
Qu’est-ce que le Cyber Resilience Act et la directive sur la sécurité des réseaux et des systèmes d’information (directive NIS2) ?
Le Cyber Resilience Act (CRA) est un règlement européen qui impose des exigences strictes en matière de cybersécurité aux fournisseurs de tous les produits matériels et logiciels comportant des éléments numériques mis sur le marché européen. L’objectif du CRA est d’accroître la sécurité numérique et de réduire les vulnérabilités des produits en obligeant les fabricants à prendre en compte la sécurité dès la phase de conception « security by design ». En outre, ils doivent fournir des mises à jour et des notifications de vulnérabilités pendant toute la durée de vie du produit.
Le CRA est partiellement entré en vigueur le 11 septembre 2026, avec une obligation de notification pour les vulnérabilités gravement exploitées et les incidents majeurs. À partir du 11 décembre 2027, chaque nouveau produit numérique vendu devra être conforme au CRA et porter le marquage CE. Comme le CRA est un règlement, ses règles s’appliquent directement et sans modification dans tous les États membres de l’UE. Le non-respect peut entraîner de lourdes amendes ou des interdictions de vente.
Le CRA classe les produits comportant des éléments numériques (PDE) en quatre catégories : « Common », « Important Class I », « Important Class II » et « Critical ». Les produits des catégories « Important » et « Critical », tels que les pare-feu et les modules matériels de sécurité, jouent un rôle clé dans la cybersécurité et la chaîne d’approvisionnement et nécessitent une certification supplémentaire ainsi que des normes harmonisées.
Outre le CRA, il existe la deuxième directive Network and Information Security (directive NIS2), une directive européenne qui renforce encore le niveau de cybersécurité au sein des secteurs essentiels et des entreprises de taille moyenne à grande. NIS2 élargit le champ d’application de l’ancienne directive NIS1, qui visait les grandes entreprises et les infrastructures vitales telles que l’énergie, les transports, la santé et le secteur bancaire.
Les organisations relevant de NIS2 sont tenues de respecter un devoir de vigilance, de signaler les cyberincidents dans un délai de 24 heures et de sécuriser leur chaîne d’approvisionnement (supply chain). NIS2 doit être transposée par les États membres de l’UE dans leur législation nationale.
En résumé, le CRA et NIS2 contribuent ensemble à créer un écosystème numérique plus sûr en Europe. Le CRA vise à garantir des produits numériques sûrs et à maîtriser les vulnérabilités pendant toute la durée de vie de ces produits, tandis que NIS2 renforce la cyberrésilience des organisations et des réseaux critiques en imposant des exigences de sécurité plus strictes et des obligations de notification.









