• Cybersécurité

  • Numérique

Cyber Resilience Act (CRA) : ce qui change pour les entreprises et comment s’y préparer

Face aux vulnérabilités affectant les produits numériques, l’Union européenne s’est dotée d’un nouveau règlement : le Cyber Resilience Act (CRA). Son objectif est d’élever le niveau de cybersécurité des produits comportant des éléments numériques mis sur le marché européen.

Publié le : 12 Mar 2026
Temps de lecture : 8 min
Une femme devant une machine avec des apapreils électroniques, des lunettes sur les yeux
© Ton Photograph - GettyImages

Avec la transformation numérique, la diffusion des produits connectés, des logiciels embarqués et des matériels interopérables s’intensifie et gagne l’ensemble des secteurs d’activité. Cette évolution offre de nouvelles opportunités pour l’économie française et européenne, tout en exposant davantage les entreprises et les utilisateurs aux vulnérabilités et aux attaques cyber. Dans ce contexte, l’Union européenne a adopté le Cyber Resilience Act (CRA) pour renforcer la cybersécurité des produits comportant des éléments numériques.

Qu’est-ce que le Cyber Resilience Act ?

Le Cyber Resilience Act (CRA) a pour objectif d’élever le niveau de cybersécurité de l’ensemble des produits comportant des éléments numériques mis sur le marché européen, qu’il s’agisse de matériels, de logiciels ou de solutions hybrides.

En complément d’autres textes européens comme la directive NIS 2, le CRA concerne directement les produits et impose des obligations de cybersécurité pour leur mise sur le marché.

Avec la mise en place du CRA, la cybersécurité devient une exigence intrinsèque du produit, prise en compte dès sa conception et tout au long de son cycle de vie afin de renforcer la confiance des consommateurs et des entreprises dans les produits numériques.

Un champ d’application large : quels produits et quelles entreprises sont concernés ?

Qui est concerné ?

Le CRA concerne les entreprises dont les produits comportent des éléments numériques destinés au marché européen.

Les fabricants de produits matériels ou logiciels intégrant une composante numérique sont concernés au même titre que les éditeurs de logiciels, y compris lorsque le logiciel est fourni indépendamment du matériel. À noter que certaines obligations concernent aussi les intendants de logiciels ouverts.

Les importateurs mettant sur le marché de l’Union européenne des produits numériques provenant de pays tiers et les distributeurs (en tant qu’acteurs de la chaîne de mise sur le marché) doivent également se conformer au CRA.

Quels produits sont concernés ?

Les produits visés couvrent un spectre très large :

Les objets connectés du quotidien (caméras, téléviseurs, jouets, électroménager) ;

Les équipements informatiques et télécoms, logiciels, systèmes industriels, cartes à puce, ou encore certains systèmes intégrant de l’intelligence artificielle.

Ce que le CRA change concrètement pour les entreprises

La cybersécurité intégrée aux produits dès leur conception 

Le Cyber Resilience Act impose aux entreprises de prendre en compte la cybersécurité dès la phase de conception (« security by design ») et de l’assurer tout au long du cycle de vie du produit.

Cela se traduit notamment par : 

  • l’identification et la réduction des risques cyber dès le développement ;
  • la mise en place de mécanismes de mise à jour de sécurité ;
  • l’absence de vulnérabilités connues lors de la mise sur le marché ;
  • la capacité à réagir efficacement en cas d’incident ou de vulnérabilité découverte après commercialisation.

Une gestion continue des vulnérabilités

Le règlement introduit un cadre structuré de gestion des vulnérabilités, incluant :

  • la mise en place de processus internes pour détecter, analyser et corriger les vulnérabilités ;
  • une information transparente des utilisateurs sur les risques et les mises à jour de sécurité.

Obligations de notification

Dès septembre 2026, les fabricants devront notifier certaines vulnérabilités activement exploitées ou incidents significatifs via les dispositifs nationaux prévus à cet effet.

Les notifications devront être faites via la plateforme unique de l’ENISA qui transmettra automatiquement l’information au CSIRT, coordinateur national compétent. 

En France, il s’agit du CERT-FR, centre de réponse aux incidents de sécurité informatique (CSIRT) de l’Agence nationale de la sécurité des systèmes d'information (ANSSI), via le CERTson. Celui-ci assurera la réception, l’analyse et la coordination du traitement des vulnérabilités ou incidents signalés, en lien avec les autorités compétentes.

Le CSIRT, coordinateur national

Le CSIRT, coordinateur national, est l’entité publique chargée de coordonner la réponse aux incidents de cybersécurité au niveau national.

Il centralise les informations sur les cyberattaques, organise la coopération entre les différents acteurs (administrations, entreprises, opérateurs critiques) et facilite la gestion collective des crises cyber.

Évaluations de conformité et marquage

Le CRA distingue différents niveaux de criticité des produits numériques. Pour les produits les plus sensibles, des procédures d’évaluation de la conformité par des organismes tiers sont prévues. Ces organismes d’évaluation de la conformité seront accrédités et notifiés au niveau national. 

Le marquage CE attestera de la conformité au CRA pour la mise sur le marché.

Les autorités nationales impliquées 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est activement impliquée dans la mise en œuvre du CRA. 

L’ANSSI assurera le rôle d’autorité notifiante au titre du CRA en charge d’évaluer, de contrôler et de notifier les organismes d’évaluation de la conformité (OEC) exerçant dans ce cadre, tandis que la surveillance du marché sera assurée par l’ANFR, avec l’appui technique de l’ANSSI. 

Une responsabilité accrue et des sanctions dissuasives

Les entreprises qui ne respecteraient pas les obligations du CRA s’exposeront à des mesures de surveillance ou de contrôle et de sanction, pouvant aller jusqu’à : 

  • la mise en conformité ;
  • la restriction ou l’interdiction de mise sur le marché européen ;
  • le retrait ou le rappel des produits ;
  • des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.

Une mise en place progressive

Le règlement CRA prévoit une entrée en application échelonnée.

Juin 2026 : premières obligations, notamment pour la notification des organismes d’évaluation de la conformité ;

Septembre 2026 : entrée en vigueur des obligations de notification des vulnérabilités activement exploitées pour les fabricants ;

Décembre 2027 : application complète de l’ensemble des obligations prévues par le règlement.

Parallèlement, des textes nationaux viendront adapter le droit français à ce nouveau cadre européen via un projet de loi d’adaptation au droit de l’Union européenne dont l’adoption est prévue début 2026.

Ce calendrier prévoit également des mesures transitoires, notamment l’identification et la classification des produits existants, ainsi que leur éventuelle révision en cas de modification substantielle après cette date.

Comment les entreprises peuvent se préparer dès maintenant

Même si toutes les obligations ne s’appliqueront pleinement qu’en 2027, la préparation doit commencer sans attendre.

Cartographier les produits concernés

La première étape consiste à identifier les produits intégrant des éléments numériques, leur niveau de criticité au regard du CRA et le rôle de l’entreprise dans la chaîne de valeur (fabricant, éditeur, importateur, distributeur).

Évaluer la maturité cybersécurité

Les entreprises sont encouragées à réaliser un diagnostic de maturité de leurs pratiques actuelles : 

La sécurité du développement logiciel et matériel, la gestion des mises à jour et des correctifs, l’organisation de la réponse aux incidents et aux vulnérabilités et la documentation et information des utilisateurs sont autant de pratiques qui devront être diagnostiquées.

Structurer une gouvernance de la conformité au CRA

La mise en conformité avec le CRA ne concerne pas uniquement les équipes techniques.

Elle implique également la direction générale, les équipes R&D, les fonctions juridiques et conformité, les achats et la gestion de la chaîne d’approvisionnement.

S’appuyer sur les normes et dispositifs existants

Des normes internationales et européennes existent déjà et peuvent servir de socle pour anticiper les exigences du CRA.

Des accompagnements sont prévus notamment en matière de gestion et de notification des vulnérabilités.

Le CRA : une contrainte, mais aussi une opportunité

Au-delà des obligations, le CRA constitue une opportunité stratégique pour les entreprises. Il permet de : 

  • renforcer la transparence des clients et des utilisateurs ;
  • valoriser la cybersécurité comme un avantage compétitif ;
  • contribuer à la construction d’un marché européen de produits numériques de confiance.

En anticipant dès aujourd’hui les exigences du Cyber Resilience Act, les entreprises se donnent les moyens de transformer cette évolution réglementaire en levier de compétitivité et de résilience.

Le CRA et la DGE

La Direction générale des Entreprises (DGE) accompagne les acteurs économiques dans la compréhension et l’anticipation des transformations réglementaires.

Dans le cadre du CRA, la DGE informe et sensibilise les entreprises, notamment les PME, sur les exigences à venir. Elle a pour objectif de faciliter l’accès aux ressources d’accompagnement et aux bonnes pratiques.

La DGE contribue à la diffusion d’une information claire et cohérente à destination des entreprises, en articulation avec les autorités compétentes (ANSSI, ANFR), afin de faciliter l’appropriation des exigences du Cyber Resilience Act.

Expert

Lucas Hassan (Sous-direction des communications électroniques et des postes)

Secteur

  • Numérique

Sujet

  • Cybersécurité

Enjeu

La cybersécurité

Ceci pourrait vous intéresser

Tout découvrir

Comprendre les enjeux de l’intelligence artificielle dans le commerce

L’intelligence artificielle transforme en profondeur les modes de production, de distribution et de relation client. Dans le secteur du commerce, elle s’intègre désormais dans des outils du quotidien ...

  • Commerce, artisanat et restauration

  • Numérique

  • Intelligence artificielle

  • Innovation

Article de fond

17 février 2026

une femme scanne une étiquette sur un produit électroménager dans un magasin
Haut de page

Suivez-nous sur les réseaux sociaux et Abonnez-vous à notre lettre d’information