Le CRA s'applique-t-il à mon produit ? / Firmware / embarqué
Conformité CRA pour le firmware et le logiciel embarqué
Un firmware fourni commercialement — dans votre propre appareil ou licencié à des OEM — est un logiciel comportant des éléments numériques. En tant que fournisseur, vous êtes fabricant de composants : la conformité CRA de vos clients dépend de la vôtre, et leurs services achats le savent désormais.
Ce que cela signifie concrètement pour vous
- ▸Les clients OEM exigeront contractuellement : SBOM CycloneDX/SPDX par release, veille CVE, déclarations VEX et des SLA de correction garantis — le CRA descend la chaîne d'approvisionnement par les contrats.
- ▸Images Yocto/Buildroot : utilisez la génération de SBOM native des systèmes de build ; les listes de composants tenues à la main ne survivent pas à un audit.
- ▸Microcontrôleurs/microprocesseurs inviolables et puces de sécurité relèvent de l'annexe III classe II ou de l'annexe IV — ne présumez pas la classe par défaut.
- ▸Coordonnez les divulgations avec vos OEM : votre politique CVD doit gérer le scénario « une découverte, quarante produits touchés ».
Le piège dans lequel tombent la plupart des équipes
Les blobs binaires des fondeurs que vous redistribuez sans pouvoir les patcher. Cartographiez-les, obtenez des engagements de support en amont, documentez le risque résiduel.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.