CRA (Cyber Resilience Act)

Le Cyber Resilience Act (règlement UE 2024/2847) impose aux fabricants et éditeurs de "produits comportant des éléments numériques" (logiciels, IoT, matériel) des obligations de cybersécurité dès la conception : gestion documentée des vulnérabilités, signalement des incidents 24h/72h, fourniture de mises à jour de sécurité pendant la durée de support attendue. Entré en vigueur le 10 décembre 2024, ses obligations principales s'appliquent à partir de décembre 2027 (signalement vulnérabilités dès septembre 2026). Sanctions jusqu'à 15 M€ ou 2,5 % du CA mondial.