Le CRA s'applique-t-il à mon produit ? / Objet connecté / IoT
Conformité CRA pour l'IoT et le matériel connecté
Le matériel connecté est la cible d'origine du CRA. Tout appareil comportant des éléments numériques vendu dans l'UE est dans le champ — et le matériel porte la charge la plus lourde : SBOM du firmware, démarrage sécurisé, infrastructure de mise à jour et, pour certaines catégories, l'évaluation par un organisme notifié.
Ce que cela signifie concrètement pour vous
- ▸Vérifiez précisément les annexes III/IV : produits domotiques à fonction de sécurité (serrures, caméras, babyphones, alarmes), routeurs/modems, puces de sécurité et passerelles de compteurs intelligents relèvent de classes supérieures — avec organisme notifié.
- ▸Les SBOM de firmware (couches Linux embarqué, composants RTOS, bibliothèques C recopiées) sont bien plus lourdes que les SBOM d'apps — prévoyez du vrai temps d'ingénierie, pas une case à cocher.
- ▸Il vous faut des mises à jour OTA avec protection d'intégrité sur la durée de vie réaliste de l'appareil ; un appareil non patchable est quasiment invendable sous le CRA.
- ▸Les mots de passe par défaut sont de facto interdits (sécurité par défaut) — identifiants par appareil ou configuration forcée au premier démarrage.
Le piège dans lequel tombent la plupart des équipes
L'économie de la période de support : les marges matérielles intègrent rarement 5+ ans d'ingénierie sécurité. Intégrez-le au prix maintenant — sinon l'obligation mangera la marge plus tard.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.