Le CRA impose des exigences de cybersécurité aux produits numériques (logiciels et matériels) vendus dans l’UE. Il prévoit 13 obligations de sécurité (ex. : pas de vulnérabilités connues, chiffrement, surveillance des accès, mises à jour possibles) et 8 obligations de gestion des vulnérabilités (ex. : documentation, communication, correctifs gratuits). Les fabricants doivent fournir une documentation technique complète, incluant la liste des composants logiciels (SBOM) et les rapports de tests.
Trois niveaux de produits sont définis : importants classe 1, importants classe 2, et critiques, avec des exigences croissantes.
La conformité passe par des modules de certification (A, B, C, H) et parfois un tiers certificateur.
L’ENISA jouera un rôle central. Le texte est évolutif via des actes délégués de la Commission européenne.
En résumé, le CRA vise à professionnaliser la cybersécurité des produits numériques et à protéger le marché européen.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.