Le Cyber Resilience Act (ou CRA) est un règlement européen qui s’inscrit dans un contexte d’adoption par l’Union Européenne d’un cadre législatif prenant en compte la cybermenace. Ce cadre, déjà constitué de directives (voir les directives NIS 2 ou encore sur la Résilience des Entités Critiques « REC ») et règlements (voir notamment DORA ou encore le règlement sur l’IA ou sur la Data), est désormais renforcé avec le CRA.
A. Synthèse du Cyber Resilience Act
i. Quand entre il en vigueur ?
Le CRA est entré en vigueur depuis le 10 décembre 2025. Le délai laissé aux entreprises pour s’y conformer est fixé au 11 décembre 2027, sauf pour :
- La communication d’informations incombant aux fabricants qui devra être effective dès le 11 septembre 2026 ;
- La notification des organismes d’évaluation de la conformité qui devra être réalisée à compter du 11 juin 2026.
ii. Quel champ d’application ?
Tous les acteurs économiques impliqués dans la mise sur le marché et le cycle de vie des produits comportant des éléments numériques, notamment ces catégories d’acteurs :
- Les fabricants de tels produits (qu’ils soient mis sur le marché à titre onéreux ou non)
- Les éditeurs de logiciels
- Les importateurs sur le marché européen de tels produits, lorsque le fabricant est établi hors UE
- Les distributeurs qui rendent les produits disponibles sur le marché européen.
Sur le plan des produits, il est à noter que le règlement CRA procède à quelques exclusions, notamment :
- Les services cloud et SaaS (déjà couverts par NIS 2) ;
- Les dispositifs médicaux, produits aéronautiques et plus généralement tout produit qui fait déjà l’objet d’une règlementation spécifique en la matière.
Comme de nombreux textes américains et européens, le CRA a une portée extraterritoriale. Cela signifie que les acteurs concernés, qu’ils soient basés ou non au sein de l’UE, devront se conformer au CRA s’ils souhaitent mettre leurs produits sur le marché européen.
iii. Quelles catégories de produits ?
Le règlement CRA opère un classement des produits comportant des éléments numériques (les « PEN ») selon leur niveau de criticité. On retrouve ainsi, par ordre croissant de criticité :
- Les PEN dits « simples » ;
- Les logiciels libres et ouverts ;
- Les PEN de classes 1 et 2 ;
- Les PEN dits « critiques ».
De nombreux produits sont ainsi concernés, cela peut être des caméras, des logiciels, des drones, des objets connectés, ou encore des automatismes et autres systèmes d’exploitation ou plateformes de gestion de grands ensembles.
iv. Quelles obligations ?
Les obligations applicables aux acteurs économiques concernés varient selon le niveau de criticité des produits. Une certaine marge de manœuvre est ainsi laissée concernant les produits des chapitres 1 et 2 (cf. paragraphe précédent) puisque les contrôles peuvent être réalisés en interne ou via des organismes externes.
En sus de ces contrôles, des exigences en matière de cybersécurité sont à prendre en compte quel que soit le classement des produits. Ces exigences sont à la fois relatives aux produits qui doivent être exempts de vulnérabilité connues et comporter des éléments permettant de monitorer la surveillance de ces dernières, ainsi qu’à la gestion des vulnérabilités puisque les acteurs doivent mettre en place des mécanismes permettant de notifier et alerter en cas de vulnérabilité ou incident.
En substance, le CRA recense trois niveaux d’obligations :
- La prise en compte de la cybersécurité dès la conception du produit (cybersecurity by design). Cela peut se traduire par le chiffrement des données, par l’interdiction de mots de passe simples, ou encore l’automatisation des mises à jour de sécurité.
- La gestion des vulnérabilités tout au long du cycle de vie du produit, avec notamment de la transparence auprès des consommateurs, et une conformité continue.
- La surveillance, avec la mise en place de mécanismes de contrôles, d’évaluation des risques, voir l’obtention de certifications.
Enfin, il est important de noter que le règlement CRA s’articule avec les autres règlements et directives (cf. introduction du présent article) et par conséquent ne recense pas de façon exhaustive les obligations auxquelles les acteurs économiques concernés doivent respecter.
v. Quelles sanctions ?
Sanctions prévues, peuvent aller jusqu’à 15M€ ou 2.5% du CA annuel total (le montant le plus élevé étant retenu. En sus, un produit non conforme ou présentant un risque aux yeux de l’autorité de surveillance du marché pourra faire l’objet de restrictions pouvant aller jusqu’à un retrait total du marché !
B. L’impact du Cyber Resilience Act sur le contract management
Après le règlement NIS2 qui ciblait plutôt les réseaux et systèmes d’information et par conséquent les OSE (opérateurs de services essentiels) et FSN (fournisseurs de services numériques), le CRA s’attaque désormais à la chaîne de valeur des produits, avec des conséquences sur la pratique du contract management !
i. État des lieux
La première conséquence, et non des moindres, consiste à faire un état des lieux : quels produits sont concernés ? Quelles parties de la chaîne de valeur de mon organisation est susceptible d’être impactée ?
Une fois ce premier état des lieux réalisé, il conviendra d’analyser les portefeuilles de contrats, afin de s’assurer de l’existence ou de l’absence de stipulations offrant, selon les cas, soit une flexibilité ou soit une garantie de conformité des produits aux lois et règlements actuels et à venir.
Se posera également la question des composants de produits intégrant du logiciel open source, également soumis au CRA, et plus largement de la catégorisation selon la criticité des produits (cf. paragraphe a.iii ci-dessus).
Bref, un ensemble de questions à se poser lors de cette phase d’état des lieux qui pourra grandement varier en fonction de votre business model.
ii. Ajout de clauses dédiées
Tant au niveau des contrats clients que des contrats fournisseurs, le contenu des contrats sera impacté par l’entrée en vigueur du CRA.
Du côté des contrats clients, on cherchera à rédiger de nouvelles clauses afin de limiter l’exposition au risque, notamment au regard des produits ou solutions innovantes qui peuvent parfois nécessiter une phase exploratoire. Des clauses visant à définir précisément la documentation et livrables à fournir seront les bienvenues, notamment en prévision de toute inflation documentaire/règlementaire liée à la démonstration de conformité au CRA.
Sur le plan des contrats fournisseurs, on veillera en revanche à l’insertion de clauses garantissant la conformité au CRA, permettant la communication d’information ainsi que la tenue d’audits. Des clauses spécifiques en matière de procédure de gestion d’incidents, ou encore de couverture d’assurance cybersécurité pourront ainsi être les bienvenues.
iii. Pilotage des contrats
Enfin, au-delà de la rédaction du contrat, des actions spécifiques pourront également être mises en œuvre en matière de contract management pour assurer de la bonne exécution des contrats et du respect des obligations inhérentes à l’entrée en vigueur de ce cyber resilience act.
Ces actions pourront d’une part affecter la supply chain, avec une mise à jour des procédures de contrôle des fournisseurs, une réévaluation des critères de sélection des fournisseurs ou encore des simulations d’attaque pour évaluer non seulement la prise en compte des principes de développement et maintenance « cyber by design », mais aussi des mécanismes de transparence et de reporting en cas de détection de vulnérabilités.
Du côté des engagements clients, le contract manager veillera à ce que les engagements souscrits en matière documentaire, mais aussi en matière de reporting et de déclaration des vulnérabilités soient bien suivis. Une attention particulière pourra par ailleurs être portée aux interfaces, notamment lorsque d’autres lots ou fournisseurs doivent fournir des données d’entrée, auquel cas le contract manager devra suivre toute absence de fourniture, fourniture tardive, incomplète ou incorrecte de données pouvant donner lieu à des exonérations ou délais supplémentaires.. de là à dire que le CRA peut être source d’opportunités pour le contract manager, il n’y a qu’un pas !
