EN 
FR 
DE 
IT Obligations CRA pour les fabricants : Ce que vous devez faire avant 2027
Toutes les obligations du Cyber Resilience Act expliquées pour les fabricants de produits numériques. Deadlines, classification, documentation technique et sanctions.
Si vous fabriquez des produits comportant des éléments numériques — matériels connectés, logiciels, composants IoT — le Cyber Resilience Act vous impose des obligations précises et contraignantes. Voici tout ce que vous devez savoir et mettre en œuvre avant les échéances de 2026 et 2027.
1. Qui est considéré comme fabricant ?
Le CRA définit le fabricant comme toute personne physique ou morale qui conçoit ou fabrique un produit comportant des éléments numériques, ou qui fait concevoir ou fabriquer un tel produit, et le commercialise sous son nom ou sa marque. Cela inclut :
- Les éditeurs de logiciels (SaaS, applications, firmware)
- Les fabricants de matériels connectés (IoT, appareils industriels)
- Les intégrateurs qui apposent leur marque sur des produits
- Les fournisseurs de composants logiciels embarqués
2. Obligations avant la mise sur le marché
2.1 Analyse de risque et classification
Avant de mettre un produit sur le marché, vous devez :
- Réaliser une analyse de risque de cybersécurité complète
- Classifier votre produit selon les catégories du CRA (Classe I, Classe II, ou hors classe)
- Déterminer la procédure d'évaluation de conformité applicable
2.2 Constitution du dossier technique (Annexe VII)
Le dossier de documentation technique est obligatoire avant la mise sur le marché. Il doit inclure :
- La description détaillée du produit et de son usage prévu
- Les plans, schémas et architecture de conception
- Les spécifications techniques et les normes harmonisées appliquées
- L'analyse des risques de cybersécurité
- Les mesures de sécurité mises en œuvre (Annexe I)
- Le SBOM (Software Bill of Materials)
- Les procédures de gestion des vulnérabilités
2.3 Sécurité par conception (Annexe I)
Le CRA exige que les produits soient conçus avec la sécurité intégrée dès la conception :
- Configuration sécurisée par défaut (pas de mots de passe génériques)
- Mécanismes de mise à jour sécurisés
- Protection des données à caractère personnel
- Authentification forte et gestion des accès
- Minimisation de la surface d'attaque
3. Obligations après la mise sur le marché
3.1 Gestion des vulnérabilités
Vous devez mettre en place un processus continu de gestion des vulnérabilités couvrant toute la durée de vie du produit, incluant :
- La surveillance des sources de vulnérabilités (CVE, bases ENISA)
- L'analyse d'impact sur vos produits (triage)
- La production de VEX (Vulnerability Exploitability eXchange)
- Le déploiement de correctifs de sécurité
3.2 Reporting des incidents (Article 14)
À partir du 11 septembre 2026 :
- Délai de 24h : Alerte précoce pour toute vulnérabilité activement exploitée ou incident grave
- Délai de 72h : Notification détaillée via la plateforme unique de reporting (SRP)
- Délai de 14 jours : Rapport final complet
4. Calendrier des échéances
- 11 septembre 2026 : Obligations de reporting Article 14 applicables
- 11 décembre 2027 : Pleine application — conformité obligatoire pour tous les produits
- Après 2027 : Contrôles du marché, sanctions et retraits possibles
5. Sanctions en cas de non-conformité
Les sanctions sont dissuasives :
- Amendes jusqu'à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial
- Retrait obligatoire du produit du marché européen
- Responsabilité pénale des dirigeants dans certains États membres
Ne sous-estimez pas le temps nécessaire. Une mise en conformité complète prend 6 à 18 mois selon la complexité de vos produits. Commencez dès maintenant par un diagnostic gratuit.