FAQ CRA – Cyber Resilience Act

Le CRA et la directive (UE) 2014/90 établissent tous deux des règles relatives à la mise à disposition sur le marché de certains produits, respectivement pour les produits comportant des éléments numériques et pour les équipements marins.

Conformément à l’article 2, paragraphe 4, le CRA ne s’applique pas aux équipements relevant du champ d’application de la directive (UE) 2014/90.

Les équipements relevant du champ d’application de la directive (UE) 2014/90 sont listés à l’annexe du règlement d’exécution (UE) 2025/1533 de la Commission, qui précise les exigences en matière de conception, de construction et de performances, ainsi que les normes d’essai applicables aux équipements marins.

En revanche, lorsque des composants sont destinés à être intégrés dans des équipements relevant du champ d’application de la directive (UE) 2014/90, mais que ces composants ne relèvent pas eux-mêmes de cette directive, ils peuvent être soumis au CRA, dès lors qu’ils constituent des produits comportant des éléments numériques et qu’ils sont mis à disposition sur le marché.

Le CRA et la directive relative à la responsabilité du fait des produits défectueux sont de nature différente et, bien qu’ils se complètent, il n’existe pas de chevauchement juridique entre eux.

La directive relative à la responsabilité du fait des produits défectueux établit des règles de responsabilité applicables aux produits défectueux afin de permettre aux personnes lésées d’obtenir réparation lorsqu’un dommage est causé par un produit défectueux. Elle consacre le principe selon lequel le fabricant est responsable des dommages causés par un défaut de son produit, indépendamment de toute faute ou négligence (responsabilité sans faute).

Le caractère défectueux d’un produit est apprécié au regard du niveau de sécurité auquel on peut légitimement s’attendre ou qui est exigé par le droit de l’Union ou le droit national. Cette appréciation doit tenir compte de l’ensemble des circonstances, y compris des exigences en matière de cybersécurité.

Par exemple, le CRA impose des obligations spécifiques aux fabricants concernant les mises à jour de sécurité des produits comportant des éléments numériques (annexe I).

Bien que la directive relative à la responsabilité du fait des produits défectueux n’impose pas d’obligation substantielle de mise à jour ou de mise à niveau des produits, le fabricant demeure responsable de tout défaut introduit par une mise à jour ou une mise à niveau après la mise sur le marché du produit, ainsi que de tout défaut résultant de l’absence de mise à jour ou de mise à niveau après la mise sur le marché.

2.4.1 Quelle est l’articulation entre le CRA et le règlement Machines (règlement (UE) 2023/1230) ?

Les fabricants de produits relevant du champ d’application du règlement (UE) 2023/1230 du Parlement européen et du Conseil, qui constituent également des produits comportant des éléments numériques au sens du présent règlement, doivent se conformer à la fois aux exigences essentielles de cybersécurité prévues par le présent règlement et aux exigences essentielles de santé et de sécurité prévues par le règlement (UE) 2023/1230.

 

Les exigences essentielles de cybersécurité prévues par le présent règlement et certaines exigences essentielles prévues par le règlement (UE) 2023/1230 peuvent couvrir des risques de cybersécurité similaires. Par conséquent, la conformité aux exigences essentielles de cybersécurité prévues par le présent règlement peut faciliter la conformité aux exigences essentielles qui couvrent également certains risques de cybersécurité au titre du règlement (UE) 2023/1230, et en particulier celles relatives à la protection contre la corruption ainsi qu’à la sûreté et à la fiabilité des systèmes de commande prévues aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement.

 

Ces synergies doivent toutefois être démontrées par le fabricant, par exemple par l’application, lorsqu’elles sont disponibles, de normes harmonisées ou d’autres spécifications techniques couvrant les exigences essentielles de cybersécurité pertinentes, sur la base d’une analyse des risques couvrant ces risques de cybersécurité.

 

Le fabricant doit également suivre les procédures d’évaluation de la conformité applicables prévues à la fois par le présent règlement et par le règlement (UE) 2023/1230.

 

La Commission européenne et les organismes européens de normalisation devraient, dans les travaux préparatoires soutenant la mise en œuvre du présent règlement et du règlement (UE) 2023/1230 ainsi que dans les processus de normalisation associés, promouvoir la cohérence des méthodes d’évaluation des risques de cybersécurité et de la manière dont ces risques sont couverts par des normes harmonisées au regard des exigences essentielles concernées.

 

En particulier, la Commission européenne et les organismes européens de normalisation devraient tenir compte du présent règlement dans la préparation et l’élaboration des normes harmonisées afin de faciliter la mise en œuvre du règlement (UE) 2023/1230, notamment en ce qui concerne les aspects de cybersécurité liés à la protection contre la corruption ainsi qu’à la sûreté et à la fiabilité des systèmes de commande prévues aux sections 1.1.9 et 1.2.1 de l’annexe III de ce règlement.

 

La Commission européenne devrait fournir des lignes directrices afin de soutenir les fabricants soumis au présent règlement qui sont également soumis au règlement (UE) 2023/1230, en particulier pour faciliter la démonstration de la conformité aux exigences essentielles pertinentes prévues par le présent règlement et par le règlement (UE) 2023/1230 (considérant 53 du CRA).

Le règlement Machines (MR) s’appliquera à compter du 20 janvier 2027. Il définit, dans son annexe III, des exigences essentielles en matière de santé et de sécurité, couvrant également les risques de cybersécurité susceptibles d’avoir un impact sur la sécurité.

Le CRA et le règlement Machines prévoient tous deux des règles relatives à la mise à disposition sur le marché de certains produits. Le CRA couvre les produits comportant des éléments numériques, tandis que le règlement Machines couvre les machines et les produits connexes, sous réserve de certaines exceptions.

Le CRA définit, dans son annexe I, des exigences essentielles de cybersécurité applicables aux produits comportant des éléments numériques. Le règlement Machines établit, dans son annexe III, des exigences essentielles de santé et de sécurité applicables aux machines et aux produits connexes, couvrant également les risques de cybersécurité susceptibles d’avoir un impact sur la sécurité, notamment aux sections 1.1.9 et 1.2.1 de cette annexe.

Un même produit peut être à la fois un produit comportant des éléments numériques au sens du CRA et une machine ou un produit connexe au sens du règlement Machines. Dans ce cas, une articulation entre le CRA et le règlement Machines peut exister en ce qui concerne les exigences de cybersécurité, telles que décrites ci-dessus, ainsi que les procédures d’évaluation de la conformité prévues respectivement par le CRA et par le règlement Machines, conformément au considérant 53 du CRA.

Par exemple, un certain type de machine au sens du règlement Machines, utilisé notamment pour le conditionnement de légumes destinés aux supermarchés, peut intégrer des composants matériels et logiciels nécessaires à son fonctionnement. À ce titre, cette machine de conditionnement peut également constituer un produit comportant des éléments numériques au sens du CRA.

2.4.2 Un produit doit-il se conformer à la fois aux exigences de cybersécurité du CRA et à celles du règlement Machines ?

Un produit comportant des éléments numériques au sens du CRA peut également constituer, dans le même temps, une machine ou un produit connexe au sens du règlement Machines. Dans ce cas, ce produit doit se conformer à la fois aux exigences de cybersécurité prévues par le CRA et à celles prévues par le règlement Machines.

Les exigences de cybersécurité prévues par le CRA et par le règlement Machines sont de nature telle que la conformité aux exigences de cybersécurité d’un seul de ces règlements ne peut pas être automatiquement considérée comme satisfaisant pleinement celles de l’autre règlement.

Toutefois, dans la mesure où les exigences de cybersécurité prévues par le CRA et par le règlement Machines peuvent, pour certains aspects, couvrir des risques similaires, la conformité au CRA peut faciliter la conformité aux exigences prévues par le règlement Machines. Néanmoins, les fabricants de produits relevant à la fois du champ d’application du CRA et du règlement Machines doivent démontrer l’existence de telles synergies potentielles sur la base d’une analyse des risques et, par exemple, en s’appuyant, lorsque cela est possible, sur des normes harmonisées ou d’autres spécifications techniques pertinentes.

2.4.3 Un fabricant doit-il assurer l’évaluation de la conformité d’un produit selon les procédures prévues à la fois par le CRA et par le règlement Machines ?

Le CRA et le règlement Machines prévoient chacun des procédures d’évaluation de la conformité pour les produits concernés, respectivement pour les produits comportant des éléments numériques à l’article 32 du CRA et pour les machines et produits connexes à l’article 25 du règlement Machines.

Lorsqu’un produit comportant des éléments numériques au sens du CRA constitue également une machine ou un produit connexe au sens du règlement Machines, les fabricants doivent assurer l’évaluation de la conformité en suivant séparément les procédures prévues par le CRA et par le règlement Machines.

Les procédures d’évaluation de la conformité prévues par le CRA et par le règlement Machines sont de nature telle que l’évaluation réalisée sur la base de la procédure applicable au titre de l’un de ces textes ne peut pas être automatiquement considérée comme suffisante pour satisfaire également à la procédure exigée par l’autre texte (voir également le considérant 53 du CRA).

2.5.1 Quelle est l’articulation entre le CRA et le règlement général sur la sécurité des produits ?

Le CRA et le règlement général sur la sécurité des produits (RGSP) prévoient tous deux des règles relatives à la mise à disposition sur le marché de produits, mais ils diffèrent quant à leur champ d’application, aux produits concernés et aux types d’exigences qu’ils imposent.

S’agissant des produits concernés, le CRA s’applique uniquement aux produits comportant des éléments numériques, tandis que le RGSP s’applique à l’ensemble des produits de consommation, dans la mesure où il n’existe pas, au niveau du droit de l’Union, de dispositions spécifiques poursuivant le même objectif et réglementant la sécurité des produits concernés.

En ce qui concerne les exigences imposées, le CRA définit des exigences en matière de cybersécurité, tandis que le RGSP établit des exigences relatives à la sécurité des produits.

2.5.2 Un produit comportant des éléments numériques doit-il se conformer à la fois aux exigences du CRA et à celles du règlement général sur la sécurité des produits ?

Un produit comportant des éléments numériques peut être tenu de se conformer à la fois aux exigences du CRA et à celles du règlement général sur la sécurité des produits.

Lorsque ce produit présente des risques autres que des risques de cybersécurité couverts par le CRA, ces autres risques peuvent être régis par d’autres législations de l’Union, telles que le règlement général sur la sécurité des produits.

Tant qu’il n’existe pas de réglementation spécifique applicable au produit concerné pour couvrir ces autres risques, le règlement général sur la sécurité des produits s’applique aux aspects de sécurité correspondants, conformément à l’article 11 du CRA.

Le CRA s’applique aux catégories d’équipements radio relevant du champ d’application du règlement délégué (UE) 2022/30 adopté en vertu de la directive 2014/53/UE relative aux équipements radio (« règlement délégué RED »). Le CRA couvre les exigences essentielles de cybersécurité de la directive RED, rendues applicables par le règlement délégué RED à compter du 1er août 2025 et applicables aux catégories d’équipements radio couvertes par ce règlement lorsqu’ils sont mis sur le marché à partir du 1er août 2025.

Des normes techniques ont été demandées aux fins du règlement délégué RED et sont citées au Journal officiel de l’Union européenne, à l’appui des exigences essentielles correspondantes de la directive RED (série EN 18031). Afin d’assurer la sécurité juridique, la Commission prévoit d’abroger le règlement délégué RED à compter du 11 décembre 2027.

Dans ce cas, les catégories d’équipements radio visées par le règlement délégué RED, lorsqu’elles sont mises sur le marché entre le 1er août 2025 et le 10 décembre 2027, seront soumises aux exigences essentielles de cybersécurité de la directive RED, telles que rendues applicables par le règlement délégué RED. En revanche, si ces produits sont mis sur le marché à partir du 11 décembre 2027, date à laquelle le CRA commence à s’appliquer, ils seront soumis aux exigences essentielles du CRA.

L’abrogation du règlement délégué RED, avec effet au 11 décembre 2027, n’affectera pas la surveillance et le contrôle du marché de l’Union, au titre de la directive 2014/53/UE relative aux équipements radio, en ce qui concerne la conformité des équipements radio aux exigences essentielles de cybersécurité de la directive RED, lorsque ces équipements radio ont été ou sont mis sur le marché de l’Union entre le 1er août 2025 et le 10 décembre 2027 et étaient soumis à tout ou partie de ces exigences essentielles.

2.7.1 Quelle est l’articulation entre le CRA et le règlement relatif à l’espace européen des données de santé (EHDS) ?

Le CRA et le règlement relatif à l’espace européen des données de santé (EHDS) prévoient tous deux des règles relatives à la mise à disposition sur le marché de produits. Le CRA établit des exigences essentielles de cybersécurité pour les produits comportant des éléments numériques, tandis que le règlement EHDS prévoit, entre autres, des exigences essentielles, notamment en matière d’interopérabilité et de journalisation, ainsi que des obligations supplémentaires applicables aux systèmes de dossiers médicaux électroniques (Electronic Health Record – EHR).

Un produit peut constituer à la fois un produit comportant des éléments numériques au sens du CRA et un système de dossier médical électronique au sens du règlement EHDS.

Par exemple, un ordinateur ou un logiciel mis sur le marché et acquis par un hôpital, conçu pour stocker et consulter des résumés patients dans le cadre de la prestation de soins de santé, peut constituer un produit comportant des éléments numériques au sens du CRA et, simultanément, un système EHR au sens du règlement EHDS.

2.7.2 Un produit doit-il se conformer à la fois aux exigences du CRA et à celles du règlement EHDS ?

Un produit peut constituer à la fois un produit comportant des éléments numériques au sens du CRA et un système EHR au sens du règlement EHDS. Dans ce cas, le produit doit se conformer aux exigences prévues à la fois par le CRA et par le règlement EHDS (considérant 112 du règlement EHDS).

Les exigences de cybersécurité prévues par le CRA et par le règlement EHDS sont de nature telle que la conformité à l’un de ces règlements ne permet pas, à elle seule, de satisfaire pleinement aux exigences de l’autre.

Toutefois, le CRA (article 13, paragraphe 4) prévoit que, pour les produits comportant des éléments numériques qui sont également des systèmes EHR, l’analyse des risques de cybersécurité exigée par le CRA peut faire partie de l’analyse des risques requise par le règlement EHDS.

2.7.3 Un fabricant doit-il assurer l’évaluation de la conformité d’un produit selon les procédures prévues à la fois par le CRA et par le règlement EHDS ?

Le CRA et le règlement EHDS prévoient tous deux des procédures d’évaluation de la conformité pour les produits concernés. Dans le cas du CRA, ces procédures s’appliquent aux produits comportant des éléments numériques, tandis que le règlement EHDS les prévoit pour les composants logiciels harmonisés des systèmes EHR, tels que définis à l’article 25, paragraphe 1, du règlement EHDS.

Toutefois, cela ne signifie pas que les fabricants doivent assurer l’évaluation de la conformité de la cybersécurité d’un produit selon les procédures prévues à la fois par le CRA et par le règlement EHDS lorsqu’un produit constitue simultanément un produit comportant des éléments numériques au sens du CRA et un système EHR au sens du règlement EHDS.

Le CRA (article 32, paragraphe 5 bis, introduit par le règlement EHDS) prévoit que, dans ces cas, la procédure d’évaluation de la conformité prévue par le règlement EHDS s’applique à la place de celle prévue par le CRA.

2.7.4 Le fabricant doit-il établir des déclarations UE de conformité distinctes pour chaque acte juridique de l’Union ?

S’agissant de l’établissement de la déclaration UE de conformité par le fabricant, l’article 39, paragraphe 2, du règlement EHDS prévoit l’établissement d’une déclaration UE de conformité unique couvrant l’ensemble des actes juridiques de l’Union applicables au système EHR. Cette déclaration UE de conformité doit contenir toutes les informations nécessaires à l’identification des actes juridiques de l’Union auxquels elle se rapporte.

Le CRA prévoit une disposition équivalente pour les produits comportant des éléments numériques à l’article 28, paragraphe 3.

Le CRA et le RGPD sont de nature différente et il n’y a pas de chevauchement juridique. Le CRA définit des obligations pour les opérateurs économiques mettant des produits avec des éléments numériques sur le marché, tandis que le RGPD établit des règles, y compris des obligations, pour les personnes physiques et morales agissant en tant que responsables du traitement ou sous-traitants des données personnelles.

Bien que de nature différente, ces règlements peuvent se compléter. Le CRA prévoit des exigences en matière de cybersécurité pour les produits avec des éléments numériques qui peuvent contribuer à la protection des données personnelles des personnes physiques. Celles-ci incluent, entre autres, la confidentialité et l’intégrité des données personnelles et autres, la minimisation des données, une configuration sécurisée par défaut, ainsi que des exigences relatives à la gestion des vulnérabilités et à la minimisation de l’impact des incidents significatifs (Annexe I).

De même, le RGPD prévoit des exigences pour les activités de traitement des données personnelles, telles que la minimisation des données et les principes d’intégrité et de confidentialité des données (Article 5 du RGPD), l’obligation de protection des données dès la conception (Article 25 du RGPD), la sécurité des données (Article 32 du RGPD) et la notification des violations de données personnelles (Article 33 du RGPD), qui peuvent contribuer à la cybersécurité des produits avec des éléments numériques.

Cependant, la conformité d’un produit avec des éléments numériques aux exigences du CRA n’a pas d’impact formel sur les outils utilisés par les responsables du traitement ou les sous-traitants sous le RGPD pour démontrer la conformité du traitement des données personnelles avec le RGPD (tels que les codes de conduite (Article 40 du RGPD) ou les schémas de certification (Article 42 du RGPD)).

2.9.1 Quelle est l’articulation entre le CRA et le Data Act ?

Le CRA et le Data Act (DA) sont de nature fondamentalement différente. Le premier établit des règles relatives à la mise à disposition sur le marché de produits comportant des éléments numériques, tandis que le second fixe des règles concernant, entre autres, la mise à disposition des données issues des produits et des services connexes à d’autres entités.

Toutefois, dans certains cas, les exigences du CRA et du Data Act peuvent s’appliquer à des produits similaires. Un produit comportant des éléments numériques au sens du CRA peut également constituer un produit connecté ou un service connexe au sens du Data Act.

Par exemple, des appareils électroménagers intégrant du matériel et des logiciels et pouvant être connectés à Internet pour assurer leur fonctionnement, tels qu’un réfrigérateur « intelligent », peuvent également collecter des données relatives à leur utilisation et être en mesure de transmettre ces données produit via Internet. À ce titre, un réfrigérateur intelligent peut constituer simultanément un produit comportant des éléments numériques au sens du CRA et un produit connecté au sens du Data Act.

2.9.2 Comment les exigences du CRA applicables aux produits comportant des éléments numériques prennent-elles en compte les obligations de mise à disposition des données prévues par le Data Act ?

Le CRA prévoit notamment que les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché que s’ils respectent certaines exigences en matière de cybersécurité (article 6). Les fabricants doivent s’assurer que, lors de la mise sur le marché, ces produits sont conçus, développés et fabriqués conformément à ces exigences (article 13). À cette fin, les fabricants doivent réaliser une analyse des risques comprenant une évaluation des risques de cybersécurité fondée sur la finalité prévue et l’usage raisonnablement prévisible du produit.

Lorsqu’un produit comportant des éléments numériques au sens du CRA est également soumis aux obligations du Data Act en matière de mise à disposition des données aux utilisateurs ou à des tiers (articles 4 et 5 du Data Act), le fabricant doit veiller à ce que les exigences pertinentes du Data Act soient également prises en compte dans le cadre de l’analyse des risques.

Les fabricants doivent garder à l’esprit que, si le Data Act impose l’accès aux données issues des produits et des services connexes pour les utilisateurs et les tiers, il prévoit également des mécanismes permettant aux détenteurs de données de restreindre ou de refuser le partage des données dans certains cas, notamment au moyen des clauses de sauvegarde liées aux secrets d’affaires ainsi qu’à la sécurité et à la sûreté (articles 4, paragraphe 8, et 5, paragraphe 11, ainsi que article 4, paragraphe 2, du Data Act).

2.9.3 Un fabricant doit-il reconcevoir ses produits pour se conformer aux exigences du Data Act et du CRA ?

Le Data Act n’impose pas d’obligation stricte de (re)conception des produits. Les fabricants restent libres de concevoir leurs produits comme ils l’entendent, dès lors que les obligations relatives à la mise à disposition des données sont respectées.

Bien que le CRA s’appliquera pleinement à compter du 11 décembre 2027, les produits comportant des éléments numériques mis sur le marché avant cette date ne sont soumis aux exigences de cybersécurité du CRA que s’ils font, à partir de cette date, l’objet d’une modification substantielle (article 69, paragraphe 2, du CRA).

Les obligations de notification, notamment en ce qui concerne les vulnérabilités activement exploitées, s’appliquent en revanche à tous les produits comportant des éléments numériques (article 14). Voir également la question 1.

Comme précisé à l’article 7, paragraphe 1, l’intégration d’un produit comportant des éléments numériques important ou critique dans un autre produit comportant des éléments numériques ne rend pas automatiquement ce dernier soumis aux procédures d’évaluation de la conformité applicables aux produits importants et critiques.

Par exemple, l’intégration d’un navigateur embarqué en tant que composant d’une application d’actualités destinée à être utilisée sur un smartphone ne rend pas, en soi, cette application d’actualités soumise à la procédure d’évaluation de la conformité applicable aux produits comportant des éléments numériques dont la fonctionnalité principale est celle de « navigateurs autonomes ou embarqués ».

De même, l’intégration d’un élément sécurisé dans un ordinateur portable ne rend pas, en soi, cet ordinateur portable soumis à la procédure d’évaluation de la conformité applicable aux produits comportant des éléments numériques dont la fonctionnalité principale est celle de « cartes à puce et dispositifs similaires, y compris les éléments sécurisés ».

Comme indiqué à la question 3.1 « Qu’est-ce qui détermine si un produit comportant des éléments numériques est un produit important ou critique ? », c’est la fonctionnalité principale du produit comportant des éléments numériques dans lequel d’autres composants sont intégrés qui détermine si ce produit constitue un produit important ou critique au sens du CRA.

Conformément aux paragraphes 1 à 3 de l’article 13, le CRA prévoit que les fabricants de produits comportant des éléments numériques doivent mettre en œuvre les exigences essentielles de cybersécurité de manière proportionnée aux risques présentés par le produit, sur la base de sa finalité prévue et de son usage raisonnablement prévisible, ainsi que des conditions d’utilisation du produit, en tenant compte de la durée pendant laquelle le produit est destiné à être utilisé.

Indépendamment du fait qu’un produit comportant des éléments numériques soit qualifié de produit important ou critique, les fabricants doivent réaliser une analyse complète des risques de cybersécurité et indiquer comment les exigences essentielles de cybersécurité sont mises en œuvre sur la base de cette analyse, y compris les mesures de test et d’assurance associées.

Par exemple, un fabricant souhaite mettre sur le marché deux versions différentes d’un VPN. Sur la base de son analyse des risques, le fabricant détermine que l’un des deux VPN présente des risques plus élevés, notamment parce qu’il est destiné à être déployé dans un environnement d’infrastructure critique, tandis que l’autre VPN présente des risques plus limités, par exemple parce qu’il est destiné à un usage résidentiel.

En conséquence, le fabricant est tenu de mettre en œuvre les exigences essentielles pour chacun des deux produits de manière à garantir que les risques respectifs soient atténués de façon appropriée.

Comme expliqué au considérant 4 du règlement d’exécution (UE) 2025/2392 de la Commission du 28 novembre 2025 relatif à la description technique des catégories de produits importants et critiques comportant des éléments numériques, le fait qu’un produit comporte des éléments numériques exécutant des fonctions autres que sa fonctionnalité principale, ou en complément de celle-ci, ne signifie pas en soi que ce produit ne possède pas la fonctionnalité principale d’un produit important ou critique.

Par exemple, les produits dont la fonctionnalité principale est celle de « systèmes d’exploitation » (produits comportant des éléments numériques importants de classe I) incluent souvent des logiciels exécutant des fonctions annexes qui ne figurent pas dans la description technique de cette catégorie de produits, tels que des calculatrices ou des éditeurs graphiques simples.

Les produits comportant des éléments numériques intègrent également fréquemment des composants ayant la fonctionnalité d’un autre produit important ou critique, par exemple un système d’exploitation intégrant une fonctionnalité de navigateur, ou un routeur intégrant une fonctionnalité de pare-feu. Cela ne signifie toutefois pas, en soi, que ces produits ne possèdent pas respectivement la fonctionnalité principale de « systèmes d’exploitation » ou de « routeurs, modems destinés à la connexion à Internet et commutateurs » (également des produits importants de classe I).

En revanche, un produit qui est capable d’exécuter la ou les fonctions d’une catégorie de produits importants ou critiques, mais dont la fonctionnalité principale est différente de celle de cette catégorie, ne doit pas être considéré comme possédant cette fonctionnalité principale.

Par exemple, un logiciel d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) est souvent capable d’exécuter les fonctions des « systèmes de gestion des informations et des événements de sécurité (SIEM) ». Toutefois, dans la mesure où la fonctionnalité principale d’un logiciel SOAR est différente de celle d’un SIEM, un logiciel SOAR ne doit généralement pas être considéré comme possédant la fonctionnalité principale des « systèmes de gestion des informations et des événements de sécurité (SIEM) ».

De même, un smartphone intègre généralement des composants exécutant les fonctions de plusieurs produits importants ou critiques, tels qu’un système d’exploitation ou un gestionnaire de mots de passe intégré. Toutefois, dans la mesure où la fonctionnalité principale d’un smartphone n’est pas celle d’un système d’exploitation ni celle d’un gestionnaire de mots de passe, il ne doit généralement pas être considéré comme possédant la fonctionnalité principale d’un système d’exploitation ou d’un gestionnaire de mots de passe.

4.2.1 Quelles mesures techniques un fabricant doit-il mettre en œuvre ?

Le CRA établit un ensemble d’exigences essentielles de cybersécurité relatives aux propriétés des produits comportant des éléments numériques. Ces exigences sont formulées en termes d’objectifs, sont neutres technologiquement et s’appliquent de manière horizontale à tous les produits comportant des éléments numériques.

La mise en œuvre technique concrète des exigences essentielles dépend de l’analyse des risques de cybersécurité que chaque fabricant est tenu de réaliser et de prendre en compte lors des phases de planification, de conception, de développement, de production, de livraison et de maintenance du produit, conformément à l’article 13, paragraphe 12. Pour plus d’informations sur l’analyse des risques, voir la section 4.1 « Approche fondée sur les risques et analyse des risques ».

Le fabricant est tenu de détailler, dans sa documentation technique, les moyens utilisés pour garantir que le produit respecte les exigences essentielles de cybersécurité, y compris lorsque certaines exigences essentielles ne sont pas applicables au produit, conformément à l’article 13, paragraphe 4.

Afin de faciliter l’évaluation de la conformité aux exigences essentielles, la Commission a adopté une demande de normalisation adressée au CEN, au CENELEC et à l’ETSI (organismes européens de normalisation), visant l’élaboration de normes harmonisées dans les domaines techniques couverts par le CRA.

La demande de normalisation du CRA prévoit notamment l’élaboration de normes harmonisées horizontales couvrant les exigences essentielles relatives aux propriétés des produits énoncées à l’annexe I, partie I, du CRA, afin de soutenir : (i) l’élaboration de normes harmonisées verticales plus détaillées pour des produits ou types de produits spécifiques, et (ii) l’appui aux fabricants pour définir et mettre en œuvre les exigences de sécurité applicables à leurs produits respectifs, en particulier pour les produits non couverts par des normes verticales existantes ou planifiées (annexe II, section 2.1 de la demande de normalisation CRA).

Pour plus d’informations, voir la question 6.10 : Quand les normes harmonisées destinées à soutenir la conformité au CRA seront-elles disponibles ?

Il convient de noter que l’utilisation des normes harmonisées est volontaire. Les fabricants peuvent démontrer la conformité aux exigences essentielles par d’autres moyens techniques, qu’ils doivent documenter dans leur documentation technique.

4.2.2 Comment un fabricant peut-il garantir qu’un produit est exempt de toute vulnérabilité ?

Sur la base de l’analyse des risques de cybersécurité visée à l’article 13, paragraphe 2, et le cas échéant, les produits comportant des éléments numériques doivent être mis à disposition sur le marché sans vulnérabilités exploitables connues (annexe I, exigence essentielle 2, point a).

Une « vulnérabilité » désigne une faiblesse, une susceptibilité ou un défaut d’un produit comportant des éléments numériques pouvant être exploité par une menace cyber (article 3, paragraphe 40).

Une « vulnérabilité exploitable » désigne une vulnérabilité susceptible d’être effectivement utilisée par un adversaire dans des conditions opérationnelles pratiques (article 3, paragraphe 41).

Le CRA n’exige pas des fabricants qu’ils garantissent qu’un produit est exempt de toute vulnérabilité.

Il exige qu’au moment de la mise sur le marché, le fabricant s’assure, sur la base de son analyse des risques et le cas échéant, que le produit ne contient pas de vulnérabilités exploitables connues.

En effet, toutes les vulnérabilités ne sont pas exploitables dans des conditions opérationnelles pratiques. Certaines ne peuvent être exploitées que dans des conditions théoriques, par exemple en laboratoire ou en simulation, et/ou pas dans des conditions susceptibles de se produire dans l’environnement opérationnel du produit concerné.

Le caractère exploitable d’une vulnérabilité doit être apprécié au cas par cas, en fonction des conditions opérationnelles et techniques spécifiques, notamment : dans quelle mesure le code vulnérable est invoqué ou chargé lorsque le produit est utilisé ; le niveau et le type d’accès nécessaires pour réaliser l’exploitation ; l’existence de mesures compensatoires déjà en place pour atténuer l’exploitation.

Par exemple, un smartphone peut présenter une vulnérabilité permettant à un attaquant de contourner un mécanisme de sécurité, par exemple en sautant des vérifications de mot de passe. Toutefois, pour y parvenir, l’attaquant doit disposer d’un accès physique à l’appareil et procéder à une manipulation physique invasive, par exemple en utilisant un laser pour provoquer un dysfonctionnement, afin d’exploiter la vulnérabilité. Sur la base de son analyse des risques, le fabricant peut conclure qu’il ne s’agit pas d’une vulnérabilité exploitable, car elle ne pourrait pas être raisonnablement exploitée dans des conditions opérationnelles pratiques.

4.2.3 Comment les fabricants doivent-ils traiter les vulnérabilités exploitables connues découvertes après la mise sur le marché d’un produit, mais avant qu’il n’atteigne son utilisateur final ?

Les produits comportant des éléments numériques peuvent être mis sur le marché et entrer dans la chaîne de distribution un certain temps avant d’atteindre leur utilisateur final. C’est souvent le cas, par exemple, lorsqu’un produit est envoyé vers la branche de distribution d’un fabricant, ou lorsqu’il est proposé à la vente en ligne ou via d’autres modes de vente à distance et transféré à des prestataires de services d’exécution de commande, n’atteignant l’utilisateur final que plusieurs jours ou mois après la mise sur le marché.

Par exemple, un ordinateur portable peut rester un certain temps en rayon dans un magasin d’électronique avant d’être acheté et utilisé.

Pendant la période comprise entre la mise sur le marché et la transaction avec l’utilisateur final visé, des vulnérabilités exploitables connues affectant ce produit peuvent être découvertes.

Toutefois, l’obligation de mettre à disposition, sur la base de l’analyse des risques, des produits sans vulnérabilités exploitables connues s’apprécie au moment de la mise sur le marché (article 13, paragraphe 1). Le produit ayant déjà été mis sur le marché, il n’est donc pas attendu des fabricants qu’ils corrigent des vulnérabilités nouvellement découvertes tant que leurs produits n’ont pas encore atteint l’utilisateur final.

Néanmoins, comme le CRA impose également des exigences de gestion des vulnérabilités pendant la période de support du produit, les fabricants doivent, au regard des risques posés, traiter et corriger les vulnérabilités sans délai, conformément à l’annexe I, partie II, point 2.

Par exemple, compte tenu des risques posés par des vulnérabilités exploitables nouvellement découvertes, le fabricant d’un ordinateur portable détermine qu’une mise à jour de sécurité est nécessaire. Il peut être tenu de fournir cette mise à jour de sécurité pour l’ordinateur portable dès que celui-ci est mis en service par l’utilisateur.

4.2.4 Comment fonctionne l’exigence « secure by default » ?

Sur la base de l’analyse des risques de cybersécurité visée à l’article 13, paragraphe 2, et le cas échéant, les produits comportant des éléments numériques doivent être mis à disposition sur le marché avec une configuration sécurisée par défaut, sauf accord contraire entre le fabricant et l’utilisateur professionnel dans le cadre d’un produit comportant des éléments numériques réalisé sur mesure, y compris la possibilité de réinitialiser le produit à son état initial (annexe I, partie I, point 2, b).

Les fabricants doivent mettre sur le marché des produits comportant des éléments numériques avec une configuration sécurisée par défaut, au regard de la finalité prévue et de l’usage raisonnablement prévisible du produit, et sur la base de leur analyse des risques de cybersécurité.

Lorsqu’un fabricant met sur le marché un composant destiné à être intégré dans un autre produit comportant des éléments numériques, il ne conserve pas la maîtrise de la manière dont le fabricant intégrateur ajuste la configuration de ce composant. L’obligation de garantir une configuration sécurisée par défaut ne s’applique donc au composant que lorsqu’il est mis sur le marché séparément, et non à la manière dont il est ensuite configuré ou déployé par des fabricants intégrateurs.

Par exemple, le fabricant d’une bibliothèque cryptographique peut être tenu, sur la base de son analyse des risques, de mettre cette bibliothèque sur le marché avec des algorithmes non sûrs ou obsolètes désactivés par défaut, ou avec la validation des certificats activée par défaut. Le fabricant intégrateur peut décider de modifier certains de ces paramètres lors du développement de son propre produit. Le fabricant de la bibliothèque cryptographique n’est responsable que de la configuration avec laquelle la bibliothèque est livrée, et non des modifications ultérieures apportées par l’intégrateur.

De même, le fabricant d’un microcontrôleur intégrant une pile réseau peut être tenu, sur la base de son analyse des risques, de mettre le microcontrôleur sur le marché avec des interfaces réseau désactivées par défaut. Le fabricant intégrateur peut ensuite décider de les activer afin de répondre à la finalité prévue de son propre produit. Le fabricant du microcontrôleur n’est responsable que de la configuration avec laquelle le microcontrôleur est livré, et non des modifications ultérieures apportées par l’intégrateur.

Pour plus d’informations sur les exceptions à la configuration sécurisée par défaut, voir la question 4.2.5 : Quand un produit est-il « sur mesure » ? Quelle documentation est requise dans ces cas ?

Enfin, il est possible que cette exigence essentielle ne soit pas applicable à certains produits comportant des éléments numériques. La question 4.1.3 « Le fabricant doit-il mettre en œuvre l’ensemble des exigences essentielles ? » fournit des orientations complémentaires à ce sujet.

4.2.5 Quand un produit est-il « sur mesure » ? Quelle documentation est requise dans ces cas ?

Les fabricants doivent mettre leurs produits comportant des éléments numériques à disposition sur le marché avec une configuration sécurisée par défaut et fournir des mises à jour de sécurité aux utilisateurs gratuitement. Ils ne devraient pouvoir déroger aux exigences essentielles de cybersécurité que pour des produits sur mesure, adaptés à une finalité particulière pour un utilisateur professionnel déterminé, et lorsque le fabricant et l’utilisateur ont explicitement convenu d’un ensemble différent de conditions contractuelles (considérant 64).

Le CRA prévoit que les fabricants peuvent déroger à deux exigences essentielles, à savoir : la configuration sécurisée par défaut (annexe I, partie I, point 2, b) et la fourniture gratuite de mises à jour de sécurité aux utilisateurs (annexe I, partie II, point 8), pour des produits sur mesure adaptés à une finalité particulière pour un utilisateur professionnel déterminé, lorsque le fabricant et l’utilisateur ont explicitement convenu de conditions contractuelles différentes, conformément aux dispositions précitées.

Cela peut concerner, par exemple, du matériel ou des logiciels développés sur mesure pour répondre aux besoins d’un utilisateur professionnel spécifique, ou des produits développés pour être intégrés dans des environnements très contrôlés d’un client donné, par exemple des réseaux fermés ou des environnements isolés, et soumis à des conditions contractuelles spécifiques.

Un produit n’est pas « sur mesure » lorsqu’il fait l’objet de personnalisations mineures avant d’être vendu à un client, sans conditions contractuelles spécifiques. C’est le cas, par exemple, d’une plateforme de gestion de la relation client (CRM) vendue à plusieurs entreprises, même si le fabricant permet certaines personnalisations limitées, ou de plateformes personnalisables via des extensions ou des API, mais qui restent fondamentalement le même produit pour chaque client.

Conformément à l’article 31, le fabricant est tenu d’inclure, dans sa documentation technique, toutes les données ou informations pertinentes démontrant que le produit respecte les exigences essentielles de cybersécurité applicables, y compris des éléments de preuve appropriés attestant que le produit est sur mesure.

4.3.1 Les fabricants sont-ils tenus de corriger toutes les vulnérabilités découvertes pendant la période de support ?

Les fabricants de produits comportant des éléments numériques doivent, au regard des risques posés par ces produits, traiter et corriger les vulnérabilités sans délai, notamment en fournissant des mises à jour de sécurité (annexe I, partie II, point 2).

Le CRA n’exige pas des fabricants qu’ils fournissent un correctif pour toutes les vulnérabilités découvertes pendant la période de support d’un produit.

Lorsqu’ils découvrent une vulnérabilité, les fabricants doivent en déterminer la pertinence pour leur produit et évaluer le risque qui en découle dans le cadre de leur analyse des risques. Sur la base du risque posé par la vulnérabilité, ils doivent s’assurer que des mesures correctives sont mises en place sans délai.

Le CRA ne prescrit donc pas que les fabricants doivent fournir un correctif pour toutes les vulnérabilités découvertes pendant la période de support du produit.

Selon le niveau de risque, les mesures correctives peuvent prendre différentes formes, notamment, sans s’y limiter : des correctifs immédiats, des avis proposant des contournements complétés ultérieurement par une mise à jour logicielle, des mises à jour des manuels utilisateurs, des recommandations de configuration visant à désactiver les fonctionnalités affectées.

Par exemple, un fabricant de concentrateur domotique découvre une vulnérabilité permettant à des attaquants distants d’exécuter du code arbitraire sur le concentrateur. L’analyse des risques montre un risque élevé de compromission, l’attaquant pouvant contrôler d’autres appareils connectés. Le fabricant peut être tenu, par exemple, de fournir un correctif immédiat et des recommandations appropriées à ses utilisateurs.

À l’inverse, un fabricant de routeur Wi-Fi découvre une vulnérabilité de type dépassement de tampon dans une bibliothèque logicielle incluse dans le firmware du routeur. Toutefois, l’analyse des risques montre que la vulnérabilité ne peut pas être exploitée, car les fonctions de la bibliothèque ne sont jamais appelées dans le firmware. Le fabricant peut être tenu, par exemple, de documenter la vulnérabilité, mais peut décider de ne pas la corriger via une mise à jour dédiée. Il peut également être attendu, par exemple, qu’il supprime la bibliothèque inutilisée lors de la prochaine version régulière du firmware.

Enfin, un fabricant d’imprimante laser de bureau découvre que la carte mère de l’imprimante dispose d’une interface de débogage qui reste activée. Bien que la vulnérabilité puisse théoriquement être exploitée pour contourner l’authentification et injecter du code malveillant, son exploitation nécessite un accès physique à l’imprimante, la rupture d’un scellé inviolable, le démontage de composants internes et des soudures sur la carte mère. L’analyse des risques montre que cette vulnérabilité présente un risque très faible et n’est pas exploitable dans son environnement opérationnel. Le fabricant peut être tenu, par exemple, de documenter la vulnérabilité, de mettre à jour sa documentation technique et de fournir des recommandations appropriées à ses utilisateurs.

4.3.2 Le fabricant doit-il traiter et corriger les vulnérabilités pour toutes les versions d’un produit logiciel ?

Lorsqu’un fabricant a mis sur le marché des versions ultérieures substantiellement modifiées d’un produit logiciel, il peut assurer la conformité à l’exigence essentielle de cybersécurité prévue à l’annexe I, partie II, point 2, uniquement pour la version qu’il a mise sur le marché en dernier, à condition que les utilisateurs des versions antérieures aient accès gratuitement à la dernière version mise sur le marché et qu’ils ne supportent pas de coûts supplémentaires pour adapter l’environnement matériel et logiciel dans lequel ils utilisent la version initiale du produit (article 13, paragraphe 10).

Le considérant 40 explicite en détail la disposition de l’article 13, paragraphe 10, en précisant que les fabricants ne sont pas tenus de traiter et corriger les vulnérabilités pour toutes les versions d’un produit logiciel si certaines conditions sont remplies.

Plus précisément, « compte tenu de la nature itérative du développement logiciel, les fabricants qui ont mis sur le marché des versions ultérieures d’un produit logiciel à la suite d’une modification substantielle ultérieure de ce produit devraient pouvoir fournir des mises à jour de sécurité pour la période de support uniquement pour la version du produit logiciel qu’ils ont mise sur le marché en dernier. Ils ne devraient pouvoir le faire que si les utilisateurs des versions précédentes concernées ont accès gratuitement à la dernière version mise sur le marché et ne supportent pas de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Cela pourrait, par exemple, être le cas lorsqu’une mise à niveau d’un système d’exploitation pour ordinateur de bureau ne nécessite pas de nouveau matériel, tel qu’un processeur plus rapide ou davantage de mémoire. Néanmoins, le fabricant devrait continuer à respecter, pendant la période de support, d’autres exigences relatives à la gestion des vulnérabilités, telles qu’une politique de divulgation coordonnée des vulnérabilités ou des mesures facilitant le partage d’informations sur des vulnérabilités potentielles, pour toutes les versions ultérieures substantiellement modifiées du produit logiciel mises sur le marché. Les fabricants devraient pouvoir fournir des mises à jour mineures de sécurité ou de fonctionnalité ne constituant pas une modification substantielle uniquement pour la dernière version ou sous-version d’un produit logiciel qui n’a pas été substantiellement modifié. En parallèle, lorsqu’un produit matériel, tel qu’un smartphone, n’est pas compatible avec la dernière version du système d’exploitation avec lequel il a été initialement livré, le fabricant devrait continuer à fournir des mises à jour de sécurité au moins pour la dernière version compatible du système d’exploitation pendant la période de support » (considérant 40).

4.3.3 Le fabricant est-il responsable de l’installation des mises à jour de sécurité par les utilisateurs du produit ?

L’une des mesures les plus importantes que les utilisateurs peuvent prendre pour protéger leurs produits comportant des éléments numériques contre des cyberattaques consiste à installer dès que possible les dernières mises à jour de sécurité disponibles. Les fabricants devraient donc concevoir leurs produits et mettre en place des processus garantissant que les produits comportent des fonctions permettant la notification, la distribution, le téléchargement et l’installation automatique des mises à jour de sécurité, en particulier pour les produits de consommation. Ils devraient également offrir la possibilité d’approuver le téléchargement et l’installation des mises à jour de sécurité en tant qu’étape finale.

 

Les utilisateurs devraient conserver la possibilité de désactiver les mises à jour automatiques, au moyen d’un mécanisme clair et facile à utiliser, accompagné d’instructions explicites permettant de se désinscrire.

 

Les exigences relatives aux mises à jour automatiques, telles qu’énoncées dans une annexe du présent règlement, ne s’appliquent pas aux produits comportant des éléments numériques principalement destinés à être intégrés en tant que composants dans d’autres produits. Elles ne s’appliquent pas non plus aux produits pour lesquels les utilisateurs ne s’attendraient pas raisonnablement à des mises à jour automatiques, notamment les produits destinés à être utilisés dans des réseaux TIC professionnels, en particulier dans des environnements critiques et industriels où une mise à jour automatique pourrait perturber les opérations.

 

Indépendamment du fait qu’un produit soit conçu pour recevoir des mises à jour automatiques ou non, le fabricant doit informer les utilisateurs des vulnérabilités et mettre des mises à jour de sécurité à disposition sans délai (considérant 56).

 

Les produits comportant des éléments numériques ne peuvent être mis à disposition sur le marché que si : (a) ils satisfont aux exigences essentielles de cybersécurité prévues à l’annexe I, partie I, à condition d’être correctement installés, maintenus, utilisés conformément à leur finalité prévue ou dans des conditions raisonnablement prévisibles et, le cas échéant, que les mises à jour de sécurité nécessaires aient été installées ; et (b) que les processus mis en place par le fabricant respectent les exigences essentielles de cybersécurité prévues à l’annexe I, partie II (article 6).

 

Sur la base de l’analyse des risques de cybersécurité visée à l’article 13, paragraphe 2, et le cas échéant, les produits comportant des éléments numériques doivent : (c) garantir que les vulnérabilités puissent être traitées au moyen de mises à jour de sécurité, y compris, le cas échéant, par des mises à jour automatiques installées dans un délai approprié, activées par défaut, avec un mécanisme de désactivation clair et facile à utiliser, via la notification des mises à jour disponibles aux utilisateurs, et la possibilité de les reporter temporairement (annexe I, partie I, point 2, c).

 

Les fabricants de produits comportant des éléments numériques doivent : (7) prévoir des mécanismes permettant de distribuer les mises à jour de manière sécurisée afin de garantir que les vulnérabilités soient corrigées ou atténuées en temps utile et, le cas échéant pour les mises à jour de sécurité, de manière automatique (annexe I, partie II, point 7).

 

Les fabricants de produits comportant des éléments numériques doivent : (8) veiller à ce que, lorsque des mises à jour de sécurité sont disponibles pour traiter des problèmes de sécurité identifiés, elles soient diffusées sans délai et, sauf accord contraire entre le fabricant et un utilisateur professionnel dans le cadre d’un produit sur mesure, gratuitement, accompagnées de messages d’information fournissant aux utilisateurs les éléments pertinents, y compris les actions éventuellement à entreprendre (annexe I, partie II, point 8).

Le CRA établit une série de mécanismes imposant aux fabricants de veiller à ce que les mises à jour de sécurité soient diffusées sans délai, qu’elles soient installées automatiquement lorsque cela est possible, et que les utilisateurs soient dûment informés.

Le CRA reconnaît également que les mises à jour automatiques ne sont pas toujours applicables et que les utilisateurs doivent pouvoir reporter l’installation de ces mises à jour.

Le fabricant n’est pas responsable au titre du CRA si l’utilisateur n’installe pas les mises à jour de sécurité, par exemple lorsque les mises à jour automatiques ne sont pas applicables ou lorsque l’utilisateur choisit de les désactiver.

4.3.4 Le fabricant doit-il rappeler le produit s’il ne peut pas corriger une vulnérabilité ?

À compter de la mise sur le marché et pendant toute la période de support, les fabricants qui savent, ou ont des raisons de croire, que le produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité prévues à l’annexe I doivent immédiatement prendre les mesures correctives nécessaires pour remettre le produit ou les processus du fabricant en conformité, ou, le cas échéant, retirer le produit du marché ou le rappeler (article 13, paragraphe 21).

Comme expliqué à la question 4.3.1 « Les fabricants sont-ils tenus de corriger toutes les vulnérabilités découvertes pendant la période de support ? », le fabricant est tenu, au regard des risques posés, de traiter et corriger les vulnérabilités pendant la période de support. Les mesures correctives appropriées peuvent prendre différentes formes, y compris des mesures d’atténuation.

Dans certaines circonstances, il est toutefois possible qu’une vulnérabilité présentant un risque très significatif de compromission, en particulier pour un produit matériel comportant des éléments numériques, ne puisse pas être traitée et corrigée de manière adéquate et que le produit ne puisse pas être remis en conformité.

Dans de tels cas, qui sont probablement exceptionnels, le fabricant peut être tenu, le cas échéant, de retirer le produit du marché ou de le rappeler.

Il est probable que, dans ces circonstances, les autorités de surveillance du marché compétentes soient impliquées et que les procédures pertinentes prévues aux articles 54 à 58 du CRA soient déclenchées.

4.3.5 Comment les fabricants doivent-ils assurer une séparation entre les mises à jour de sécurité et les mises à jour de fonctionnalités, en particulier lorsque des mises à jour servent les deux objectifs ?

Les fabricants de produits comportant des éléments numériques doivent : (2) au regard des risques posés par ces produits, traiter et corriger les vulnérabilités sans délai, notamment en fournissant des mises à jour de sécurité ; lorsque cela est techniquement possible, les nouvelles mises à jour de sécurité doivent être fournies séparément des mises à jour de fonctionnalités (annexe I, partie II, point 2).

Afin d’améliorer la transparence des processus de gestion des vulnérabilités et de garantir que les utilisateurs ne soient pas contraints d’installer de nouvelles mises à jour de fonctionnalités dans le seul but de recevoir les dernières mises à jour de sécurité, les fabricants devraient, lorsque cela est techniquement possible, veiller à ce que les nouvelles mises à jour de sécurité soient fournies séparément des mises à jour de fonctionnalités (considérant 57).

Le CRA prévoit que les fabricants devraient, lorsque cela est techniquement possible, fournir les nouvelles mises à jour de sécurité séparément des mises à jour de fonctionnalités, afin de garantir que les mises à jour puissent être délivrées rapidement et que les utilisateurs ne soient pas obligés d’installer des mises à jour de fonctionnalités pour recevoir les dernières mises à jour de sécurité.

Les fabricants qui publient une mise à jour de sécurité pour corriger une vulnérabilité ne doivent pas regrouper cette mise à jour avec d’autres mises à jour de fonctionnalités.

Par exemple, un appareil domotique présente une vulnérabilité dans le processus de validation des certificats SSL permettant à un attaquant de réaliser une attaque de type « homme du milieu ». Pour corriger cette vulnérabilité, il suffit au fabricant de mettre à jour la routine de validation des certificats SSL. Le fabricant doit fournir cette mise à jour séparément, sans regrouper le correctif de sécurité avec d’autres mises à jour liées aux fonctionnalités.

Néanmoins, lorsqu’une mise à jour de fonctionnalités est nécessaire pour délivrer une mise à jour de sécurité, les exigences essentielles n’empêchent pas le fabricant de fournir une mise à jour combinant des modifications de sécurité et de fonctionnalités.

Par exemple, un lecteur PDF présente une vulnérabilité dans un analyseur de format de fichier obsolète, entraînant des dépassements de tampon. Le correctif nécessite de remplacer cet analyseur par un nouvel analyseur plus sûr, dont le comportement est légèrement différent (par exemple un contrôle de format plus strict), ce qui peut entraîner des changements fonctionnels, certains fichiers auparavant acceptés pouvant désormais être rejetés. Dans ce cas, faute de faisabilité technique, le fabricant n’est pas tenu d’assurer une séparation entre ces types de modifications.

De même, dans certaines situations, la mise à jour de fonctionnalités peut elle-même correspondre à la mise à jour de sécurité.

Par exemple, un produit comportant des éléments numériques accède à une même fonctionnalité via différentes interfaces (par exemple une interface web, une interface mobile, une interface en ligne de commande, un point de terminaison d’API). Si l’une de ces interfaces présente une vulnérabilité, le fabricant peut déterminer qu’il est nécessaire de désactiver cette interface vulnérable, ce qui conduit à fournir une mise à jour de fonctionnalités qui constitue également une mise à jour de sécurité.

4.3.6 Comment les vulnérabilités des composants intégrés doivent-elles être traitées et corrigées ?

Les obligations de gestion des vulnérabilités prévues par le présent règlement, auxquelles les fabricants doivent se conformer lors de la mise sur le marché et pendant la période de support, s’appliquent aux produits comportant des éléments numériques dans leur intégralité, y compris à l’ensemble des composants intégrés.

 

Lorsqu’un fabricant, dans l’exercice de sa diligence raisonnable, identifie une vulnérabilité dans un composant, y compris dans un composant libre ou open source, il devrait en informer la personne ou l’entité qui fabrique ou maintient ce composant, traiter et corriger la vulnérabilité et, le cas échéant, fournir à cette personne ou entité le correctif de sécurité appliqué (considérant 34).

Les fabricants doivent respecter les obligations de gestion des vulnérabilités pendant toute la durée de la période de support, pour leurs produits dans leur intégralité, notamment en traitant les vulnérabilités affectant leurs produits et qui proviennent de composants intégrés. Voir également la question 4.3.1 « Les fabricants sont-ils tenus de corriger toutes les vulnérabilités découvertes pendant la période de support ? ».

Lorsque le fabricant d’un produit a intégré un composant qui a été mis sur le marché après l’entrée en application du CRA (c’est-à-dire que le composant est lui-même un produit soumis au CRA), le fabricant intégrateur peut s’appuyer sur les actions que le fabricant du composant est tenu de réaliser au titre de ses propres obligations de gestion des vulnérabilités.

Par exemple, le fabricant du composant peut être tenu de développer une mise à jour de sécurité pour corriger une vulnérabilité du composant. Le fabricant intégrateur reste néanmoins tenu de respecter ses obligations de gestion des vulnérabilités pour son propre produit, par exemple en informant les utilisateurs, en fournissant des mesures d’atténuation et en mettant à jour la documentation, mais ses obligations sont facilitées par celles du fabricant du composant.

Lorsque le fabricant a intégré un composant qui n’a pas été mis sur le marché (ou qui a été mis sur le marché avant l’entrée en application du CRA), la personne ou l’entité ayant développé le composant n’est pas soumise aux obligations de gestion des vulnérabilités du CRA. Le fabricant intégrateur doit néanmoins veiller à ce que son produit respecte, dans son ensemble, les exigences de gestion des vulnérabilités.

Lorsque la personne ou l’entité ayant développé le composant ne soutient pas le fabricant dans le traitement et la correction des vulnérabilités, le fabricant intégrateur est attendu qu’il traite la vulnérabilité par d’autres moyens, par exemple en désactivant les fonctions compromises, en remplaçant le composant affecté ou en développant lui-même un correctif (par exemple lorsque le composant est open source).

Conformément à l’article 13, paragraphe 6, lorsque le fabricant intégrateur développe un correctif pour un composant, il est tenu de le partager avec la personne ou l’entité qui maintient ce composant.

4.3.7 Comment la fin de la période de support d’un composant intégré affecte-t-elle la conformité d’un produit au CRA ?

Lors de la détermination de la période de support, les fabricants peuvent également prendre en compte les périodes de support de produits comportant des éléments numériques offrant une fonctionnalité similaire mis sur le marché par d’autres fabricants, la disponibilité de l’environnement d’exploitation, ainsi que les périodes de support des composants intégrés fournissant des fonctions principales et provenant de tiers (article 13, paragraphe 8).

Les fabricants doivent respecter les obligations de gestion des vulnérabilités pendant toute la durée de la période de support, pour leurs produits dans leur intégralité, y compris l’ensemble des composants intégrés, tout en pouvant s’appuyer sur les obligations de gestion des vulnérabilités auxquelles les fabricants des composants sont également soumis, comme expliqué à la question 4.3.6 « Comment les vulnérabilités des composants intégrés doivent-elles être traitées et corrigées ? ».

La période de support des composants intégrés constitue un élément que les fabricants peuvent prendre en compte lors de la détermination de la période de support de leur produit, afin de s’assurer qu’ils puissent tirer parti de la période de support des composants clés pour traiter et corriger les vulnérabilités du produit. Voir également la section 4.5 « Période de support ».

Il peut néanmoins arriver qu’un produit dont la période de support est encore active contienne une vulnérabilité dans un composant intégré qui n’est plus couvert par la période de support de ce composant, et que cette vulnérabilité ne puisse pas être traitée et corrigée de manière adéquate au moyen de différentes mesures d’atténuation (voir également la question 4.3.1 « Les fabricants sont-ils tenus de corriger toutes les vulnérabilités découvertes pendant la période de support ? »).

Dans ce cas, le fabricant du produit est tenu de corriger la vulnérabilité par d’autres moyens, par exemple en remplaçant le composant intégré ou en développant un correctif de manière autonome.

4.4.1 Que prescrit le CRA lors de l’intégration de composants ?

Lors de la mise sur le marché d’un produit comportant des éléments numériques, les fabricants doivent s’assurer que celui-ci a été conçu, développé et fabriqué conformément aux exigences essentielles de cybersécurité prévues à l’annexe I, partie I (article 13, paragraphe 1).

 

Aux fins du respect du paragraphe 1, les fabricants doivent exercer une diligence raisonnable lors de l’intégration de composants provenant de tiers afin que ces composants ne compromettent pas la cybersécurité du produit comportant des éléments numériques, y compris lors de l’intégration de composants de logiciels libres et open source qui n’ont pas été mis sur le marché dans le cadre d’une activité commerciale (article 13, paragraphe 5).

 

Lorsqu’ils intègrent des composants provenant de tiers dans des produits comportant des éléments numériques au cours des phases de conception et de développement, les fabricants devraient, afin de garantir que les produits sont conçus, développés et fabriqués conformément aux exigences essentielles de cybersécurité prévues par le présent règlement, exercer une diligence raisonnable à l’égard de ces composants, y compris des composants de logiciels libres et open source qui n’ont pas été mis sur le marché.

 

Le niveau approprié de diligence raisonnable dépend de la nature et du niveau de risque de cybersécurité associé à un composant donné et devrait, à cette fin, prendre en compte une ou plusieurs des actions suivantes :

• vérifier, le cas échéant, que le fabricant d’un composant a démontré sa conformité au présent règlement, notamment en vérifiant si le composant porte déjà le marquage CE ;
• vérifier qu’un composant bénéficie de mises à jour de sécurité régulières, par exemple en examinant son historique de mises à jour de sécurité ;
• vérifier qu’un composant est exempt de vulnérabilités enregistrées dans la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques sur les vulnérabilités ;
• réaliser des tests de sécurité supplémentaires […] (considérant 34).

Immédiatement après la période transitoire d’application du présent règlement, un fabricant d’un produit comportant des éléments numériques qui intègre un ou plusieurs composants provenant de tiers également soumis au présent règlement peut ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants de ces composants ont démontré leur conformité au présent règlement, par exemple en vérifiant si les composants portent déjà le marquage CE.

 

Cela peut être le cas lorsque les composants ont été intégrés avant que le présent règlement ne devienne applicable aux fabricants de ces composants. Dans un tel cas, le fabricant intégrant ces composants devrait exercer sa diligence raisonnable par d’autres moyens (considérant 35).

Afin de garantir que leur produit comportant des éléments numériques respecte les exigences essentielles du CRA, les fabricants doivent exercer une diligence raisonnable lorsqu’ils intègrent des composants provenant de tiers dans leurs produits.

Les fabricants peuvent intégrer différents types de composants, y compris des composants qui ne portent pas le marquage CE (par exemple des composants libres et open source ne relevant pas du champ d’application du CRA, des composants mis sur le marché avant l’entrée en application du CRA, ou des composants qui n’ont pas été mis sur le marché), mais ils doivent s’assurer que ces composants ne compromettent pas la cybersécurité de leurs produits comportant des éléments numériques.

Lorsqu’ils intègrent des composants portant le marquage CE, les fabricants peuvent s’appuyer sur la déclaration UE de conformité du composant et sur la documentation l’accompagnant pour étayer leur propre conformité au CRA.

Le niveau approprié de diligence raisonnable dépend de la nature et du niveau de risque de cybersécurité d’un composant donné (voir également la question 4.4.2).

4.4.2 Quel est le niveau approprié de diligence raisonnable ?

Le niveau approprié de diligence raisonnable dépend de la nature et du niveau de risque de cybersécurité d’un composant donné et vise à garantir que les composants intégrés ne compromettent pas la cybersécurité du produit comportant des éléments numériques du fabricant.

L’analyse des risques du produit comportant des éléments numériques éclaire également le niveau approprié de diligence raisonnable. Lorsqu’un composant ou un produit est associé à des risques plus élevés, les actions que le fabricant doit mettre en œuvre dans le cadre de la diligence raisonnable doivent être plus étendues que pour un composant ou un produit présentant moins de risques.

Conformément au considérant 34, des exemples d’actions que les fabricants peuvent entreprendre incluent :

• vérifier si le composant porte déjà le marquage CE ;
• vérifier que le composant bénéficie de mises à jour de sécurité régulières, par exemple en examinant son historique de mises à jour de sécurité ;
• vérifier, dans la base de données européenne des vulnérabilités établie en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques, les vulnérabilités applicables au composant et concevoir, développer et fabriquer le produit comportant des éléments numériques intégrant ce composant de manière à ce que ces vulnérabilités ne compromettent pas la cybersécurité du produit ;
•  réaliser des tests de sécurité supplémentaires, tels que des tests de robustesse (fuzzing), des tests d’intrusion, des analyses de micrologiciels, des analyses par canaux auxiliaires, des exercices de type red team, des analyses de trafic réseau ou des tests de falsification de capteurs.

D’autres exemples d’actions possibles incluent :

• réaliser une analyse de composition logicielle des composants ;
• isoler ou compartimenter les composants hautement critiques ;
• examiner, lorsque disponible, la nomenclature logicielle (SBOM) du composant ;
• vérifier la période de support du composant ;
• vérifier que la finalité prévue du composant est compatible avec l’usage envisagé par le fabricant intégrateur ;
• évaluer la posture de sécurité du fabricant du composant.

4.4.3 Pour exercer la diligence raisonnable, un fabricant doit-il uniquement intégrer des composants portant le marquage CE ?

Conformément à l’article 13, paragraphe 5, les fabricants peuvent intégrer différents types de composants, y compris des composants qui n’ont pas été mis sur le marché ou qui ont été mis sur le marché avant l’entrée en application du CRA, à condition d’exercer une diligence raisonnable afin de garantir que le composant ne compromet pas la cybersécurité de leur propre produit comportant des éléments numériques.

Le fabricant n’est pas tenu de mettre ces composants en conformité avec les exigences essentielles prévues à l’annexe I, partie I, avant de les intégrer.

Néanmoins, le fabricant doit veiller à ce que ses propres produits comportant des éléments numériques soient sécurisés et respectent les exigences essentielles du CRA, la diligence raisonnable constituant une obligation clé pour satisfaire à ces exigences.

Le fabricant est également tenu de respecter les obligations de gestion des vulnérabilités prévues à l’annexe I, partie II, pendant toute la durée de la période de support, pour ses produits dans leur intégralité.

L’intégration de composants portant le marquage CE peut simplifier certaines obligations, mais n’est pas requise par le CRA.

4.4.4 Comment les fabricants doivent-ils exercer la diligence raisonnable à l’égard des composants open source qui ne sont pas soumis au CRA ?

Les fabricants sont autorisés à intégrer des composants open source qui ne relèvent pas du champ d’application du CRA (par exemple parce qu’ils ne sont pas mis à disposition sur le marché dans le cadre d’une activité commerciale), ainsi que des composants open source publiés par un responsable de logiciels open source.

Comme expliqué à la question 4.4.2, le niveau approprié de diligence raisonnable dépend de la nature et du niveau de risque de cybersécurité du composant open source concerné.

La Commission est habilitée à établir des programmes volontaires d’attestation de sécurité pouvant être utilisés pour évaluer la conformité des composants libres et open source au CRA. Lorsqu’ils sont disponibles, ces programmes d’attestation faciliteraient l’obligation de diligence raisonnable des fabricants.

4.5.1 Quels critères le fabricant doit-il prendre en compte pour déterminer la période de support d’un produit ?

Les fabricants doivent déterminer la période de support de manière à ce qu’elle reflète la durée pendant laquelle le produit est raisonnablement censé être utilisé, en tenant compte notamment des attentes raisonnables des utilisateurs, de la nature du produit, y compris sa finalité prévue, ainsi que du droit de l’Union pertinent déterminant la durée de vie des produits comportant des éléments numériques.

 

Lors de la détermination de la période de support, les fabricants peuvent également prendre en compte la période de support de produits comportant des éléments numériques offrant une fonctionnalité similaire et mis sur le marché par d’autres fabricants, la disponibilité de l’environnement d’exploitation, les périodes de support des composants intégrés fournissant des fonctions essentielles et provenant de tiers, ainsi que les orientations pertinentes fournies par le groupe de coopération administrative dédié (ADCO) institué en vertu de l’article 52, paragraphe 15, et par la Commission.

 

Les éléments à prendre en compte pour déterminer la période de support doivent être appréciés de manière proportionnée (article 13, paragraphe 8, deuxième alinéa).

Les fabricants sont tenus de déterminer la période de support de manière à ce qu’elle reflète la durée pendant laquelle le produit est censé être utilisé, en tenant compte en particulier :

• des attentes raisonnables des utilisateurs ;
• de la nature du produit, y compris sa finalité prévue ;
• d’autres dispositions du droit de l’Union déterminant la durée de vie des produits comportant des éléments numériques.

D’autres facteurs pertinents que les fabricants peuvent prendre en compte incluent :

• la période de support de produits similaires mis sur le marché par d’autres fabricants ;
• la disponibilité de l’environnement d’exploitation ;
• la période de support des composants intégrés provenant de tiers et fournissant des fonctions essentielles ;
• les orientations pertinentes fournies par l’ADCO du CRA.

L’ensemble de ces facteurs doit être pris en compte de manière proportionnée dans la détermination de la période de support.

Par conséquent, les fabricants ne sont pas tenus de fixer automatiquement une période de support correspondant strictement à la durée d’utilisation attendue, sauf lorsque cette durée est inférieure à cinq ans (voir la question 4.5.2).

Conformément à l’article 13, paragraphe 8, le fabricant doit inclure dans sa documentation technique les éléments pris en compte pour déterminer la période de support d’un produit comportant des éléments numériques.

4.5.2 Existe-t-il une période de support minimale ?

Sans préjudice du deuxième alinéa, la période de support doit être d’au moins cinq ans. Lorsque le produit comportant des éléments numériques est censé être utilisé pendant une durée inférieure à cinq ans, la période de support correspond à la durée d’utilisation attendue (article 13, paragraphe 8, troisième alinéa).

 

La période de support pendant laquelle le fabricant assure une gestion effective des vulnérabilités ne doit pas être inférieure à cinq ans, sauf lorsque la durée de vie du produit est inférieure à cinq ans, auquel cas le fabricant doit assurer la gestion des vulnérabilités pendant toute cette durée de vie.

Lorsque la durée d’utilisation raisonnablement attendue d’un produit comportant des éléments numériques dépasse cinq ans, ce qui est souvent le cas pour des composants matériels tels que des cartes mères ou des microprocesseurs, des équipements réseau tels que des routeurs, modems ou commutateurs, ainsi que pour des logiciels tels que des systèmes d’exploitation ou des outils de montage vidéo, les fabricants doivent prévoir des périodes de support plus longues en conséquence.

 

En particulier, les produits comportant des éléments numériques destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriel, sont souvent exploités pendant des périodes nettement plus longues.

 

Un fabricant ne peut définir une période de support inférieure à cinq ans que lorsque cela est justifié par la nature du produit concerné et lorsque ce produit est censé être utilisé pendant moins de cinq ans. Dans ce cas, la période de support doit correspondre à la durée d’utilisation attendue.

Par exemple, la durée de vie d’une application de traçage de contacts destinée à être utilisée pendant une pandémie peut être limitée à la durée de celle-ci. En outre, certaines applications logicielles ne peuvent, par nature, être mises à disposition que sur la base d’un modèle par abonnement, notamment lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisée une fois l’abonnement expiré (considérant 60).

La période de support doit être fixée à au moins cinq ans, mais cela n’est pas suffisant lorsque les produits comportant des éléments numériques sont raisonnablement censés être utilisés pendant une durée supérieure à cinq ans. Dans de tels cas, les fabricants doivent prendre en compte l’ensemble des facteurs pertinents, ce qui peut conduire à prévoir une période de support plus longue.

Une période de support inférieure à cinq ans n’est justifiée que lorsque la durée de vie du produit est inférieure à cinq ans. Dans ces situations, la période de support correspond à la durée d’utilisation attendue, sans qu’il soit nécessaire de prendre en compte les autres critères énumérés à l’article 13, paragraphe 8.

Cela concerne notamment les produits répondant à une finalité très spécifique, comme une application de traçage de contacts utilisée pendant une pandémie, mais aussi certains logiciels qui, par nature, ne peuvent être mis à disposition que sur la base d’un abonnement, en particulier lorsque l’application devient inaccessible à l’utilisateur à l’expiration de l’abonnement.

Par exemple, certains logiciels antivirus destinés aux entreprises ne fonctionnent que pour les utilisateurs disposant d’un abonnement actif, les utilisateurs dépendant de la disponibilité de définitions antivirus à jour, et cessent d’être accessibles lorsque l’abonnement expire.

De même, certains logiciels libres et open source mis sur le marché peuvent être monétisés par leur fabricant uniquement par la vente de services de support payants proposés sous forme d’abonnement. En raison de leur nature libre et open source, ces logiciels peuvent continuer à être utilisés après que l’utilisateur a cessé de payer les services de support ; dans ce cas, le fabricant est tenu d’assurer une période de support équivalente à la durée de l’abonnement actif.

4.5.3 Un fabricant peut-il continuer à vendre des produits sans période de support ?

Les fabricants doivent définir une période de support pour tous les produits comportant des éléments numériques mis sur le marché après le 11 décembre 2027. Ces produits peuvent continuer à être mis à disposition sur le marché après l’expiration de leur période de support.

Toutefois, pour les unités de ce produit qui sont nouvellement mises sur le marché, les fabricants sont tenus de définir une période de support.

Par exemple, un fabricant produit 10 000 unités identiques d’un même modèle ou d’une même série de matériel et les met sur le marché en janvier 2028, avec une période de support de cinq ans (jusqu’en janvier 2033). Un distributeur ne parvient à vendre qu’une partie de ces unités avant la fin de la période de support. Le distributeur peut continuer à mettre ces unités à disposition après janvier 2033.

Le 1er janvier 2030, le même fabricant produit 5 000 unités supplémentaires identiques de ce même modèle ou de cette même série et les met sur le marché. Le fabricant est tenu de définir une période de support pour ces unités, conformément à l’article 13, paragraphe 8, du CRA.

4.6.1 Un fabricant établi dans un pays tiers peut-il placer directement des produits sur le marché de l’Union ?

1. Nonobstant toute obligation prévue par la législation d’harmonisation de l’Union applicable, un produit soumis à la législation visée au paragraphe 5 ne peut être mis sur le marché que s’il existe un opérateur économique établi dans l’Union qui est responsable des tâches énoncées au paragraphe 3 pour ce produit.

 

2. Aux fins du présent article, l’opérateur économique visé au paragraphe 1 désigne l’une des personnes suivantes :

• un fabricant établi dans l’Union ;
• un importateur, lorsque le fabricant n’est pas établi dans l’Union ;
• un mandataire disposant d’un mandat écrit du fabricant l’autorisant à accomplir en son nom les tâches visées au paragraphe 3 ;
• un prestataire de services d’exécution des commandes (fulfilment service provider) établi dans l’Union pour les produits qu’il traite, lorsqu’aucun autre opérateur économique visé aux points précédents n’est établi dans l’Union.

(article 4, paragraphes 1 et 2, du règlement (UE) 2019/1020)

Un produit comportant des éléments numériques peut être mis sur le marché de l’Union à condition qu’un opérateur économique établi dans l’Union soit responsable, notamment, de vérifier que la déclaration UE de conformité et la documentation technique ont été établies et de coopérer avec les autorités de surveillance du marché.

Par conséquent, un fabricant qui n’est pas établi dans l’Union est tenu de désigner un importateur, un mandataire ou un prestataire de services d’exécution des commandes afin que ces tâches soient assurées.

Une « vulnérabilité activement exploitée » désigne une vulnérabilité pour laquelle il existe des preuves fiables qu’un acteur malveillant l’a exploitée dans un système sans l’autorisation du propriétaire du système (article 3, point 42).

 

Les vulnérabilités activement exploitées concernent les situations dans lesquelles un fabricant établit qu’une atteinte à la sécurité affectant ses utilisateurs ou toute autre personne physique ou morale résulte de l’exploitation, par un acteur malveillant, d’une faille présente dans l’un des produits comportant des éléments numériques qu’il a mis à disposition sur le marché. Des exemples de telles vulnérabilités peuvent inclure des faiblesses dans les fonctions d’identification et d’authentification d’un produit.

 

Les vulnérabilités découvertes sans intention malveillante, à des fins de test de bonne foi, d’analyse, de correction ou de divulgation visant à promouvoir la sécurité ou la sûreté du propriétaire du système et de ses utilisateurs, ne doivent pas faire l’objet d’une notification obligatoire (considérant 68).

Les vulnérabilités pour lesquelles aucun correctif ou aucune mise à jour de sécurité n’est encore disponible (dites « vulnérabilités zero-day ») sont soumises à une obligation de notification conformément à l’article 14, lorsque le fabricant dispose de preuves fiables qu’un acteur malveillant a exploité cette vulnérabilité.

Par exemple, une vulnérabilité zero-day découverte par des hackers éthiques, pour laquelle il n’existe aucune preuve d’exploitation malveillante antérieure et qui est divulguée au fabricant du produit dans le cadre de son programme de récompense de bogues (voir considérant 76), ne constitue pas une vulnérabilité activement exploitée soumise à notification obligatoire.

De même, une vulnérabilité zero-day découverte par un laboratoire d’évaluation de la cybersécurité réalisant des tests pour le compte du fabricant, et pour laquelle il n’existe aucune preuve d’exploitation malveillante antérieure, ne constitue pas une vulnérabilité activement exploitée soumise à notification obligatoire.

Les fabricants peuvent néanmoins notifier ces vulnérabilités sur une base volontaire, conformément à l’article 15.

Par dérogation au paragraphe 2 du présent article, les obligations prévues à l’article 14 s’appliquent à tous les produits comportant des éléments numériques relevant du champ d’application du présent règlement qui ont été mis sur le marché avant le 11 décembre 2027 (article 69, paragraphe 3).

Les obligations de notification s’appliquent à compter du 11 septembre 2026. Les fabricants sont tenus de se conformer à l’article 14, et en particulier à l’obligation de notifier les vulnérabilités activement exploitées et les incidents graves ayant un impact sur la sécurité du produit, pour tous les produits comportant des éléments numériques relevant du champ d’application du CRA, y compris ceux qui ont été mis sur le marché avant le 11 décembre 2027.

Lorsque le produit a été mis sur le marché avant le 11 décembre 2027, les fabricants peuvent ne pas être en mesure d’analyser ces vulnérabilités, par exemple parce que les outils permettant d’analyser ou d’exécuter d’anciennes versions logicielles n’existent plus, que les environnements de compilation pour du code ancien ne peuvent plus être recréés, que certaines dépendances sont indisponibles ou incompatibles avec les systèmes modernes, ou encore que les personnels disposant de la connaissance des anciens codes sources ont quitté l’organisation.

Pour ces produits, les fabricants sont tenus de notifier la vulnérabilité ou l’incident, mais ne sont pas tenus par le CRA de se conformer aux autres obligations, notamment celles relatives à la gestion des vulnérabilités.

En outre, l’obligation de notification s’applique dès que le fabricant en a connaissance après l’entrée en application des exigences de notification (voir également la question 5.1 « Comment un fabricant peut-il avoir connaissance d’une vulnérabilité activement exploitée ou d’un incident grave ? »).

Néanmoins, l’article 14, paragraphe 8, impose au fabricant d’informer les utilisateurs affectés du produit comportant des éléments numériques, et, le cas échéant, l’ensemble des utilisateurs, de ces vulnérabilités ou incidents.

Lorsque le fabricant décide de ne pas informer les utilisateurs du produit comportant des éléments numériques dans un délai approprié, les équipes de réponse aux incidents de sécurité informatique (CSIRT) qui reçoivent la notification peuvent fournir ces informations aux utilisateurs lorsqu’elles estiment que cela est proportionné et nécessaire pour prévenir ou atténuer l’impact de la vulnérabilité ou de l’incident.

Un « produit comportant des éléments numériques » désigne un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris des composants logiciels ou matériels mis sur le marché séparément (article 3, point 10).

 

Un fabricant est tenu de notifier toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques dont il a connaissance (article 14, paragraphe 1).

 

Les fabricants doivent notifier les vulnérabilités activement exploitées afin de garantir que les CSIRT désignés comme coordinateurs, ainsi que l’ENISA, disposent d’une vision adéquate de ces vulnérabilités et des informations nécessaires à l’accomplissement de leurs missions telles que prévues par la directive (UE) 2022/2555, et afin de renforcer le niveau global de cybersécurité des entités essentielles et importantes visées à l’article 3 de cette directive, ainsi que d’assurer le bon fonctionnement des autorités de surveillance du marché.

 

Étant donné que la plupart des produits comportant des éléments numériques sont commercialisés dans l’ensemble du marché intérieur, toute vulnérabilité exploitée dans un produit comportant des éléments numériques doit être considérée comme une menace pour le fonctionnement du marché intérieur (considérant 66).

Les fabricants sont tenus de notifier toute vulnérabilité activement exploitée contenue dans leur produit comportant des éléments numériques.

Lorsque le produit comportant des éléments numériques contient une vulnérabilité activement exploitée provenant d’un composant intégré, le fabricant du produit comportant des éléments numériques est tenu de notifier cette vulnérabilité.

Le fabricant du composant intégré est également tenu de la notifier, si ce composant a été mis sur le marché.

Si le fabricant d’un produit comportant des éléments numériques sait qu’un composant intégré contient une vulnérabilité, mais que cette vulnérabilité ne peut pas être exploitée dans son produit comportant des éléments numériques, cette vulnérabilité n’est pas activement exploitée et n’est donc pas soumise à une obligation de notification.

Les fabricants peuvent néanmoins notifier cette vulnérabilité sur une base volontaire, conformément à l’article 15, et sont tenus de signaler la vulnérabilité à la personne ou à l’entité qui fabrique ou maintient le composant, conformément à l’article 13, paragraphe 6.

Cela permet aux CSIRT recevant la notification ainsi qu’à l’ENISA d’avoir une vue d’ensemble du paysage de la sécurité sur le marché intérieur et d’évaluer le niveau de criticité et la pénétration de marché des vulnérabilités activement exploitées.

Le module B+C, défini aux parties II et III de l’annexe VIII, est une procédure d’évaluation de la conformité dans laquelle le fabricant vérifie que le produit comportant des éléments numériques est conforme aux exigences essentielles du CRA, un organisme notifié examine la conception et le développement du produit, et le fabricant déclare la conformité.

Le fabricant peut recourir à une procédure d’évaluation de la conformité fondée sur le module B+C pour toutes les catégories de produits couvertes par le CRA. Le module B+C ou le module H sont obligatoires dans les cas suivants :

• les produits importants comportant des éléments numériques de classe I lorsqu’aucune norme harmonisée n’a été appliquée, conformément à l’article 32, paragraphe 2 ;
• les produits importants comportant des éléments numériques de classe II ;
• les produits critiques, sauf si l’utilisation d’un schéma européen de certification de cybersécurité devient obligatoire à l’avenir conformément à l’article 8, paragraphe 1.

Un seul organisme notifié participe à cette procédure et examine l’ensemble du produit ainsi que toutes les exigences essentielles pertinentes, selon les modalités décrites ci-dessous.

Le fabricant et l’organisme notifié doivent réaliser les activités suivantes :

• le fabricant met en œuvre les mesures de cybersécurité nécessaires dans le produit sur la base de l’analyse des risques décrite à la section 4.1 « Approche fondée sur les risques et analyse des risques » ;
• le fabricant teste le produit afin de vérifier qu’il est conforme aux exigences essentielles pertinentes du CRA (voir également la section 6.5 « Quelle méthodologie d’évaluation le fabricant doit-il appliquer ? ») ;
• le fabricant établit la documentation technique (voir la section 6.6 « Qu’est-ce que la documentation technique ? ») ;
• l’organisme notifié évalue la conception du produit sur la base de la documentation technique et d’un spécimen ou échantillon ; cette évaluation ne se limite pas à un examen documentaire, l’organisme notifié réalisant également les essais nécessaires, soit lui-même, soit par l’intermédiaire d’un laboratoire externe ; le fabricant peut être amené à participer à ces essais ; lorsque l’organisme notifié conclut que le produit est conforme au CRA, il délivre un certificat d’examen UE de type, valable pour une durée déterminée par l’organisme notifié ;
• une fois le certificat d’examen UE de type obtenu, le fabricant appose le marquage CE (voir section 6.7 « Qu’est-ce que le marquage CE ? ») accompagné du numéro NANDO de l’organisme notifié, puis établit et signe la déclaration de conformité (voir section 6.8 « Qu’est-ce que la déclaration de conformité ? ») ;
• le fabricant veille à ce que la production des différentes unités du produit ne modifie pas la conformité aux exigences essentielles du CRA, conformément au point 2 du module C ; la phase de production n’est pas évaluée par l’organisme notifié ; en d’autres termes, le fabricant ne peut pas justifier qu’un produit dont la conception est conforme au CRA ne le soit pas en pratique en raison d’un défaut du processus de production.

Les modifications substantielles du produit nécessitent une nouvelle évaluation par le même organisme notifié ou par un autre, pouvant conduire à une révision du certificat d’examen UE de type délivré. Les autres modifications qui n’affectent pas la conformité aux exigences du CRA ne sont pas soumises à une nouvelle évaluation par l’organisme notifié.

En outre, conformément au point 8 du module B, l’organisme notifié doit réaliser des audits périodiques afin de vérifier que les processus de gestion des vulnérabilités sont correctement mis en œuvre.

Les informations relatives aux certificats d’examen UE de type et à leurs révisions doivent être partagées avec les autres organismes notifiés et avec les autorités notifiantes, conformément au point 9 du module B.

Le module H, défini à la partie IV de l’annexe VIII, est une procédure d’évaluation de la conformité dans laquelle le fabricant met en œuvre un système complet d’assurance qualité garantissant que les produits soumis à ce système sont conformes aux exigences essentielles du CRA tant lors des phases de conception que de production. Un organisme notifié évalue les performances globales du système d’assurance qualité, y compris au moyen d’essais et de contrôles périodiques. Le fabricant déclare la conformité aux exigences du CRA avant de mettre les produits sur le marché.

Un seul organisme notifié participe à cette procédure et examine l’ensemble du système d’assurance qualité selon les modalités décrites ci-dessous.

Ce module peut être particulièrement pertinent pour les fabricants qui mettent sur le marché de nombreux types de produits ou des produits faisant l’objet de mises à jour fréquentes, car il rationalise les procédures d’évaluation de la conformité applicables à chaque nouveau produit ou produit substantiellement modifié.

Le fabricant et l’organisme notifié doivent réaliser les activités suivantes :

• le fabricant met en œuvre un système complet d’assurance qualité couvrant un certain catalogue de produits et l’ensemble des phases de fabrication pertinentes, de la conception à la production ; ce système peut être fondé sur des normes internationales (par exemple la série ISO 9000, couvrant les spécificités du CRA) ; le fait que le fabricant soit certifié selon la norme ISO 9000 ne lui permet pas automatiquement de réaliser des activités d’évaluation de la conformité au titre du module H, l’intervention d’un organisme notifié au titre du CRA étant requise ;
• l’organisme notifié évalue le système d’assurance qualité dans son ensemble, y compris, entre autres, la conception technique des produits couverts, les normes ou spécifications à appliquer (en particulier la manière dont la conformité aux exigences essentielles du CRA est assurée), les essais à réaliser et la surveillance globale du système ; l’organisme notifié couvre l’ensemble du processus de fabrication ;
• le fabricant, sur la base du système d’assurance qualité, met en œuvre les mesures de cybersécurité nécessaires dans le produit conformément à l’analyse des risques décrite à la section 4.1 « Qu’exige le CRA de l’analyse des risques de cybersécurité du fabricant ? » ;
• le fabricant, sur la base du système d’assurance qualité, teste le produit afin de vérifier qu’il est conforme aux exigences essentielles pertinentes du CRA (voir également la section 6.5 « Quelle méthodologie d’évaluation le fabricant doit-il appliquer ? ») ;
• le fabricant, sur la base du système d’assurance qualité, établit la documentation technique (voir également la section 6.6 « Qu’est-ce que la documentation technique ? ») ;
• le fabricant appose le marquage CE (voir section 6.7 « Qu’est-ce que le marquage CE ? ») accompagné du numéro NANDO de l’organisme notifié, puis établit et signe la déclaration de conformité (voir section 6.8 « Qu’est-ce que la déclaration de conformité ? ») ;
• le fabricant, sur la base du système d’assurance qualité, veille à ce que la production des différentes unités du produit ne modifie pas la conformité aux exigences essentielles du CRA.

Le fabricant peut étendre le champ d’application du système d’assurance qualité décrit à de nouveaux produits ou à des produits substantiellement modifiés. Le système d’assurance qualité doit alors être mis à jour afin de documenter correctement ce nouveau périmètre, et de nouvelles normes ou de nouveaux essais peuvent devoir être appliqués. Néanmoins, cette extension est soumise à une nouvelle évaluation par le même organisme notifié que celui ayant réalisé l’évaluation initiale.

En tout état de cause, et comme indiqué ci-dessus, le module H offre un cadre plus polyvalent et plus flexible que le module B+C. L’inclusion de nouveaux produits constitue ainsi un processus plus rationalisé, dans la mesure où l’organisme notifié n’aura à évaluer que les nouvelles normes ou essais potentiellement applicables aux nouveaux produits.

Le CRA s’applique aux produits mis sur le marché en tant qu’unités individuelles à compter de sa date d’application. En d’autres termes, les types ou modèles dits « hérités » ne sont pas exemptés de l’application du CRA si, après cette date, de nouvelles unités sont mises sur le marché. Le CRA prévoit une période de transition entre son entrée en vigueur (10 décembre 2024) et sa date d’application (11 décembre 2027 pour la majorité des obligations) afin d’assurer une mise en œuvre progressive. Durant cette période, le fabricant doit, le cas échéant, adapter le produit aux exigences du CRA et réaliser l’évaluation de la conformité décrite dans le présent chapitre.

Le module H peut être particulièrement utile pour les fabricants de produits importants et critiques qui mettent sur le marché de nombreux types ou modèles, car il fournit un système global permettant de rationaliser l’évaluation de la conformité.

Le CRA n’impose l’utilisation d’aucune méthodologie d’évaluation spécifique, y compris en matière de tests. Toutefois, dans la pratique, l’application d’une norme harmonisée ou d’une spécification technique appropriée constitue une approche couramment adoptée par les fabricants.

Le fabricant peut réaliser les essais ou procédures de test pertinents dans ses propres laboratoires, lorsqu’ils sont disponibles, ou dans des laboratoires externes. Le CRA n’établit aucune exigence spécifique concernant les laboratoires réalisant les essais liés aux procédures d’évaluation de la conformité. Le fabricant assume l’entière responsabilité de l’évaluation de la conformité.

Les autorités de surveillance du marché peuvent réaliser des essais ou des procédures d’évaluation dans le cadre des contrôles qu’elles effectuent. À cet égard, elles peuvent choisir d’appliquer la même méthodologie que celle utilisée par le fabricant, en particulier lorsque cette méthodologie fait partie d’une norme harmonisée soutenant le CRA. Cela étant, l’autorité de surveillance du marché peut appliquer une méthodologie différente, sur une base dûment justifiée. Il convient de souligner que les tests de cybersécurité ne sont pas déterministes, contrairement à d’autres domaines réglementés dans le cadre du NLF, et que les résultats peuvent donc ne pas être uniques.

La documentation technique doit contenir les éléments définis à l’annexe VII du CRA.

Le fabricant doit tenir compte du fait que la documentation technique n’est pas uniquement un livrable interne, mais qu’elle peut être demandée par les autorités de surveillance du marché. Elle doit donc être complète et claire. Le fabricant doit être en mesure de démontrer que le produit a été conçu, développé et fabriqué conformément aux exigences essentielles du CRA. Cela inclut notamment les spécifications des processus de gestion des vulnérabilités.

La documentation technique peut être rédigée dans n’importe quelle langue. Toutefois, si elle est demandée par une autorité de surveillance du marché, elle doit être fournie dans une langue facilement compréhensible par cette autorité.

Il n’existe aucune obligation de mettre la documentation technique à la disposition des clients du fabricant ou du public, à l’exception des fabricants de logiciels libres et open source relevant des catégories définies à l’annexe III (produits importants de classe I ou II) qui souhaitent procéder à une auto-attestation de conformité, conformément à l’article 32, paragraphe 5.

Le marquage CE est une simple auto-déclaration visuelle du fabricant attestant que le produit est conforme à l’ensemble des législations applicables relevant du Nouveau Cadre Législatif (NLF) et, en particulier, au CRA. Il s’adresse aux consommateurs ainsi qu’aux autorités de surveillance du marché. Il est régi par les articles 29 et 30. Des informations complémentaires figurent également à la section 4.5.1 du Blue Guide.

Les produits doivent porter le marquage CE de manière visible, lisible et indélébile. En règle générale, sa taille doit être supérieure à 5 mm. Des exceptions peuvent être admises lorsque la taille du produit ne le permet pas, à condition que le marquage reste visible. Le marquage CE ne peut pas avoir une taille inférieure à 5 mm pour des raisons esthétiques.

Le marquage CE ne peut pas être apposé sur une partie du produit qui n’est pas facilement visible compte tenu de son usage prévu.

Les produits logiciels doivent également porter le marquage CE. Conformément à l’article 30, paragraphe 1, pour les produits logiciels, le marquage CE doit être apposé soit sur la déclaration UE de conformité, soit sur le site web accompagnant le produit logiciel. Dans ce dernier cas, la section pertinente du site web doit être facilement et directement accessible aux consommateurs.

Le marquage CE ne peut pas être apposé si le fabricant n’a pas réalisé une procédure d’évaluation de la conformité avec un résultat positif.

La déclaration de conformité est un document par lequel le fabricant déclare que le produit est conforme au CRA et en assume la responsabilité.

La déclaration de conformité doit accompagner le produit mis sur le marché. Deux formats sont autorisés :

• La déclaration de conformité complète, établie selon le modèle figurant à l’annexe V.
• La déclaration de conformité simplifiée, qui consiste en une phrase dont le modèle figure à l’annexe VI et qui inclut l’adresse internet permettant d’accéder à la déclaration de conformité complète.

La déclaration de conformité est un document lié au produit individuel et non uniquement à un type ou à un modèle. À cet égard, il n’est pas nécessaire qu’elle inclue l’identifiant unique du produit. Toutefois, une nouvelle version du produit peut nécessiter une nouvelle déclaration de conformité, en particulier lorsqu’elle met en œuvre une modification substantielle.

La déclaration de conformité ne peut pas être signée si le fabricant n’a pas réalisé l’une des procédures d’évaluation de la conformité applicables avec un résultat positif.

Conformément à l’article 28, paragraphe 3, et comme indiqué à la section 4.4 du Blue Guide, lorsque plusieurs actes de l’Union en matière d’harmonisation s’appliquent à un produit, le fabricant ou son représentant autorisé doit établir une déclaration de conformité unique couvrant l’ensemble de ces actes de l’Union. Afin de réduire la charge administrative pesant sur les opérateurs économiques et de faciliter l’adaptation en cas de modification de l’un des actes applicables de l’Union, cette déclaration unique peut prendre la forme d’un dossier composé des déclarations de conformité individuelles pertinentes.

La documentation technique doit contenir les éléments définis à l’annexe VII du CRA.

Le fabricant doit tenir compte du fait que la documentation technique n’est pas uniquement un livrable interne, mais qu’elle peut être demandée par les autorités de surveillance du marché. Elle doit donc être complète et claire. Le fabricant doit être en mesure de démontrer que le produit a été conçu, développé et fabriqué conformément aux exigences essentielles du CRA. Cela inclut notamment les spécifications des processus de gestion des vulnérabilités.

La documentation technique peut être rédigée dans n’importe quelle langue. Toutefois, si elle est demandée par une autorité de surveillance du marché, elle doit être fournie dans une langue facilement compréhensible par cette autorité.
Les organismes notifiés sont des entités publiques ou privées chargées d’examiner les produits afin de vérifier leur conformité au CRA. Leur compétence est évaluée par les autorités de notification des États membres et la liste des organismes notifiés est disponible dans le système NANDO.

Les organismes notifiés doivent être indépendants à l’égard des fabricants et des autorités de surveillance du marché, afin d’éviter tout conflit d’intérêts.

La demande de normalisation de la Commission (M/606), adressée au CEN, au CENELEC et à l’ETSI, prévoit l’élaboration d’un ensemble de normes harmonisées destinées à soutenir la conformité au CRA, en distinguant les normes horizontales (indépendantes du type de produit) et les normes verticales (spécifiques à des produits).

Les normes horizontales ont pour objectif de fournir un cadre générique cohérent, une méthodologie et une taxonomie permettant de soutenir l’élaboration ultérieure de normes harmonisées verticales plus détaillées pour des produits ou types de produits spécifiques, ainsi que d’aider les fabricants à définir et à mettre en œuvre les exigences de sécurité applicables à leurs produits respectifs. La Commission a demandé l’élaboration de 15 normes horizontales, que les organismes européens de normalisation (OEN) ont regroupées en trois livrables :

• Une norme européenne harmonisée relative à la conception, au développement et à la fabrication de produits comportant des éléments numériques de manière à garantir un niveau de cybersécurité approprié fondé sur les risques, devant être adoptée par les OEN au plus tard le 30 août 2026 ;
• Une norme européenne harmonisée couvrant les exigences essentielles de cybersécurité relatives aux propriétés des produits comportant des éléments numériques, telles qu’énoncées à l’annexe I, partie I, devant être adoptée par les OEN au plus tard le 30 octobre 2027 ;
• Une norme européenne harmonisée relative au traitement des vulnérabilités pour les produits comportant des éléments numériques, devant être adoptée par les OEN au plus tard le 30 août 2026.

Les normes verticales ont vocation à être spécifiques à des produits et à couvrir un ensemble précis de risques adaptés à un usage prévu et à un usage raisonnablement prévisible particuliers. La Commission a demandé l’élaboration de 26 normes verticales (que les OEN traitent au travers de 31 livrables distincts), devant être adoptées par les OEN au plus tard le 30 octobre 2026. Les normes verticales en cours d’élaboration couvrent les catégories de produits importants et critiques comportant des éléments numériques figurant aux annexes III et IV du CRA.

Conformément à l’article 27, paragraphe 6, lorsqu’une norme européenne harmonisée est adoptée par les OEN, la Commission l’évalue conformément au règlement (UE) n° 1025/2012 en vue de publier sa référence au Journal officiel de l’Union européenne.

Comme indiqué à la section 2.2 du Blue Guide, la législation d’harmonisation de l’Union, y compris le CRA, s’applique aux produits pris individuellement et non aux types de produits. Par conséquent, seuls les produits individuels qui ont été mis sur le marché avant le 11 décembre 2027 ne sont pas tenus de se conformer au CRA.

Les produits fabriqués selon un type qui n’est pas conforme au CRA ne peuvent pas être mis sur le marché à partir du 11 décembre 2027, même si la première occurrence de ce « type » de produit a été mise sur le marché avant cette date.

Par exemple, un fabricant a produit 10 000 exemplaires d’un routeur selon un type qui n’est pas conforme au CRA. Il met ces 10 000 exemplaires sur le marché avant le 11 décembre 2027. Même si ces unités n’ont pas encore atteint leur utilisateur final (mais ont bien été mises sur le marché), le fabricant n’est pas tenu de les mettre en conformité avec le CRA (voir également l’entrée 1.4 Le CRA s’applique-t-il aux produits comportant des éléments numériques mis sur le marché avant le 11 décembre 2027 ?). En revanche, ce fabricant ne peut pas produire 5 000 exemplaires supplémentaires de ce routeur et les mettre sur le marché après le 11 décembre 2027, car ces 5 000 exemplaires ne seraient pas conformes au CRA.

Aux fins de se conformer au paragraphe 1, les fabricants doivent faire preuve de diligence raisonnable lors de l’intégration de composants provenant de tiers afin que ces composants ne compromettent pas la cybersécurité du produit comportant des éléments numériques, y compris lorsqu’ils intègrent des composants de logiciels libres et open source qui n’ont pas été mis sur le marché dans le cadre d’une activité commerciale (article 13, paragraphe 5).

 

Immédiatement après la période transitoire d’application du présent règlement, un fabricant d’un produit comportant des éléments numériques qui intègre un ou plusieurs composants provenant de tiers également soumis à ce règlement peut ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants de ces composants ont démontré leur conformité au règlement, par exemple en vérifiant si les composants portent déjà le marquage CE. Cela peut être le cas lorsque les composants ont été intégrés avant que le présent règlement ne devienne applicable aux fabricants de ces composants. Dans une telle situation, le fabricant intégrant ces composants doit exercer sa diligence raisonnable par d’autres moyens (considérant 35).

Comme expliqué aux entrées
– 4.4.1 Que prescrit le CRA lors de l’intégration de composants ? et
– 4.4.3 Pour exercer la diligence raisonnable, un fabricant doit-il uniquement intégrer des composants portant le marquage CE ?,

un fabricant peut intégrer des composants ne portant pas le marquage CE, mais il est tenu d’exercer une diligence raisonnable afin de garantir que ces composants ne compromettent pas la cybersécurité de son produit comportant des éléments numériques.

Pendant la période transitoire précédant l’application du CRA, les fabricants ne seront pas en mesure de vérifier si les composants tiers sont conformes au CRA. Cela n’empêche pas les fabricants d’intégrer de tels composants ; ils doivent alors exercer leur diligence raisonnable par d’autres moyens (voir également l’entrée 4.4.2 Quel est le niveau approprié de diligence raisonnable ?).

Oui, les fabricants sont libres d’intégrer des composants qui sont des produits importants ou critiques et qui n’ont pas été conçus conformément à des normes harmonisées, que ces normes harmonisées soient disponibles ou non.

L’application de normes harmonisées constitue un moyen de démontrer la conformité, mais ce n’est pas le seul moyen de le faire.

En outre, comme indiqué aux entrées 4.4.1 Que prescrit le CRA lors de l’intégration de composants ? et 4.4.3 Pour exercer la diligence raisonnable, un fabricant doit-il uniquement intégrer des composants portant le marquage CE ?, le fabricant n’est pas tenu d’intégrer uniquement des composants portant le marquage CE.

Non, les produits comportant des éléments numériques mis sur le marché avant le 11 décembre 2027 ne sont pas soumis aux exigences du CRA (à l’exception des obligations de notification), sauf s’ils font l’objet d’une modification substantielle. Les distributeurs ne sont donc pas tenus de mettre ces produits en conformité avec le CRA à compter du 11 décembre 2027, sauf s’ils procèdent eux-mêmes à une modification substantielle.