Cyber Resilience Act (CRA)

Le CRA s’applique aux produits comportant des éléments numériques. Ces derniers sont définis comme « produits logiciels ou matériels et leurs solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ».

Il existe quatre catégories de produits :

• La catégorie « par défaut » qui comprend tous les produits comportant des éléments numériques, sauf les produits importants et critiques (ex : brosses à dents électriques, smartphones, ordinateurs, etc.).
• La catégorie des « produits importants de classe I » qui comprend 19 types de produits : produits SSI (ex : IGC, SIEM, gestionnaires mots de passe…), numériques (ex : operating systems, routeurs, navigateurs), sectoriels (ex : domotique, jouets.).
• La catégorie des « produits importants de classe II » qui comprend 4 types de produits : hyperviseurs, firewalls/IDS/IPS, microprocesseurs et microcontrôleurs (« tamper resistant »).
• La catégorie des « produits critiques » qui comprend 3 types de produits : dispositifs matériels avec boitiers de sécurité (comme les Hardware Security Module, HSM), cartes à puce ou similaire, passerelles pour compteurs intelligents.

La fonctionnalité principale des produits doit permettre d’identifier les catégories de produits concernées.

Plusieurs types de produits sont exclus du périmètre du CRA, tels que :

- Les dispositifs médicaux à usages humains ; les dispositifs médicaux de diagnostic in vitro ;

- Les systèmes et composants automobiles ; les produits certifiés de l’aviation civile ;

- Les équipements marins ;

- Les produits développés ou modifiés exclusivement à des fins de sécurité nationale ou de défense, ou de traitement des informations classifiées.

Plus de détails dans (Ouvre une nouvelle fenêtre) l’acte d’exécution relatif aux catégories de produits du CRA

3 modalités d’évaluation existent dans le CRA.

• Module A : une auto-évaluation et déclaration de conformité sont effectuées par le fabricant (ici, pas de tiers impliqué) .
• Module B + C : un organisme notifié examine la conception et le développement du produit, avec des tests périodiques, et le fabricant déclare la conformité.
• Module H : un organisme notifié examine la performance globale du système de contrôle de la qualité, avec des tests et vérifications périodiques, et le fabricant déclare la conformité.
  
  

En juillet 2025, l’ANSSI a lancé un appel à manifestation d’intérêt auprès des centres de certification ou laboratoires d’évaluation intéressés par le statut d’organisme notifié au titre du règlement CRA. Suite à cet appel, une trentaine de demandes de l’écosystème des organismes d’évaluation de la conformité et une vingtaine de réponses au questionnaire ont été reçues. Ces retours ont permis aux équipes de l’ANSSI de mieux connaître l’écosystème ; de comprendre les enjeux des acteurs vis à vis du CRA ; ainsi que d’envisager une dizaine d’organismes notifiés en France à terme. Plus d’informations disponibles sur demande à cra@ssi.gouv.fr.

Le CRA introduit un dispositif de surveillance de marché assuré, pour la France, par l’Agence nationale des fréquences (ANFR).

Les entreprises qui ne respecteraient pas leurs obligations prévues par le CRA pour leurs produits numériques présents sur le marché européen s’exposeront à des sanctions.

L’ANFR pourra imposer des sanctions pouvant aller jusqu’au retrait du marché du produit ou des amendes, d’un montant maximum de 15 M€ ou 2,5% du chiffre d’affaires annuel mondial du fabricant.

L’ANSSI étant l’autorité nationale en matière de cybersécurité ainsi que l’autorité nationale de certification de cybersécurité au titre du Cyber Security Act (CSA), elle est activement impliquée dans la mise en œuvre du CRA.

L’ANSSI assurera le rôle d’autorité notifiante au titre du CRA en charge d’évaluer, de contrôler et de notifier les organismes d’évaluation de la conformité (OEC) exerçant dans ce cadre. Cette notification sera opérée sur la base d’une accréditation octroyée par le COFRAC. Elle assurera également leur contrôle.

L’ANSSI aura un rôle de soutien technique auprès de l’ANFR dans le cadre du dispositif de surveillance de marché, tant dans la définition de la stratégie de surveillance que dans les contrôles menés par les laboratoires accrédités auxquels a recours l’ANFR.

En tant que CSIRT (Computer Security Incident Response Team) coordonnateur, l’ANSSI (le CERT-FR) assurera la gestion des vulnérabilités en centralisant les signalements de vulnérabilités activement exploitées et les incidents graves susceptibles d’affecter la sécurité des produits et en coordonnant, le cas échéant, les actions de remédiations avec les fabricants concernés.

Le règlement entrera en application progressivement entre juin 2026 et décembre 2027. Dans cette perspective, des travaux rédactionnels de niveau législatif sont en cours : si le texte européen est d’application directe, il nécessite toutefois l’adoption de plusieurs mesures visant à adapter le droit national à ce nouveau cadre.

- Juin 2026 – décembre 2026 : accréditation et début de la notification, par l’ANSSI, des organismes d’évaluation.

- Septembre 2026 : les fabricants notifient les vulnérabilités activement exploitées et les incidents graves via la plateforme ENISA au CSIRTs coordinateurs nationaux, c’est-à-dire le CERT-FR pour la France.

- Décembre 2027 : les produits mis sur le marché sont conformes au CRA et les autorités de surveillance de marché opèrent des contrôles, pour la France c’est l’ANFR.