EN 
FR 
DE 
IT Checklist Conformité CRA : Guide étape par étape
Une checklist complète pour vérifier votre conformité au Cyber Resilience Act. 10 étapes couvrant le scope, la classification, la documentation technique, le SBOM et le reporting.
La conformité au Cyber Resilience Act peut sembler complexe, mais elle se décompose en étapes claires. Cette checklist vous guide de l'évaluation initiale jusqu'au marquage CE, en passant par les obligations de reporting et la gestion continue des vulnérabilités.
Étape 1 : Déterminer si votre produit est dans le scope
Tous les produits comportant des éléments numériques sont concernés, sauf exceptions limitées (logiciels open source non commerciaux, pièces de rechange, certains secteurs couverts par une réglementation sectorielle équivalente).
Action : Utilisez notre diagnostic gratuit pour vérifier si votre produit est dans le scope du CRA.
Étape 2 : Classifier votre produit
Le CRA classe les produits en trois catégories :
- Classe I : Produits à risque modéré (logiciels de gestion, applications métier)
- Classe II : Produits à risque élevé (systèmes de contrôle industriels, navigateurs, gestionnaires de mots de passe)
- Hors classe : Produits critiques (matériel réseau, dispositifs médicaux IoT, cartes à puce)
La classification détermine la procédure d'évaluation de conformité requise.
Étape 3 : Établir la documentation technique
Conformément à l'Annexe VII du CRA, vous devez constituer un dossier contenant :
- La description générale du produit et de son usage prévu
- Les plans et schémas de conception
- Les spécifications et normes appliquées
- Les résultats des analyses de risques
- Les descriptions des mesures de cybersécurité mises en œuvre
Étape 4 : Mettre en œuvre la sécurité par conception
Les exigences de l'Annexe I (partie I) couvrent :
- La sécurisation de la configuration par défaut
- La gestion des vulnérabilités sur le cycle de vie
- Les mises à jour de sécurité automatiques ou documentées
- L'authentification sécurisée et la gestion des accès
- La protection des données stockées et transmises
Étape 5 : Générer et gérer votre SBOM
Le Software Bill of Materials (SBOM) est la pièce maîtresse de votre dossier de conformité. Il liste tous les composants logiciels de votre produit, leurs versions et leurs licences.
Formats acceptés : CycloneDX (recommandé) et SPDX.
Étape 6 : Établir un processus de gestion des vulnérabilités
Vous devez démontrer votre capacité à :
- Surveiller les vulnérabilités connues (CVE) affectant vos composants
- Analyser l'impact sur vos produits
- Développer et déployer des correctifs
- Documenter les décisions (VEX)
Étape 7 : Préparer le reporting ENISA (Article 14)
À partir de septembre 2026, toute vulnérabilité activement exploitée ou incident grave doit être déclaré :
- Alerte précoce : Sous 24 heures après en avoir eu connaissance
- Notification : Sous 72 heures
- Rapport final : Sous 14 jours
Étape 8 : Rédiger la déclaration UE de conformité
Ce document officiel atteste que votre produit respecte toutes les exigences applicables du CRA. Il doit être signé par le fabricant et conservé pour les autorités de surveillance.
Étape 9 : Apposer le marquage CE
Le marquage CE cyber est l'aboutissement du processus. Il atteste aux acheteurs et aux autorités que votre produit est conforme. Sans lui, votre produit ne peut pas être mis sur le marché européen après décembre 2027.
Étape 10 : Maintenir la conformité continue
La conformité CRA n'est pas un événement ponctuel. Vous devez :
- Mettre à jour votre SBOM à chaque version
- Surveiller les nouvelles vulnérabilités
- Maintenir la documentation technique à jour
- Effectuer des revues périodiques
Besoin d'aide pour appliquer cette checklist ? La plateforme Expert CRA automatise les étapes 1 à 10 : classification, documentation, SBOM, surveillance CVE, reporting Article 14 et piste d'audit complète.