Le Cyber Resilience Act impose-t-il un SBOM ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Oui. Le Règlement (UE) 2024/2847 sur la cyberrésilience impose aux fabricants d'identifier et de documenter les composants du produit, notamment en établissant un inventaire logiciel (SBOM) dans un format courant et lisible par machine. Le SBOM figure dans la documentation technique interne ; il n'a pas à être publié publiquement.

Key Facts

  • Exigé par l'annexe I et inclus dans la documentation technique (annexe VII).
  • Doit être lisible par machine et couvrir les dépendances de premier niveau du produit.
  • Conservé en interne ; communiqué aux autorités de surveillance du marché sur demande motivée.
  • Aucune obligation de publier le SBOM publiquement.
  • Sous-tend l'obligation de signalement sous 24 heures : impossible de signaler vite des composants que l'on ne voit pas.

Oui. Les fabricants doivent identifier et documenter les composants contenus dans le produit, notamment en établissant un inventaire logiciel (SBOM) dans un format courant et lisible par machine couvrant au minimum les dépendances de premier niveau (annexe I ; annexe VII). Le SBOM fait partie de la documentation technique interne. Il doit être mis à disposition des autorités de surveillance du marché sur demande motivée, mais il n'existe aucune obligation de le publier sur votre site web ni de le communiquer aux clients. En pratique, le SBOM est ce qui rend tenable le délai de signalement de 24 heures : lorsqu'une vulnérabilité touche une bibliothèque partagée, vous ne pouvez signaler rapidement que si vous savez déjà quels produits intègrent ce composant.

Et maintenant

Découvrez comment Acuna automatise ça

Le Cyber Resilience Act impose-t-il un SBOM ? | Acuna GRC Answers | Acuna