillance du marché) et les audits NIS2 (autorités nationales) suivent des logiques différentes mais portent sur des éléments de preuve parfois communs : documentation de sécurité, registres d’incidents, preuves de mise à jour. La constitution d’un dossier de conformité unique, organise par obligation, facilité la réponse aux deux types de contrôles.

Conclusion

Le CRA et NIS2 ne sont pas des textes concurrents. Ils sont complémentaires par construction : l’un sécurisé les produits, l’autre sécurisé les organisations qui les utilisent. Leur articulation créé un cadre européen de cybersécurité qui couvre l’ensemble de la chaîne de valeur numérique, de la conception du produit à son exploitation en conditions réelles.

Pour les organisations soumises aux deux textes, la double conformité représente un investissement significatif. Mais c’est aussi une opportunité : en alignant les processus produit et les processus organisationnels, ces organisations construisent une posture de sécurité plus cohérente et plus resiliente que la somme de deux conformités separees.

Articles lies

Cyber Resilience Act

Signalement des vulnérabilités : les obligations du Cyber Résilience Act

21 mars 2026 · 11 min
Cyber Resilience Act

Support sécurité des produits numériques : les obligations de mises à jour du CRA

16 mars 2026 · 9 min
Cyber Resilience Act

SBOM : l'obligation de nomenclature logicielle imposée par le CRA

12 mars 2026 · 10 min