Le CRA n'est pas une simple recommandation : c'est une révolution législative européenne. Pour la première fois, la responsabilité de la sécurité informatique pèse légalement sur le fabricant.

1. Pourquoi le CRA change tout ?

Le Cyber Resilience Act (CRA) est le premier cadre législatif à l'échelle européenne qui impose des règles de cybersécurité obligatoires pour les produits dotés d'éléments numériques. Contrairement aux directives précédentes, le CRA est un règlement d'application directe.

Note : 90% des produits logiciels et matériels connectés tombent sous le coup de cette législation.

2. Le triptyque de la conformité

Pour obtenir le marquage CE requis, les entreprises doivent valider trois piliers :

  • La Cybersécurité par conception : Finie la sécurité ajoutée après coup.
  • Le SBOM : Une transparence totale sur les composants open-source.
  • Le Reporting ENISA : Signalement des vulnérabilités sous 24 heures.
"L'absence de conformité n'est plus une option. Les amendes peuvent paralyser une entreprise en une seule décision réglementaire."

3. Calendrier d'application

Le déploiement est progressif :

  • Fin 2025 : Publication des standards harmonisés.
  • 2026 : Début des obligations de reporting.
  • Décembre 2027 : Pleine application et interdiction de vente pour les produits non certifiés.