Qu'est-ce que le Cyber Resilience Act ?
Réponse directe
Le Règlement sur la cyberrésilience (Règlement (UE) 2024/2847) est la première loi européenne horizontale en cybersécurité pour les produits comportant des éléments numériques — matériel et logiciel — sur tout leur cycle de vie. Il impose aux fabricants la sécurité dès la conception, la gestion des vulnérabilités, un SBOM et le signalement des incidents, avec des sanctions jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial.
Key Facts
- Première législation européenne horizontale en cybersécurité pour les produits comportant des éléments numériques (art. 1).
- Couvre le matériel, le logiciel et les solutions de traitement de données à distance intégrées au produit.
- Obligations clés : sécurité dès la conception · absence de vulnérabilités connues exploitables · SBOM · gestion des vulnérabilités · signalement d'incidents sous 24 h/72 h/14 jours.
- Le marquage CE devient la preuve de conformité au RCR.
- Sanctions : jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, selon le montant le plus élevé (art. 64).
- Application intégrale à partir du 11 décembre 2027 ; obligations de signalement à partir du 11 septembre 2026 (art. 71).
Le Règlement sur la cyberrésilience (Règlement (UE) 2024/2847) est la première législation européenne qui impose des exigences obligatoires de cybersécurité aux produits comportant des éléments numériques sur l'ensemble de leur cycle de vie (art. 1). Il couvre le matériel et le logiciel, et s'étend aux solutions de traitement de données à distance nécessaires à une fonction essentielle d'un produit connecté. Ce qui change, c'est l'attribution des responsabilités. Avant le RCR, la cybersécurité d'un produit relevait largement de l'acheteur. Le RCR transfère cette obligation au fabricant : un produit comportant des éléments numériques ne peut être mis sur le marché de l'UE que s'il satisfait aux exigences essentielles de l'annexe I et que le fabricant a réalisé l'évaluation de conformité appropriée. Le marquage CE devient la preuve que ces deux conditions sont remplies. Les exigences essentielles couvrent deux dimensions : ce que le produit doit être (sécurisé dès la conception et par défaut, exempt de vulnérabilités connues exploitables, surface d'attaque minimale) et ce que le fabricant doit faire (mettre en place un processus de gestion des vulnérabilités, fournir des mises à jour de sécurité pendant la période de support, maintenir un SBOM, signaler à l'ENISA dans les 24 heures les vulnérabilités activement exploitées et les incidents graves). Pour une équipe sécurité ou conformité, le RCR se lit de préférence en complément, et non en substitution, de NIS2 et DORA. NIS2 régit la cybersécurité de votre organisation ; DORA régit le risque TIC des entités financières ; le RCR régit la sécurité des produits que vous mettez sur le marché. De nombreuses organisations relèvent des trois textes, et le chevauchement entre gestion des vulnérabilités, analyse des risques et production de preuves justifie un jeu de contrôles unique plutôt que trois silos.