RÈGLEMENT (UE) 2024/2847 - CYBER RESILIENCE ACT

Vos produits numériques
conformes au Cyber Resilience Act

Le Cyber Resilience Act impose des exigences de cybersécurité à tous les produits comportant des éléments numériques (matériels et logiciels) mis sur le marché de l'Union européenne. SYAGA vous accompagne pour comprendre vos obligations et construire votre dossier de conformité, sans improviser.

2024/2847
Règlement (UE), référence EUR-Lex
10/12/2024
Date d'entrée en vigueur
3 rôles
Fabricant, importateur, distributeur
Paliers
Application progressive dans le temps

Le règlement

Le Cyber Resilience Act (CRA) est un texte européen horizontal sur la cybersécurité des produits numériques

Un champ d'application très large

Le CRA couvre les produits comportant des éléments numériques (matériel connecté, logiciel, firmware) destinés à être mis sur le marché de l'UE, avec des exigences de cybersécurité tout au long du cycle de vie du produit.

📋

Des obligations qui dépendent de votre rôle

Fabricant, importateur ou distributeur : le règlement répartit des obligations différentes selon votre position dans la chaîne de mise sur le marché, sur le modèle déjà utilisé par d'autres réglementations produits européennes.

Une application progressive, déjà engagée

Le texte est entré en vigueur le 10 décembre 2024 et prévoit une application par paliers dans le temps. Les échéances précises de mise en application vous concernant sont à vérifier auprès du texte officiel pour votre situation.

🛠

Peu d'entreprises ont déjà formalisé leur démarche

Comme pour les autres textes cyber européens récents, la mise en conformité CRA demande une méthode (cartographie des produits, analyse des écarts, documentation technique) que la plupart des éditeurs et fabricants n'ont pas encore engagée faute de ressources internes dédiées.

Qui est concerné ?

Le CRA s'adresse aux opérateurs économiques qui mettent des produits numériques sur le marché de l'UE

Fabricants

Entreprises qui conçoivent ou font concevoir des produits comportant des éléments numériques (matériel, logiciel, firmware) commercialisés sous leur nom ou leur marque.

Importateurs

Entreprises qui mettent sur le marché de l'UE un produit numérique conçu en dehors de l'Union.

Distributeurs

Entreprises qui mettent un produit à disposition sur le marché de l'UE sans en être le fabricant ni l'importateur.

Notre accompagnement

Une démarche structurée pour cartographier vos produits, mesurer les écarts et construire votre plan de mise en conformité

1
Cadrage

Entretien et périmètre

Entretien avec la direction ou l'équipe R&D pour identifier les produits potentiellement concernés par le CRA (matériel connecté, logiciel embarqué, firmware) et votre rôle d'opérateur économique (fabricant, importateur, distributeur).

2
Diagnostic

Analyse des écarts par rapport au règlement

Cartographie de vos produits numériques et de leurs éléments de cybersécurité actuels (gestion des vulnérabilités, mises à jour de sécurité, documentation existante), comparée aux exigences du règlement.

3
Plan d'action

Priorisation et feuille de route

Plan de mise en conformité priorisé : ce qui doit être traité en premier, ce qui peut attendre les prochaines échéances réglementaires, et les ressources à mobiliser en interne.

4
Documentation

Support à la constitution du dossier technique

Accompagnement à la structuration de la documentation technique attendue par le règlement (description du produit, gestion des risques de cybersécurité, procédures de traitement des vulnérabilités).

5
Restitution

Présentation et transfert de compétences

Restitution du diagnostic et du plan d'action à la direction, avec remise des livrables éditables pour appropriation par vos équipes.

Ce que vous recevez

Un diagnostic et une feuille de route pour piloter votre mise en conformité CRA

📋

Cartographie des produits concernés

Inventaire de vos produits comportant des éléments numériques et qualification de leur exposition au règlement.

  • Liste des produits et versions
  • Rôle d'opérateur économique identifié
  • Éléments numériques recensés (matériel/logiciel)
🔍

Diagnostic d'écarts (gap analysis)

Synthèse des écarts entre votre pratique actuelle et les exigences du règlement.

  • Gestion des vulnérabilités existante
  • Processus de mise à jour de sécurité
  • Documentation technique disponible
📈

Plan de mise en conformité

Feuille de route priorisée pour combler les écarts identifiés.

  • Actions priorisées
  • Ressources internes à mobiliser
  • Points de vigilance par produit
📄

Support dossier technique

Accompagnement à la structuration de la documentation attendue par le règlement.

  • Trame de description du produit
  • Trame de gestion des risques cybersécurité
  • Trame de traitement des vulnérabilités
🔐

Veille réglementaire

Suivi des textes d'application et clarifications officielles publiées sur le CRA.

  • Points d'attention sur les échéances
  • Alertes sur les évolutions du texte
  • Recommandations d'anticipation
💻

Livrables éditables

Tous les documents dans des formats que vous pouvez modifier et faire vivre en interne.

  • Formats HTML et PDF
  • Documents éditables pour vos équipes
  • Structure réutilisable pour vos futurs produits

Un règlement qui s'articule avec vos autres obligations

Le CRA ne remplace pas vos autres chantiers de conformité, il les complète

N2

NIS2 (Directive UE 2022/2555)

NIS2 encadre la gestion des risques cyber des organisations essentielles et importantes ; le CRA encadre la sécurité des produits numériques qu'elles utilisent ou commercialisent. Les deux textes sont complémentaires.

ISO

ISO 27001:2022

Un système de management de la sécurité de l'information déjà en place facilite la structuration des processus de gestion des vulnérabilités exigés par le CRA.

RG

RGPD (Règlement UE 2016/679)

Si votre produit numérique traite des données personnelles, les exigences de sécurité du CRA recoupent en partie les mesures techniques et organisationnelles attendues par l'article 32 du RGPD.

IA

AI Act (Règlement UE 2024/1689)

Si votre produit intègre des composants d'intelligence artificielle, le CRA et l'AI Act peuvent s'appliquer conjointement selon la nature du produit. Un point à clarifier au cas par cas avec votre conseil juridique.

Un accompagnement sur devis

Chaque produit, chaque périmètre est différent : nous établissons un devis adapté à votre situation

Diagnostic

Un produit, un périmètre restreint

Sur devis
Adapté à votre situation
  • Cartographie du produit concerné
  • Diagnostic d'écarts CRA
  • Synthèse des points de vigilance
Demander un devis

Dossier complet

Gamme de produits, cycle de conformité continu

Sur devis
Adapté à votre situation
  • Tout Accompagnement +
  • Suivi multi-produits
  • Mise à jour à chaque évolution du texte
  • Support prioritaire
Demander un devis
Important : nous n'affichons pas de prix fixe car l'effort dépend du nombre de produits, de leur complexité et de votre rôle d'opérateur économique. Chaque demande de devis est étudiée individuellement.

Questions fréquentes

Mon entreprise est-elle concernée par le Cyber Resilience Act ?
Si vous concevez, importez ou distribuez un produit comportant des éléments numériques (matériel connecté, logiciel, firmware) destiné au marché de l'Union européenne, vous êtes potentiellement concerné. Le périmètre exact (exemptions éventuelles, catégories de produits) doit être confirmé au cas par cas avec votre conseil juridique au regard du texte officiel.
Quand le règlement s'applique-t-il concrètement ?
Le règlement est entré en vigueur le 10 décembre 2024 et prévoit une application progressive par paliers. Les échéances précises pour votre catégorie de produit doivent être vérifiées auprès du texte officiel (EUR-Lex) au moment de votre projet, ces délais pouvant évoluer ou être précisés par des actes d'application ultérieurs.
Que se passe-t-il en cas de non-conformité ?
Le règlement prévoit un régime de sanctions financières pour les manquements aux obligations qu'il fixe. Les montants et modalités précises doivent être vérifiés auprès du texte officiel ; nous ne les affichons pas ici pour éviter toute approximation sur un sujet juridique.
Ce diagnostic remplace-t-il un avis juridique ?
Non. Notre accompagnement est un outil d'aide à la structuration de votre démarche de conformité. Il ne constitue pas un avis juridique et ne se substitue pas à l'analyse de votre conseil (avocat, juriste) sur votre situation particulière.
Combien de temps dois-je mobiliser mes équipes ?
Cela dépend du nombre de produits et de la maturité actuelle de vos processus de gestion des vulnérabilités. Un entretien de cadrage initial et une restitution finale sont systématiques ; le volume exact est précisé dans le devis.
En quoi SYAGA est légitime pour cet accompagnement ?
SYAGA Consulting réalise des audits de sécurité des systèmes d'information depuis 2009. Nous suivons les textes européens de cybersécurité (NIS2, RGPD, DORA, CRA, AI Act) pour nos clients et construisons des méthodes de diagnostic structurées, sans nous substituer à un conseil juridique.

Prêt à cartographier votre conformité CRA ?

Contactez-nous pour recevoir un devis adapté à vos produits et à votre situation.

Veille réglementaire - sources officielles

Ce que dit vraiment le texte du CRA, expliqué simplement. Chaque point renvoie à sa source officielle (EUR-Lex ou Commission européenne) pour que vous puissiez vérifier par vous-même.

📜

Le CRA en une phrase

Le Cyber Resilience Act est un règlement européen (Règlement UE 2024/2847) qui fixe des règles de cybersécurité pour les produits numériques - matériel et logiciel - vendus dans l'Union européenne. Il est entré en vigueur le 10 décembre 2024.
source officielle ↗

🔍

Qui est concerné, en clair

Tout produit comportant des éléments numériques et destiné à se connecter, directement ou indirectement, à un appareil ou à un réseau. Sont exclus les produits déjà encadrés par d'autres textes européens : dispositifs médicaux, véhicules, aviation, équipements marins, pièces de rechange identiques, ou produits conçus exclusivement pour la défense/sécurité nationale.
source officielle (Article 2) ↗

Les dates à retenir

10 décembre 2024 : le texte est entré en vigueur. 11 juin 2026 : les autorités chargées de le faire appliquer doivent être en place. 11 septembre 2026 : les obligations de signalement des failles et incidents démarrent. 11 décembre 2027 : l'essentiel des obligations, dont le marquage CE, devient applicable.
source officielle (Article 71) ↗

🚨

En cas de faille de sécurité, il y a des délais

Si une vulnérabilité activement exploitée ou un incident grave touche votre produit, le règlement impose de prévenir les autorités : une première alerte sous 24 heures, une notification plus détaillée sous 72 heures, puis un rapport final au plus tard 14 jours après la mise à disposition d'un correctif.
source officielle (Article 14) ↗

🔐

Certains produits sont surveillés de plus près

Le texte distingue des catégories de produits jugées plus sensibles (par exemple antivirus, VPN, gestionnaires de mots de passe, systèmes d'exploitation, routeurs, objets connectés de sécurité domestique) et des produits "critiques" (par exemple cartes à puce, passerelles de compteurs intelligents), soumis à des exigences renforcées.
source officielle (Annexes III et IV) ↗

Les sanctions, en clair

Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial (le montant le plus élevé) pour les manquements les plus graves aux exigences de sécurité de base. Jusqu'à 10 millions ou 2 % pour d'autres obligations, et jusqu'à 5 millions ou 1 % en cas d'informations trompeuses données aux autorités. Les micro et petites entreprises bénéficient d'une dispense spécifique sur le retard du délai de 24 heures de signalement.
source officielle (Article 64) ↗

🛡

Comment ça s'articule avec le reste

Le CRA complète la directive NIS2 et s'appuie sur la stratégie de cybersécurité de l'UE de 2020. Un marquage CE sera nécessaire pour attester la conformité, et ce sont les autorités nationales de surveillance du marché qui contrôleront son application.
source officielle (Commission européenne) ↗

Note de lecture : cette page résume et simplifie le texte officiel pour le rendre compréhensible en quelques minutes. En cas de doute sur votre situation, seul le texte consolidé publié sur EUR-Lex fait foi, à vérifier avec votre conseil juridique.