What is the Cyber Resilience Act (CRA)?

The Cyber Resilience Act (Regulation 2024/2847) is the EU's regulation establishing cybersecurity requirements for products with digital elements. It covers hardware and software products placed on the EU market and requires manufacturers, importers, and distributors to ensure products are secure by design throughout their lifecycle.

When does the CRA apply?

The CRA entered into force on December 10, 2024. Reporting obligations for actively exploited vulnerabilities apply from September 11, 2026. The main obligations for manufacturers, importers, and distributors apply from December 11, 2027.

Who is affected by the CRA?

The CRA applies to manufacturers, importers, and distributors of products with digital elements placed on the EU market. This includes IoT devices, software applications, operating systems, network equipment, smart home devices, industrial control systems, firmware, and SaaS components. Open-source software stewards also have specific obligations.

How is the CRA different from NIS2?

NIS2 focuses on the cybersecurity of organisations (essential and important entities in 18 sectors), while the CRA focuses on the cybersecurity of products with digital elements. NIS2 requires organisations to implement security measures; the CRA requires product manufacturers to build security into their products. Both regulations complement each other as part of the EU's cybersecurity framework.

How does SiteGuardian help with CRA compliance?

SiteGuardian continuously monitors security properties required by the CRA: HTTPS/TLS enforcement, deprecated protocol detection, weak cipher identification, certificate expiry monitoring, security.txt (RFC 9116) for vulnerability disclosure, encryption in transit, and security header validation. It maps findings directly to CRA articles and Annex I requirements.

Règlement UE 2024/2847

Cyber Resilience Act.
Votre produit est-il prêt ?

Le CRA exige que tous les produits comportant des éléments numériques sur le marché de l'UE respectent les exigences de cybersécurité — sous peine d'amendes pouvant atteindre 15 M€. Le compte à rebours est lancé.

---

Jours

Heures

Minutes

Secondes

jusqu'au 11 décembre 2027

Les obligations de signalement s'appliquent à partir du 11 septembre 2026

Analysez votre produit maintenant Voir les offres de conformité

Le CRA s'applique-t-il à vous ?

Le CRA s'applique aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques mis sur le marché de l'UE. Si votre produit contient un logiciel ou se connecte à un réseau, il est probablement concerné.

Appareils IoT

Standard / Critique

Produits logiciels

Standard / Critique

Équipements réseau

Critique

Maison connectée

Standard / Critique

Systèmes de contrôle industriel

Critique

Applications mobiles

Par défaut

Services cloud

Standard / Critique

Open Source

Avec obligations

Le coût de la non-conformité

Exigences essentielles

€15M

ou 2,5 % du chiffre d'affaires annuel mondial

le montant le plus élevé étant retenu

Autres obligations

€10M

ou 2 % du chiffre d'affaires annuel mondial

le montant le plus élevé étant retenu

Informations trompeuses

€5M

ou 1 % du chiffre d'affaires annuel mondial

le montant le plus élevé étant retenu

Les produits non conformes peuvent être retirés du marché de l'UE par les autorités de surveillance du marché.

Ce que le CRA exige — et ce que SiteGuardian surveille

Le CRA définit les exigences essentielles de cybersécurité pour les produits comportant des éléments numériques. SiteGuardian surveille en continu les exigences techniques.

Art. 6 / Annex I

Sécurisé par défaut

Surveillé

SiteGuardian surveille l'application du HTTPS, les en-têtes HSTS, les indicateurs de cookies sécurisés et détecte les identifiants par défaut ou les configurations non sécurisées exposées au réseau. Les produits doivent être livrés avec des paramètres par défaut sécurisés.

Art. 10(1)

Aucune vulnérabilité connue

Surveillé

SiteGuardian valide les versions TLS, détecte les protocoles obsolètes (SSLv3, TLS 1.0/1.1), identifie les suites de chiffrement faibles et signale les erreurs de configuration de sécurité connues. Les produits doivent être livrés sans vulnérabilités exploitables connues.

Art. 10(6)

Mises à jour de sécurité

Surveillé

SiteGuardian surveille les dates d'expiration des certificats SSL, suit l'évolution de la posture de sécurité dans le temps et alerte en cas de régressions de configuration. Les fabricants doivent fournir des mises à jour de sécurité en temps voulu pendant la période de support du produit.

Art. 10(9)

Nomenclature logicielle (SBOM)

Les fabricants doivent identifier et documenter les composants contenus dans leurs produits, y compris une nomenclature logicielle. Il s'agit d'une mesure organisationnelle nécessitant des outils et des processus internes.

Art. 10(10)

Divulgation coordonnée des vulnérabilités

Surveillé

SiteGuardian détecte les fichiers security.txt (RFC 9116), vérifie la disponibilité de la politique de divulgation des vulnérabilités et contrôle les informations de contact appropriées. Les fabricants doivent établir une politique coordonnée de divulgation des vulnérabilités.

Art. 11

Obligations de signalement

Surveillé

À partir de septembre 2026, les fabricants doivent signaler les vulnérabilités activement exploitées à l'ENISA dans les 24 heures. SiteGuardian fournit la détection d'incidents, la classification et le suivi des délais de notification pour la conformité réglementaire.

Art. 13

Évaluation de la conformité

Les produits doivent faire l'objet d'une évaluation de conformité avant d'être mis sur le marché de l'UE. Les produits de catégorie standard peuvent s'auto-évaluer ; les produits critiques nécessitent des audits par des tiers. Il s'agit d'une mesure organisationnelle.

Annex I.2

Propriétés de sécurité

Surveillé

SiteGuardian vérifie le chiffrement en transit (TLS 1.2+), valide les mécanismes de contrôle d'accès, vérifie l'intégrité des données via des configurations d'en-têtes sécurisés et surveille l'exposition non autorisée de données. Les produits doivent protéger la confidentialité, l'intégrité et la disponibilité.

Commencez à vous préparer dès aujourd'hui

Analysez l'interface web de votre produit pour voir où vous en êtes. SiteGuardian associe chaque résultat aux articles du CRA — pour que vous sachiez exactement quoi corriger.

Scan de sécurité gratuit Voir les offres de conformité

Gratuit pour toujours pour 1 moniteur. Aucune carte bancaire requise.

Questions fréquemment posées

Qu'est-ce que le Cyber Resilience Act (CRA) ?

Le CRA (Règlement 2024/2847) est le règlement de l'UE établissant des exigences horizontales de cybersécurité pour les produits comportant des éléments numériques. Il couvre les produits matériels et logiciels mis sur le marché de l'UE et exige des fabricants qu'ils garantissent la sécurité des produits dès leur conception tout au long de leur cycle de vie.

Quand le CRA s'applique-t-il ?

Le CRA est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités activement exploitées et des incidents graves s'appliquent à partir du 11 septembre 2026. Les principales obligations pour les fabricants, importateurs et distributeurs — y compris l'évaluation de conformité et le marquage CE — s'appliquent à partir du 11 décembre 2027.

Qui est concerné par le CRA ?

Le CRA s'applique aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques mis sur le marché de l'UE. Cela inclut les appareils IoT, les applications logicielles, les systèmes d'exploitation, les équipements réseau, les appareils de maison connectée, les systèmes de contrôle industriel, les applications mobiles et les composants de services cloud. Les responsables de logiciels open source ont des obligations spécifiques mais allégées.

Quelle est la différence entre le CRA et NIS2 ?

NIS2 se concentre sur la cybersécurité des organisations — les entités essentielles et importantes de 18 secteurs doivent mettre en œuvre des mesures de sécurité. Le CRA se concentre sur la cybersécurité des produits — les fabricants doivent intégrer la sécurité dans leurs produits avant de les mettre sur le marché de l'UE. Les deux réglementations sont complémentaires : NIS2 sécurise les opérateurs, le CRA sécurise les produits qu'ils utilisent.

Comment SiteGuardian aide-t-il à la conformité CRA ?

SiteGuardian surveille en continu les propriétés de sécurité techniques exigées par le CRA : application du HTTPS/TLS, détection de protocoles obsolètes, identification de chiffrements faibles, surveillance de l'expiration des certificats, security.txt pour la divulgation des vulnérabilités, chiffrement en transit et validation des en-têtes de sécurité. Tous les résultats sont associés aux articles du CRA et aux exigences de l'Annexe I, vous offrant une vue d'ensemble claire de votre conformité.

Cyber Resilience Act. Votre produit est-il prêt ?

Le CRA s'applique-t-il à vous ?

Le coût de la non-conformité

Ce que le CRA exige — et ce que SiteGuardian surveille

Sécurisé par défaut

Aucune vulnérabilité connue

Mises à jour de sécurité

Nomenclature logicielle (SBOM)

Divulgation coordonnée des vulnérabilités

Obligations de signalement

Évaluation de la conformité

Propriétés de sécurité

Commencez à vous préparer dès aujourd'hui

Questions fréquemment posées

Êtes-vous sûr ?

Cyber Resilience Act.
Votre produit est-il prêt ?