À qui s'applique le Cyber Resilience Act ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Le Règlement sur la cyberrésilience s'applique aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques disposant d'une connexion directe ou indirecte. Les fabricants portent les obligations principales. Le règlement est extraterritorial : une entreprise hors UE qui commercialise sur le marché européen est concernée. Les produits soumis à des règles sectorielles et l'open source non commercial sont largement exclus.

Key Facts

  • Fabricants, importateurs et distributeurs de produits comportant des éléments numériques (art. 2).
  • Les fabricants portent les obligations principales : conception, conformité, gestion des vulnérabilités, signalement.
  • Extraterritorialité : les fabricants hors UE qui commercialisent dans l'UE sont concernés.
  • Les fabricants hors UE doivent désigner un mandataire autorisé dans l'UE ou garantir qu'un opérateur économique établi dans l'UE exécute les tâches de l'art. 4 du Règlement (UE) 2019/1020 (art. 18 du RCR).
  • La responsabilité OEM suit la marque : l'entité qui met le produit sur le marché de l'UE sous sa propre dénomination est le « fabricant » au sens du RCR.
  • Exclusions : dispositifs médicaux (MDR/IVDR), véhicules à moteur, aviation civile et open source non commercial (art. 2).
  • Les solutions de traitement de données à distance intégrées au produit sont concernées même si elles sont hébergées dans le cloud (art. 3(2)).

Le RCR s'applique aux opérateurs économiques de la chaîne d'approvisionnement des produits comportant des éléments numériques dotés d'une connexion de données directe ou indirecte (art. 2 et 3). **Les fabricants** portent les obligations principales : conception sécurisée, documentation technique, évaluation de conformité, gestion des vulnérabilités, SBOM et signalement d'incidents. Un fabricant établi hors de l'UE doit désigner un mandataire autorisé dans l'Union, ou garantir qu'un opérateur économique établi dans l'UE exécute les tâches pertinentes au titre de l'article 4 du Règlement (UE) 2019/1020 (art. 18 du RCR). **Les importateurs** ne peuvent mettre sur le marché de l'UE que des produits conformes et doivent vérifier que le fabricant a rempli ses obligations. **Les distributeurs** doivent agir avec diligence et s'assurer que le marquage CE et la documentation requise sont en place avant de rendre un produit disponible. **Chaîne d'approvisionnement OEM.** Le RCR impose des obligations à l'entité qui met le produit sur le marché de l'UE sous sa propre dénomination ou marque. La conformité suit la marque sur l'emballage, pas l'origine de la technologie. **Portée extraterritoriale.** Une entreprise établie hors de l'UE qui commercialise des produits comportant des éléments numériques dans l'Union est concernée. **Exclusions.** Dispositifs médicaux (MDR/IVDR), véhicules à moteur et aviation civile (EASA). Les logiciels open source développés hors d'une activité commerciale sont en grande partie hors champ.

Et maintenant

Découvrez comment Acuna automatise ça