Mise en conformité CRA
(Cyber Resilience Act)

La règlementation pour les fabricants et éditeurs de produits numériques.

-accompagnement-CRA-mise-en-conformité-cyber.png

Qu’est-ce que le CRA (Cyber Resilience Act) ?

Le Cyber Resilience Act (CRA) est un règlement européen, adopté fin 2024, qui impose des exigences de cybersécurité aux produits comportant des éléments numériques mis sur le marché de l’Union européenne.

La mise en conformité CRA devient obligatoire pour :

- les éditeurs de logiciels

- fabricants de produits connectés

- industriels intégrant du numérique.

Le CRA fonctionne comme une réglementation produit classique.

Avant de mettre un produit sur le marché européen, un fabricant doit prouver qu'il respecte certaines exigences.

Êtes-vous concerné par la mise en conformité CRA ?

Vous êtes concerné par CRA si :

Vous commercialisez un logiciel (licence ou SaaS) en Europe

Vous fabriquez un produit connecté (IoT, firmware, système embarqué)

Vous intégrez des composants numériques dans un produit

Vous vendez sur le marché européen, même si vous êtes hors UE

Attention, certains produits ne sont pas concernés par le CRA.
En effet le Cyber Resilience Act ne s’applique pas lorsque la cybersécurité du produit est déjà intégralement couverte par une réglementation sectorielle spécifique (dispositifs médicaux à usage humain, équipements marins, systèmes automoblies...)

Planifier votre mise en conformité CRA

Calendrier : Dates clés du Cyber Resilience Act (CRA) à retenir pour les entreprises

11 septembre 2026

Obligation de notification des vulnérabilités activement exploitées et des incidents de sécurité graves.

Tous les fabricants devront notifier via la plateforme européenne ENISA vers le CSIRT national (en France : CERT-FR).

11 décembre 2027

Application complète des obligations CRA pour tous les produits mis sur le marché.

Tout nouveau produit commercialisé après cette date devra être conforme au CRA.

À savoir : si vous avez commercialisé votre produit avant le 11 décembre 2027, mais que vous effectuez une modification substantielle après cette date, alors il devient soumis à l'ensemble du CRA.

Notification des vulnérabilités CRA : que devez-vous mettre en place ?

La notification des vulnérabilités activement exploitées constitue une obligation pour tous les fabricants, quelle que soit la catégorie de leur produit, et ceci dès le 11 septembre 2026

un processus documenté de gestion des vulnérabilités

une capacité de détection et qualification rapide

une organisation interne permettant la notification sous 24h

une traçabilité des décisions et des correctifs

La notification CRA n’est pas une option.
C’est une obligation réglementaire dès septembre 2026.

On vous accompagne sur cette étape

Comment réussir votre mise en conformité CRA ?

La mise en conformité CRA repose sur 4 étapes :

Étape 1 : Qualification du périmètre

Déterminer si votre produit est réellement concerné par le CRA et identifier sa fonction principale.

Objectif : savoir si vous entrez dans le champ d’application.

Étape 2 : Classification CRA

Votre produit est classé dans l’une des 4 catégories prévues par le CRA :

Catégorie par défaut
Produit important (classe I)
Produit important (classe II)
Produit critique

Ce classement dépend uniquement de la fonction principale du produit (et non du type de client ou du secteur).

Pourquoi c’est important ?

Parce que la catégorie détermine le niveau d’exigence réglementaire et le type d’évaluation obligatoire.

Étape 3 : Choix du module d’évaluation

Une fois la catégorie déterminée, vous savez comment vous devez prouver votre conformité.

Selon votre cas :

Auto-évaluation (Module A) : vous constituez votre dossier et déclarez la conformité.
Évaluation par un organisme notifié (Module B + C) : la conception est examinée avant mise sur le marché.
Audit système qualité (Module H) : contrôle renforcé avec surveillance continue.

Plus votre produit est classé “élevé”, plus l’intervention d’un tiers devient obligatoire.

Étape 4 : Construction du dossier de conformité CRA

analyse de risques cybersécurité
exigences “secure by design” et “secure by default”
gestion des vulnérabilités
documentation technique
déclaration UE de conformité
préparation au marquage CE

Besoin d'un coup de main sur cette étape ? Contactez-nous !

Mise en conformité CRA : pourquoi se faire accompagner ?

accompagnement-cra-cyber-resilience-act-conformite-cyber.png

La mise en conformité CRA est un projet structurant qui impacte :

votre cycle de développement
votre gouvernance vulnérabilités
votre documentation produit
votre stratégie commerciale en Europe

Une mauvaise classification ou une documentation insuffisante peut entraîner :

un refus de mise sur le marché
un retrait produit
des sanctions financières

Démarrer votre diagnostic CRA

Restez informé sur les normes et certifications cyber

Les normes et certifications évoluent en permanence. Chez Akant, nous décryptons les évolutions ISO, SOC 2, HDS et les bonnes pratiques en cybersécurité pour vous aider à anticiper les exigences du marché.

2 3 4 5

Découvrez notre blog

Vous vendez un logiciel, un SaaS ou un produit connecté en Europe ?

La mise en conformité au Cyber Resilience Act (CRA) devient indispensable pour continuer à opérer sur le marché européen à partir de 2026 et 2027.

Anticipez les obligations de notification et préparez votre conformité produit dès maintenant.

Être conforme CRA dès aujourd'hui

Mise en conformité CRA
(Cyber Resilience Act)

La règlementation pour les fabricants et éditeurs de produits numériques.

Qu’est-ce que le CRA (Cyber Resilience Act) ?