LegamapexDroit du numérique européen
Tous les règlements
Application progressiveCybersécuritéRèglement (UE) 2024/2847Mis à jour le 8 mai 2026

Règlement

CRA

Cyber Resilience Act : Exigences de cybersécurité pour les produits numériques

Le CRA impose pour la première fois des exigences de cybersécurité obligatoires à tous les produits comportant des éléments numériques mis sur le marché européen. Les fabricants doivent intégrer la sécurité dès la conception (security by design), assurer des mises à jour pendant la durée de vie du produit (minimum 5 ans), et signaler les vulnérabilités activement exploitées à l'ENISA dans les 24 heures.
Consulter le texte officiel sur EUR-Lex

Contexte

Les produits connectés sont mis sur le marché avec des vulnérabilités connues, sans obligation de les corriger après la vente. Aucune réglementation horizontale n'existait pour imposer des exigences de cybersécurité aux fabricants. Le CRA applique au numérique la logique du marquage CE.

Champ d'application

Il s'applique à tous les fabricants de produits comportant des éléments numériques (logiciels ou matériels) mis sur le marché de l'UE. Le règlement adopte une approche par catégories selon le niveau de risque :
  • la catégorie par défaut couvre la grande majorité des produits (brosses à dents connectées, smartphones, ordinateurs)
  • la classe I inclut les produits à risque plus élevé (gestionnaires de mots de passe, navigateurs, systèmes d'exploitation, routeurs, systèmes domotiques, jouets connectés)
  • la classe II couvre les produits à risque élevé (hyperviseurs, firewalls, systèmes de détection d'intrusion, microprocesseurs)
  • les produits critiques (modules de sécurité matérielle HSM, cartes à puce, passerelles pour compteurs intelligents) sont soumis à la certification la plus stricte
Sont exclus :
  • les dispositifs médicaux
  • les systèmes embarqués automobiles
  • l'aviation
  • les produits à usage exclusivement militaire ou de sécurité nationale

Acteurs concernés

Fabricants de produits comportant des éléments numériquesImportateurs et distributeursENISA (coordination des signalements de vulnérabilités)Organismes d'évaluation de la conformité (organismes notifiés)Autorités de surveillance du marché dans chaque État membreANSSI (autorité notifiante pour les organismes d'évaluation, soutien technique à l'ANFR)ANFR (Agence nationale des fréquences : autorité de surveillance du marché en France)CERT-FR (réception des signalements de vulnérabilités au niveau national)