Le Cyber Resilience Act (CRA) et la directive NIS2 sont deux piliers de la stratégie cybersécurité européenne. Bien que complémentaires, ils poursuivent des objectifs différents et s'appliquent à des périmètres distincts. Comprendre leurs différences est essentiel pour éviter les doublons et les lacunes de conformité.

1. Qu'est-ce que NIS2 ?

La directive NIS2 (Network and Information Security 2) est entrée en vigueur en janvier 2023 et devait être transposée dans les droits nationaux d'ici octobre 2024. Elle vise à renforcer le niveau de cybersécurité des entités essentielles et importantes dans des secteurs critiques comme l'énergie, les transports, la santé, les infrastructures numériques et l'administration publique.

NIS2 impose aux organisations concernées de mettre en œuvre des mesures de gestion des risques, de notifier les incidents significatifs et de se soumettre à des contrôles réguliers.

2. Qu'est-ce que le CRA ?

Le Cyber Resilience Act (CRA) est un règlement (application directe, sans transposition nationale) qui impose des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques mis sur le marché européen. Il concerne les fabricants, importateurs et distributeurs de matériels connectés, logiciels et composants.

Entré en vigueur en décembre 2024, ses obligations de reporting s'appliquent dès septembre 2026 et la conformité totale est requise pour décembre 2027.

3. Les différences fondamentales

Périmètre d'application

NIS2 : S'applique aux entités (organisations) dans des secteurs critiques. Il s'agit d'une directive qui doit être transposée dans chaque État membre.

CRA : S'applique aux produits (matériels et logiciels) mis sur le marché. C'est un règlement directement applicable dans toute l'UE.

Obligations principales

NIS2 : Gestion des risques, notification d'incidents, sécurité de la chaîne d'approvisionnement, formation. Les entités doivent mettre en place des mesures organisationnelles et techniques.

CRA : Sécurité par conception, SBOM, gestion des vulnérabilités, reporting des vulnérabilités exploitées sous 24h, marquage CE cyber. Les produits doivent être conçus et documentés conformément aux exigences.

Sanctions

NIS2 : Amendes jusqu'à 10M€ ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles.

CRA : Amendes jusqu'à 15M€ ou 2,5% du chiffre d'affaires annuel mondial, plus retrait du marché pour les produits non conformes.

4. Les chevauchements

Il existe des zones de chevauchement significatives :

  • Chaîne d'approvisionnement : NIS2 exige des entités de sécuriser leur chaîne d'approvisionnement, tandis que le CRA impose aux fabricants de fournir des SBOM et des preuves de sécurité.
  • Notification d'incidents : Les deux textes imposent des obligations de notification, avec des délais et seuils différents.
  • Sécurité des produits : Un produit conforme au CRA aidera une entité NIS2 à démontrer la sécurité de sa chaîne d'approvisionnement.

5. Comment gérer les deux simultanément

Pour les organisations qui relèvent à la fois de NIS2 et du CRA (par exemple, un fabricant de dispositifs médicaux connectés) :

  1. Cartographiez vos obligations : Identifiez précisément ce qui relève de chaque réglementation.
  2. Mutualisez les preuves : Un SBOM bien géré et une documentation technique CRA servent également à démontrer la conformité NIS2 sur la chaîne d'approvisionnement.
  3. Automatisez le reporting : Les plateformes comme Expert CRA permettent de gérer les deux cadres depuis un seul outil.
  4. Anticipez les contrôles : Les autorités NIS2 vérifieront la conformité des produits utilisés, y compris leur conformité CRA.
La conformité CRA n'est pas une option — c'est un prérequis pour la conformité NIS2 dans de nombreux cas. Les deux réglementations doivent être traitées comme complémentaires, pas séparément.