Pourquoi ce changement est important?

La CRA introduit un ensemble de règles horizontales couvrant déjà les domaines protégés par les exigences de cybersécurité du RED, notamment la protection des réseaux, la confidentialité des données et la prévention de la fraude. En unifiant ces obligations, l’UE renforce la lisibilité réglementaire et simplifie les démarches pour les fabricants.
Jusqu’au 10 décembre 2027, les équipements radio concernés devront néanmoins continuer à respecter les exigences du Règlement Délégué en vigueur.

Ce qui change après le 11 décembre 2027?

À compter de cette date, la CRA deviendra le cadre juridique de référence pour tous les produits comportant des éléments numériques, y compris les équipements auparavant soumis aux dispositions de cybersécurité du RED. Les fabricants devront respecter des exigences plus larges, telles que le développement sécurisé dès la conception, la gestion des vulnérabilités, la mise à jour de la documentation technique et la prise en compte de la sécurité tout au long du cycle de vie du produit.

Que doivent faire les fabricants dès maintenant ?

• Cartographier leur portefeuille de produits pour déterminer lesquels restent sous le RED pendant la période transitoire et lesquels entreront dans le champ de la CRA.
• Mettre en cohérence leurs processus de conformité, incluant l’analyse de risques, la documentation, la sécurisation par conception et les procédures de gestion des vulnérabilités conformément aux exigences renforcées de la CRA.
• Suivre de près les normes harmonisées et lignes directrices à venir, qui préciseront le chemin vers la conformité complète en amont de l’échéance de 2027.

Pour toute question, clarification ou information complémentaire concernant cette évolution réglementaire, veuillez contacter :Sofilyx Compliance.