La loi sur la cyberrésilience (CRA) À partir du 11 décembre 2027, les produits connectés dans l'UE devront répondre aux exigences de la loi sur la cyberrésilience (CRA). La cybersécurité devient ainsi obligatoire tout au long du cycle de vie du produit. Nos produits répondront également à ces exigences. Nous vous aidons en même temps à adapter vos processus et à améliorer la sécurité de vos installations.

Production conforme à la loi sur la cyberrésilience (CRA)
Icône d'un groupe de personnes

Der CRA unterteilt Produkte mit digitalen Elementen in insgesamt vier Risikoklassen

Qu'est-ce que cela signifie pour les utilisateurs ?

La loi CRA permet aux utilisateurs de bénéficier de produits qui répondent à des normes de cybersécurité plus élevées et qui présentent moins de risques de piratage, de failles de sécurité ou d'autres dangers. De tels produits doivent porter le marquage CE, qui atteste de leur conformité aux nouvelles exigences.

Les fabricants sont également tenus d'assurer la maintenance des produits tout au long de leur cycle de vie et de proposer des mises à jour automatiques de sécurité. Les utilisateurs peuvent ainsi se fier aux garanties de cybersécurité offertes par les produits marqués CE.

Icône en forme de point d'exclamation

Die wichtigsten Meilensteine des CRA im Überblick

Calendrier de mise en œuvre de la loi CRA

La mise en œuvre de la loi CRA se déroule selon un calendrier clairement défini avec plusieurs étapes clés. Après sa publication au Journal officiel de l'UE, ce règlement est entré en vigueur le 10 décembre 2024. L'obligation d'application s'applique après une période de transition pendant laquelle les fabricants peuvent adapter leurs produits, leurs processus et leur documentation en conséquence.

Voici les délais à connaître :

  • 10 décembre 2024 : entrée en vigueur de la loi sur la cyberrésilience
  • 11 juin 2026 : début des exigences pour les organismes d'évaluation de la conformité
  • 11 septembre 2026 : introduction des obligations de signalement pour les fabricants
  • 11 décembre 2027 : application complète de toutes les exigences pour les produits concernés

Les produits qui ne répondent pas aux exigences de la loi CRA à partir du 11 décembre 2027 ne pourront plus être mis en vente sur le marché de l'Union européenne. La cybersécurité devient ainsi une condition sine qua non pour les produits.

Tous les éléments en un coup d'œil
Guide consacré à la loi sur la cyberrésilience

Obtenez un aperçu rapide de la loi sur la cyberrésilience : notre livre blanc « La loi sur la cyberrésilience – l'avenir de la cybersécurité pour les produits numériques » résume les faits essentiels et vous explique comment Phoenix Contact met en œuvre les exigences dans la pratique.

Télécharger maintenant le livre blanc
Livre blanc : la loi sur la cyberrésilience – l'avenir de la cybersécurité pour les produits numériques

Mise en œuvre de la loi CRA chez Phoenix Contact


Importance de la loi CRA pour vos produits La loi sur la cyberrésilience démontre clairement une chose : la cybersécurité devient une condition sine qua non pour les produits connectés. Comme les exigences de sécurité sont solidement ancrées dans le développement des produits de Phoenix Contact depuis des années, nombre de nos solutions répondent dès aujourd'hui à des exigences essentielles en matière de sécurité et de résilience. Cliquez sur les exigences CRA respectives pour en apprendre plus sur notre mise en œuvre.

Carte d'images interactive : aperçu des exigences de la loi CRA
Sécurité tout au long du cycle de vie
Nous prenons d'ores et déjà en compte la cybersécurité tout au long du cycle de vie de nos produits – de la planification, du design et du développement jusqu'à la production, la livraison et la maintenance. Les objectifs de protection de la confidentialité, de l'intégrité et de la disponibilité sont ici au centre des préoccupations, tout comme une protection efficace contre les accès non autorisés.
Sécurité tout au long du cycle de vie
Documentation pratique
Le tout est complété par une documentation complète et compréhensible. Vous recevez toutes les informations nécessaires pour installer, intégrer, exploiter et, si nécessaire, mettre hors service nos produits en toute sécurité. Nous posons ainsi les bases pour que vous puissiez exploiter vos installations non seulement de manière efficace, mais aussi en toute sécurité sur le long terme.
Documentation pratique
Gestion structurée des vulnérabilités
Outre une bonne documentation, une gestion systématique des vulnérabilités nécessite également une communication transparente. Dès aujourd'hui, nous vous informons de manière ciblée et fiable sur les vulnérabilités pertinentes et les mesures disponibles. Visitez notre site Internet PSIRT ou abonnez-vous à notre newsletter PSIRT en anglais pour ne manquer aucune actualité.
Informations complémentaires sur notre PSIRT
Gestion structurée des vulnérabilités
Sécurité à long terme
Nous fournissons aussi des mises à jour de sécurité pendant une longue période afin que vous puissiez planifier vos applications et vos investissements en toute sérénité. Nous veillons en même temps à ce que tous les justificatifs nécessaires au respect des exigences de sécurité puissent être fournis, par exemple dans le cadre du marquage CE.
Sécurité à long terme
Documentation des risques de sécurité
Pour nos produits, cela signifie que les risques liés à la cybersécurité sont systématiquement identifiés, évalués et documentés. Dès la phase de développement, nous tenons compte des menaces potentielles et enregistrons les résultats de manière actualisée et transparente tout au long du cycle de vie.
Documentation des risques de sécurité
Nos produits utilisés en toute sécurité
Nous surveillons et corrigeons en permanence les failles de sécurité et vous fournissons des mises à jour et des recommandations d'action pendant au moins cinq ans. Pour vous, cela signifie avant tout une chose : vous bénéficiez d'une prévisibilité à long terme pour les produits que vous utilisez.
Nos produits utilisés en toute sécurité
Livre blanc : la CEI 62443 expliquée de manière pratique
La CEI 62443, un facteur de réussite pour les concepts de sécurité

Comment concilier la cybersécurité et les exigences de l'UE telles que la directive NIS 2, la loi CRA et le règlement sur les machines ? Notre livre blanc montre comment la norme CEI 62443 peut vous y aider et vous donne un aperçu de la mise en œuvre de la cybersécurité dans l'automatisation.

Télécharger maintenant le livre blanc
Produits certifiés CEI 62443

La sécurité à 360° – notre offre complète sans compromis


Mise en œuvre de la norme CEI 62443 - sécurité à 360°

Notre concept complet de sécurité à 360°

Protection globale de vos installations et assistance à la mise en œuvre de nouvelles directives

Pour nous, la cybersécurité ne se résume pas à des produits sûrs et à des exigences réglementaires. Nous vous aidons à protéger efficacement vos réseaux industriels contre les cyberattaques.
Pour cela, nous abordons la sécurité industrielle de manière globale. C'est là qu'intervient notre concept de sécurité à 360° : il associe des mesures techniques, organisationnelles et processuelles sur la base de normes établies telles que CEI 62443 et les intègre dans un concept global cohérent. Nous couvrons ainsi tous les niveaux pertinents, du choix et de l'intégration de composants sécurisés à la conception d'architectures réseau robustes, en passant par l'exploitation sécurisée et la gestion structurée des incidents de sécurité.

Parallèlement, nous vous soutenons concrètement dans la mise en œuvre de nouvelles directives réglementaires telles que la loi sur la cyberrésilience, la directive NIS 2 ou le règlement sur les machines. Nos expertes et experts analysent avec vous vos exigences et développent des solutions sur mesure pour que vos machines et installations fonctionnent en toute sécurité.

Qu'est-ce que cela signifie pour le fabricant ?

Icône mGuard avec une serrure de sécurité
Icône de production
Non-respect de la loi CRA
Quelles sont les implications de la loi CRA pour les produits hors de l'UE ?
Différence entre NIS 2 et CRA
Icône mGuard avec une serrure de sécurité

La loi CRA impose des exigences de sécurité claires aux produits, notamment la protection de l'accès, la protection de la confidentialité, l'intégrité, la disponibilité et un état à la livraison sûr. Pour garantir un processus de développement sûr, il convient de les prendre particulièrement en compte lors de la conception, du développement et de la fabrication.

Icône de production

Dans le cadre du processus de développement sécurisé, les fabricants doivent contrôler activement leurs produits pour détecter les vulnérabilités et y remédier immédiatement. Cette mise à jour de sécurité doit être fournie gratuitement et doit couvrir une période de cinq ans. En outre, la loi CRA introduit des obligations de signalement supplémentaires : les fabricants doivent immédiatement informer l'Agence européenne pour la cybersécurité (ENISA) s'ils ont connaissance de vulnérabilités activement exploitées ou d'attaques contre leurs produits susceptibles de compromettre la sécurité, par exemple en manipulant les zones de téléchargement.

Non-respect de la loi CRA

Le non-respect des exigences de la loi sur la cyberrésilience peut avoir des conséquences importantes pour les fabricants. Les produits qui ne portent pas un marquage CE valide ou dont la conformité n'a pas été démontrée ne peuvent pas être mis sur le marché ou redistribués dans l'Union européenne.

En outre, ils s'exposent à des amendes considérables pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu).

Quelles sont les implications de la loi CRA pour les produits hors de l'UE ?

La loi sur la cyberrésilience ne s'applique pas seulement aux fabricants de l'UE, mais à tous les produits mis à disposition sur le marché de l'UE, indépendamment de leur lieu de fabrication.

Les produits en provenance des États-Unis ou d'Asie, par exemple, doivent également satisfaire aux exigences de la loi CRA dès lors qu'ils sont vendus ou mis sur le marché dans l'UE.

Différence entre NIS 2 et CRA

La loi CRA et la directive NIS 2 utilisent des approches différentes, mais leurs effets se complètent : alors que CRA réglemente la cybersécurité des produits contenant des éléments numériques et s'adresse donc surtout aux fabricants, NIS 2 porte sur la sécurité des exploitants.

Dans le cadre de la directive NIS 2, les entreprises doivent sécuriser leurs systèmes et processus, tandis que la loi CRA s'assure que les produits utilisés répondent déjà aux exigences de sécurité nécessaires.

Logo LinkedIn

LinkedIn : Industrial Communication and Cyber Security Rejoignez notre communauté dès maintenant !

Les réseaux de communication industriels nous permettent de transmettre des données de manière fiable depuis le terrain jusqu'au cloud en passant par le niveau de commande. Sur notre page LinkedIn Industrial Communication and Cyber Security (communication industrielle et cybersécurité), vous trouverez des informations intéressantes sur les thèmes de la disponibilité du réseau, de la cybersécurité, de la télémaintenance et bien plus encore. Rejoignez notre communauté !