Le Cyber Resilience Act, maîtrisé.
Si vous mettez sur le marché européen un produit comportant des éléments numériques, le CRA vous concerne. Reglyze évalue votre conformité en langage clair et génère votre documentation technique (Annexe VII) et votre déclaration UE de conformité — la plupart des produits s'auto-évaluent au titre du module A.
Le produit en action — jusqu'à la déclaration signée
Démonstration de deux minutes : cadrez un produit, menez l'auto-évaluation en langage clair, et générez la documentation technique (Annexe VII) et la déclaration UE de conformité.
De « suis-je concerné ? » à une déclaration signée
1 · Périmètre & classification
Quatre questions pour savoir si le CRA s'applique, votre classe (Annexe III/IV) et votre voie de conformité. Gratuit, sans compte.
2 · Auto-évaluation
Répondez à une vingtaine de questions simples sur votre produit. L'assistant propose une maturité de 0 à 3 par exigence essentielle (Annexe I), ancrée sur l'IEC 62443.
3 · Générez le dossier
Documentation technique (Annexe VII) et déclaration UE de conformité — assemblées à partir de vos réponses, compatibles SBOM, dans votre langue.
Ce que vous obtenez
- Documentation technique (Annexe VII)
- Déclaration UE de conformité (délivrée une fois toutes les exigences satisfaites)
- Rapport d'écarts (Annexe I) avec les points à traiter
- Import SBOM (CycloneDX / SPDX) intégré au dossier technique
Socle : IEC 62443-4-1 (développement sécurisé) et 62443-4-2 (exigences sur les composants). Le texte du CRA est public ; les références IEC sont paraphrasées, jamais reproduites telles quelles.
Cyber Resilience Act — questions fréquentes
Le Cyber Resilience Act (CRA) européen s'applique-t-il à mon produit ?
Le CRA s'applique à tout produit comportant des éléments numériques — matériel doté de logiciels ou de micrologiciels, et logiciels autonomes — mis à disposition sur le marché de l'Union. Si vous mettez sur le marché européen un objet connecté, un produit IoT ou un logiciel installable, vous êtes concerné. Le test de périmètre gratuit de Reglyze le confirme en quatre questions.
Quand le Cyber Resilience Act entre-t-il en application ?
Deux dates comptent : les obligations de signalement des vulnérabilités et des incidents s'appliquent à partir du 11 septembre 2026, et la conformité complète, y compris le marquage CE, est exigée à partir du 11 décembre 2027. Le CRA est le Règlement (UE) 2024/2847.
Qu'est-ce que l'auto-évaluation au titre du module A dans le cadre du CRA ?
Le module A est la voie de conformité par laquelle le fabricant auto-évalue son produit au regard des exigences essentielles et établit lui-même sa déclaration UE de conformité, sans intervention d'un organisme notifié. Environ 90 % des produits — la catégorie « par défaut » — relèvent du module A.
Ai-je besoin d'un organisme notifié pour le CRA ?
Uniquement pour les produits « importants » de classe II et les produits « critiques » (Annexe III classe II et Annexe IV du CRA). Les produits par défaut et la plupart des produits « importants » de classe I peuvent s'auto-certifier au titre du module A, en particulier lorsque des normes harmonisées sont appliquées.
Qu'est-ce que la documentation technique de l'Annexe VII ?
L'Annexe VII énumère la documentation technique que le fabricant doit constituer et tenir à la disposition des autorités de surveillance du marché : description du produit, appréciation des risques, preuves de conformité aux exigences essentielles et nomenclature logicielle (SBOM). Reglyze l'assemble à partir de votre auto-évaluation.
Qu'est-ce qu'une déclaration UE de conformité dans le cadre du CRA ?
Il s'agit de la déclaration signée attestant que votre produit satisfait aux exigences essentielles de cybersécurité du CRA. Elle est obligatoire avant l'apposition du marquage CE et la mise sur le marché du produit. Reglyze la délivre une fois que chaque exigence essentielle est satisfaite.
Quels produits sont « importants » ou « critiques » au titre du CRA ?
L'Annexe III du CRA énumère les produits « importants » (classes I et II) tels que les gestionnaires de mots de passe, les VPN, les pare-feu et les systèmes d'exploitation ; l'Annexe IV énumère les produits « critiques » tels que les passerelles de compteurs intelligents et les éléments sécurisés. Tout ce qui n'y figure pas relève de la catégorie « par défaut » et s'auto-certifie au titre du module A.
Quelles sont les sanctions en cas de non-conformité au CRA ?
Les manquements aux exigences essentielles de cybersécurité et aux obligations fondamentales du fabricant peuvent être sanctionnés par une amende pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, assortie d'éventuelles mesures de retrait du marché. Des plafonds inférieurs s'appliquent aux autres infractions.
En quoi le CRA diffère-t-il de NIS2 ?
NIS2 régit la cybersécurité des organisations (entités essentielles et importantes) ; le CRA régit la cybersécurité des produits comportant des éléments numériques mis sur le marché de l'Union. Un fabricant peut être soumis aux deux — NIS2 pour la manière dont il fonctionne, le CRA pour ce qu'il commercialise.
Le CRA couvre-t-il les logiciels et l'open source ?
Oui. Un logiciel autonome est un produit comportant des éléments numériques. Les logiciels libres fournis dans le cadre d'une activité commerciale entrent dans le champ d'application, avec des obligations allégées pour les responsables d'open source à but non lucratif. Un SaaS hébergé autonome est en général hors du champ du CRA, sauf s'il s'agit d'une solution de traitement de données à distance faisant partie intégrante d'un produit.