Cyber Resilience Act
19 articles
Le Cyber Resilience Act (CRA), adopte par l'Union europeenne en 2024, impose pour la premiere fois des exigences de cybersecurite obligatoires pour tous les produits comportant des elements numeriques commercialises sur le marche europeen. Il concerne les fabricants, importateurs et distributeurs de produits connectes : logiciels, objets IoT, composants materiels avec fonctionnalites numeriques. Le CRA distingue les produits par categorie de risque : produits par defaut, produits importants (classe I et II) et produits critiques, avec des procedures d'evaluation de conformite adaptees (auto-evaluation, evaluation par tiers, certification). Les fabricants doivent integrer la securite des la conception (security by design), fournir un SBOM (Software Bill of Materials), signaler les vulnerabilites activement exploitees a l'ENISA dans les 24 heures, et assurer un support securite pendant toute la duree de vie du produit (minimum 5 ans). Le marquage CE attestera de la conformite aux exigences du CRA. Les premieres obligations de signalement entrent en vigueur des septembre 2026, et l'ensemble des exigences s'appliquera a partir de decembre 2027. Les sanctions peuvent atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires mondial. Nos guides couvrent chaque obligation du CRA : documentation technique, SBOM, signalement des vulnerabilites, marquage CE, et articulation avec NIS2 et l'AI Act.
Signalement des vulnérabilités : les obligations du Cyber Résilience Act
Le CRA impose le signalement des vulnérabilités activement exploitées dans un délai de 24 heures. Procedure, destinataires et sanctions détaillées.
Support sécurité des produits numériques : les obligations de mises à jour du CRA
Le CRA impose aux fabricants de fournir des mises à jour de sécurité gratuites pendant toute la durée de vie attendue du produit, avec un minimum de 5 ans.
SBOM : l'obligation de nomenclature logicielle imposée par le CRA
Le Cyber Résilience Act impose un SBOM (Software Bill of Materials) pour tous les produits numériques. Guide pratique : contenu, format et mise en oeuvre.
Sanctions du Cyber Résilience Act : amendes et mécanismes d'application
Le Cyber Résilience Act prévoit des amendes jusqu'a 15 millions d'euros ou 2,5% du CA mondial. Détail des sanctions, autorités et mécanismes d'application.
Marquage CE et cybersécurité : les nouvelles exigences du Cyber Résilience Act
Le CRA intègre la cybersécurité dans les exigences du marquage CE. Procédures d'évaluation de conformité, déclaration UE et obligations des fabricants.
Gestion des vulnérabilités : construire un processus conforme au CRA
Le CRA impose un processus structuré de gestion des vulnérabilités tout au long du cycle de vie du produit. Guide pratique pour construire votre programme.
Évaluation de conformité CRA : procédures et organismes notifies
Le CRA prévoit plusieurs procédures d'évaluation de conformité selon la classe du produit. Auto-évaluation, normes harmonisees ou audit par organisme.
CRA et RGPD : quand cybersécurité produit rencontre protection des données
Le Cyber Résilience Act et le RGPD se recoupent sur la sécurité des produits traitant des données personnelles. Obligations croisées et double conformité.
CRA : qui est concerné par le Cyber Résilience Act ?
Le Cyber Résilience Act concerné les fabricants, importateurs et distributeurs de produits numériques. Votre organisation est-elle dans le champ du CRA ?
Importateurs et distributeurs : responsabilités CRA
Importateurs et distributeurs sous le CRA : obligations, vérifications et responsabilités en matière de cybersécurité produits.
Documentation technique CRA : ce qu'il faut produire
Documentation technique CRA : contenu obligatoire, format et bonnes pratiques pour la conformité au Cyber Résilience Act.
CRA et AI Act : double conformité produits IA
CRA et AI Act : comment gérer la double conformité pour les produits intégrant de l'intelligence artificielle.
CRA et logiciels open source : exemptions et obligations
Le Cyber Résilience Act prévoit des règles spécifiques pour les logiciels open source. Exemptions, obligations des stewards et impact sur l'écosystème.
CRA et NIS2 : comment s'articulent les deux règlements de cybersécurité
Le CRA et NIS2 forment le socle européen de cybersécurité. Comment ces deux règlements se completent, se chevauchent, et comment gérer la double conformité.
CRA et IoT : sécuriser les objets connectés sous le Cyber Résilience Act
Les objets connectés (IoT) sont au coeur du Cyber Résilience Act. Obligations spécifiques, défis techniques et bonnes pratiques pour les fabricants.
Cyber Résilience Act (CRA) : guide complet du règlement européen
Le Cyber Résilience Act (CRA) impose de nouvelles obligations de cybersécurité pour les produits numériques. Guide : obligations, calendrier, sanctions.
CRA pour les éditeurs SaaS : quelles obligations de cybersécurité ?
Les éditeurs SaaS sont-ils concernés par le Cyber Résilience Act ? Analyse du champ d'application, des obligations spécifiques et zones grises du cloud.
Cyber Résilience Act : calendrier d'application et dates clés
Le Cyber Résilience Act entre en application progressivement entre 2024 et 2027. Toutes les dates clés, échéances et obligations par phase.
Actualité Cyber Resilience Act 2026
Actualité CRA 2026 : Cyber Resilience Act, sécurité des produits numériques, marquage CE.