NIS2 et Cyber Resilience Act : Guide PME 2026
En résumé
- Le Cyber Resilience Act (CRA) sécurise les produits numériques vendus dans l’UE via le marquage CE
- NIS2 sécurise les systèmes d’information des opérateurs dans 18 secteurs critiques
- Signalement obligatoire des vulnérabilités exploitées dès septembre 2026 (CRA)
- Conformité complète des produits exigée à partir de décembre 2027 (CRA)
- Double conformité possible pour les PME qui fabriquent des produits numériques ET opèrent dans un secteur NIS2
En septembre 2026, un nouveau règlement européen entre en application : le Cyber Resilience Act (CRA). Pour les PME déjà concernées par NIS2, la question se pose immédiatement : cumule-t-on les obligations ?
La plupart des dirigeants de PME connaissent la directive NIS2 et ses exigences de sécurité. Peu d’entre eux ont entendu parler du CRA, pourtant adopté en octobre 2024. Les deux textes renforcent la cybersécurité en Europe, mais ils ne ciblent pas les mêmes acteurs ni les mêmes périmètres.
Cet article clarifie ce qu’est le Cyber Resilience Act, comment il s’articule avec NIS2, et ce que cela change concrètement pour une PME qui fabrique, importe ou distribue des produits numériques.
Qu’est-ce que le Cyber Resilience Act ?
Le Cyber Resilience Act — officiellement le règlement (UE) 2024/2847 — a été adopté le 23 octobre 2024 et est entré en vigueur le 10 décembre 2024.
Son objectif : imposer des exigences de cybersécurité à tous les produits comportant des éléments numériques vendus dans l’Union européenne. Concrètement, cela concerne tout produit logiciel ou matériel connecté — des objets IoT aux logiciels installables, en passant par les routeurs, les systèmes d’exploitation et les composants vendus séparément.
Quelques secteurs déjà réglementés sont exclus du CRA : dispositifs médicaux, automobile, aviation civile et équipements marins.
Deux points essentiels distinguent le CRA des autres textes réglementaires :
- C’est un règlement, pas une directive. Il s’applique directement dans tous les États membres, sans transposition nationale. Contrairement à NIS2, pas besoin d’attendre une loi française.
- Il cible les produits, pas les opérateurs. Les fabricants, importateurs et distributeurs doivent garantir la sécurité de leurs produits tout au long de leur cycle de vie — conception, mise sur le marché, mises à jour de sécurité et gestion des vulnérabilités.
Chaque fabricant devra produire une documentation technique et une déclaration de conformité UE attestant que son produit respecte les exigences essentielles de cybersécurité. Le CRA introduit le marquage CE cybersécurité : à partir de décembre 2027, un produit numérique non conforme ne pourra plus être commercialisé dans l’UE.
Vous ne savez pas si votre produit est concerné ? Contactez-nous pour un diagnostic rapide.
CRA vs NIS2 : deux textes, deux cibles
L’ANSSI résume l’articulation sur le portail MonEspaceNIS2 : le CRA vise à sécuriser les produits numériques utilisés dans l’UE, tandis que NIS2 a pour objectif de sécuriser les systèmes d’information des entreprises et administrations (source ANSSI).
Pour simplifier : NIS2 protège votre usine. Le CRA protège ce qui sort de votre usine.
Le CRA sécurise les produits
Le Cyber Resilience Act impose aux fabricants trois grandes catégories d’obligations :
- Sécurité dès la conception (security by design) et tout au long du cycle de vie du produit
- Gestion des vulnérabilités pendant toute la durée de support, avec signalement des failles activement exploitées sous 24 heures
- Marquage CE attestant la conformité aux exigences de cybersécurité
NIS2 sécurise les opérateurs
La directive NIS2 impose aux entités essentielles et importantes des obligations de sécurité portant sur leur système d’information : analyse de risque, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement et gouvernance de la cybersécurité.
Tableau comparatif CRA vs NIS2
CRA vs NIS2 : les différences clés
| Critère | CRA (Règlement 2024/2847) | NIS2 (Directive 2022/2555) |
|---|---|---|
| Nature juridique | Règlement (directement applicable) | Directive (transposition nationale) |
| Cible | Produits numériques (logiciels/matériels) | Systèmes d'information des opérateurs |
| Qui est obligé | Fabricants, importateurs, distributeurs | Entités essentielles et importantes |
| Périmètre | Tout produit numérique vendu dans l'UE | 18 secteurs, critères de taille (50+ salariés / 10 M€+ CA) |
| Sanctions max | 15 M€ ou 2,5 % du CA mondial | 10 M€ ou 2 % du CA mondial (EE) |
| Signalement | 24h → 72h → 14 jours (via ENISA) | 24h → 72h → 1 mois (via ANSSI) |
| Conformité prouvée par | Marquage CE | Supervision ANSSI |
Êtes-vous concerné par le CRA en plus de NIS2 ?
La réponse dépend de votre activité. Posez-vous deux questions :
- Votre entreprise fabrique, importe ou distribue un produit avec des éléments numériques ? → Vous êtes potentiellement soumis au CRA.
- Votre entreprise opère dans l’un des 18 secteurs NIS2 avec plus de 50 salariés ou 10 M€ de CA ? → Vous êtes potentiellement soumis à NIS2.
Si la réponse est oui aux deux : vous êtes en situation de double conformité.
Les 4 catégories de produits CRA
Le CRA classe les produits selon leur criticité, ce qui détermine le niveau d’évaluation requis :
Catégories de produits CRA
| Catégorie | Exemples | Évaluation requise |
|---|---|---|
| Par défaut (90 % des produits) | Objets connectés, applications, smartphones | Auto-évaluation (Module A) |
| Importants classe I (19 types) | Routeurs, gestionnaires de mots de passe, OS, navigateurs | Module A ou norme harmonisée |
| Importants classe II (4 types) | Firewalls, hyperviseurs, IDS/IPS, microprocesseurs inviolables | Organisme notifié obligatoire |
| Critiques (3 types) | HSM, cartes à puce, passerelles compteurs | Organisme notifié + certification |
Bonne nouvelle pour les PME : 90 % des produits relèvent de la catégorie « par défaut » et peuvent être évalués en auto-évaluation (Module A), sans recours à un organisme tiers — ce qui réduit considérablement les coûts de mise en conformité.
Un cas concret de double conformité
Prenons une PME en Occitanie qui conçoit des capteurs IoT pour l’industrie. Elle emploie 60 personnes et réalise 12 M€ de chiffre d’affaires.
- Côté NIS2 : le secteur « fabrication » figure dans les 18 secteurs de la directive. Avec plus de 50 salariés et plus de 10 M€ de CA, l’entreprise est classée entité importante.
- Côté CRA : ses capteurs sont des « produits comportant des éléments numériques » mis sur le marché européen.
Résultat : cette PME doit sécuriser son système d’information (NIS2) et ses produits (CRA). Deux périmètres, deux conformités — mais des points de recouvrement qui permettent de mutualiser les efforts.
Point important
Les logiciels SaaS purs sont exclus du CRA. Un éditeur qui ne propose que des services en ligne n’est pas concerné par le Cyber Resilience Act — mais il peut l’être par NIS2 s’il relève du secteur « infrastructure numérique » ou « gestion des services TIC ».
Calendrier 2026-2027 : les dates clés du Cyber Resilience Act et de NIS2
Le CRA s’applique progressivement. Voici les échéances consolidées CRA + NIS2 :
Calendrier CRA + NIS2
| Date | Échéance | Texte |
|---|---|---|
| Juin – décembre 2026 | Accréditation des organismes d'évaluation par l'ANSSI | CRA |
| 11 septembre 2026 | Signalement obligatoire des vulnérabilités exploitées et incidents graves (plateforme SRP de l'ENISA) | CRA |
| 2026 (en cours) | Loi Résilience + décrets d'application | NIS2 |
| 11 décembre 2027 | Conformité obligatoire des produits + début des contrôles de marché (ANFR) | CRA |
Le signalement CRA entre en vigueur dès septembre 2026 — avant même la conformité complète des produits. Les fabricants doivent se préparer dès maintenant à déclarer les vulnérabilités activement exploitées dans un délai de 24 heures via la plateforme de signalement de l’ENISA.
Côté NIS2, la transposition française via la Loi Résilience est en cours d’examen. L’inscription sur MonEspaceNIS2 est déjà ouverte pour le pré-enregistrement des entités auprès de l’ANSSI.
Sanctions CRA et NIS2 : que risque votre entreprise ?
Les deux textes prévoient des sanctions financières significatives. En cas de double conformité, elles peuvent se cumuler.
| Type de violation | CRA | NIS2 (EE) | NIS2 (EI) |
|---|---|---|---|
| Non-respect des exigences essentielles | 15 M€ ou 2,5 % du CA | 10 M€ ou 2 % du CA | 7 M€ ou 1,4 % du CA |
| Documentation insuffisante | 10 M€ ou 2 % du CA | — | — |
| Informations inexactes | 5 M€ ou 1 % du CA | — | — |
Au-delà des amendes, chaque texte prévoit des mesures spécifiques :
- CRA : retrait ou rappel du produit du marché européen — un impact commercial potentiellement dévastateur pour un fabricant.
- NIS2 : responsabilité personnelle des dirigeants, avec possibilité d’interdiction temporaire d’exercice pour les entités essentielles.
Pour une PME non conforme aux deux textes, le risque est double : des amendes financières et la perte du droit de commercialiser ses produits dans l’UE. Le coût moyen d’un incident cyber pour une PME se situe déjà entre 25 000 et 50 000 € (Hiscox/CPME 2024) — auxquels s’ajouteraient les sanctions réglementaires prévues par NIS2.
Comment se préparer concrètement au CRA et à NIS2
CRA et NIS2 partagent des exigences communes. En structurant votre démarche dès maintenant, vous mutualisez les efforts et maîtrisez votre budget.
Étape 1 — Identifier vos obligations
Déterminez si vous êtes soumis au CRA seul, à NIS2 seul, ou aux deux :
- CRA : vous mettez un produit numérique sur le marché UE (fabricant, importateur ou distributeur)
- NIS2 : vous opérez dans un des 18 secteurs avec plus de 50 salariés ou 10 M€ de CA
La checklist NIS2 pour PME vous aide à évaluer rapidement votre situation côté directive.
Étape 2 — Évaluer votre maturité
Un audit de maturité cybersécurité permet d’identifier les écarts par rapport aux exigences des deux textes. L’idéal : une évaluation unique qui couvre les deux périmètres — sécurité du système d’information (NIS2) et sécurité des produits (CRA).
Pour le CRA, cette évaluation porte notamment sur vos processus de développement sécurisé, votre capacité à gérer les vulnérabilités sur le cycle de vie de vos produits, et votre préparation au signalement d’incidents via la plateforme ENISA. Côté NIS2, l’audit vérifie vos politiques de sécurité, votre plan de continuité d’activité et votre gouvernance cyber.
Étape 3 — Mutualiser ce qui se recoupe
Plusieurs exigences se recoupent entre CRA et NIS2 :
- Gestion des vulnérabilités : obligation CRA (cycle de vie produit) et NIS2 (système d’information)
- Notification d’incidents : alerte précoce sous 24 heures dans les deux cas
- Gouvernance de la sécurité : politiques et procédures exigées par les deux textes
- Sécurité de la supply chain : le CRA impose des vérifications aux importateurs et distributeurs ; NIS2 exige la sécurité de la chaîne d’approvisionnement
En cas de chevauchement des exigences, les dispositions du CRA (règlement sectoriel) s’appliquent en priorité pour les aspects relatifs aux produits, tandis que NIS2 continue de s’appliquer pour la sécurité des systèmes d’information et la notification des incidents affectant les services.
En identifiant ces recoupements dès le départ, vous évitez de dupliquer les efforts. Un diagnostic unique couvre vos obligations CRA et NIS2 en une seule évaluation. Demandez le vôtre.
Questions fréquentes sur le CRA et NIS2
Quelle est la différence entre le CRA et NIS2 ?
Le CRA (Cyber Resilience Act) sécurise les produits numériques vendus dans l'UE via le marquage CE. NIS2 sécurise les systèmes d'information des opérateurs dans 18 secteurs critiques. Le CRA vise les fabricants, importateurs et distributeurs. NIS2 vise les entités essentielles et importantes.
Le Cyber Resilience Act s'applique-t-il aux logiciels SaaS ?
Non, les logiciels SaaS purs sont exclus du périmètre CRA. Seuls les produits logiciels installables ou les solutions de traitement de données à distance essentielles au fonctionnement d'un produit physique sont concernés. Un éditeur SaaS peut toutefois être soumis à NIS2 s'il relève du secteur numérique.
Une PME peut-elle être soumise au CRA et à NIS2 en même temps ?
Oui, si votre entreprise fabrique ou distribue un produit numérique (CRA) et opère dans un des 18 secteurs NIS2 avec plus de 50 salariés ou 10 M€ de CA. Par exemple, un fabricant IoT de 60 employés doit sécuriser à la fois ses produits (CRA) et son système d'information (NIS2).
Quand le Cyber Resilience Act entre-t-il en application ?
Le CRA entre en vigueur progressivement. Dès le 11 septembre 2026, les fabricants devront signaler les vulnérabilités activement exploitées via la plateforme ENISA. Le 11 décembre 2027, la conformité complète sera exigée pour tous les produits numériques mis sur le marché européen.
Ce qu’il faut retenir sur le Cyber Resilience Act et NIS2
Le Cyber Resilience Act et NIS2 ne sont pas en concurrence — ils sont complémentaires. NIS2 sécurise les opérateurs et leurs systèmes d’information. Le CRA sécurise les produits numériques qu’ils utilisent ou fabriquent.
Les points clés :
- Le CRA est un règlement européen directement applicable depuis décembre 2024
- Le signalement obligatoire des vulnérabilités démarre dès septembre 2026
- La conformité complète des produits est exigée à partir de décembre 2027
- Environ 90 % des produits relèvent de l’auto-évaluation (Module A) — une bonne nouvelle pour les PME
- Les entreprises qui fabriquent des produits numériques ET opèrent dans un secteur NIS2 ont une double conformité à gérer
La première étape : identifier précisément quels textes s’appliquent à votre entreprise. Un accompagnement conformité NIS2 peut intégrer cette analyse CRA pour vous donner une vision complète de vos obligations réglementaires.
Vous êtes fabricant, importateur ou distributeur de produits numériques ? Demandez un diagnostic CRA + NIS2 pour identifier vos obligations et prioriser vos actions.