FAQ » Cyber Resilience Act (CRA)

Mon PLC est-il concerné si je ne le connecte pas à Internet ?

Oui, dès lors qu’il dispose d’une interface réseau (Ethernet, Profinet, EtherNet/IP…), même utilisée uniquement en réseau local. La capacité de connexion suffit à déclencher le CRA.

Qu’est-ce qu’un SBOM et pourquoi est-ce obligatoire ?

Le SBOM (Software Bill of Materials) est l’inventaire exhaustif des composants logiciels et bibliothèques embarqués dans un produit. Il permet d’identifier rapidement quels produits sont affectés lorsqu’une vulnérabilité est découverte dans un composant tiers (par exemple, une faille dans une bibliothèque de communication réseau). C’est l’équivalent industriel de la liste des ingrédients sur un produit alimentaire.

Quelle est la différence entre le CRA et NIS2 pour mon usine ?

NIS2 impose à votre organisation (en tant qu’exploitant) de sécuriser vos systèmes d’information et de signaler les incidents. Le CRA impose aux fabricants des équipements que vous achetez de les concevoir de façon sécurisée. Les deux textes sont complémentaires : NIS2 sécurise l’usage, le CRA sécurise le produit.

Mon équipement date de 2018. Est-il concerné ?

Le CRA s’applique aux produits mis sur le marché après le 11 décembre 2027. Vos équipements existants ne sont pas directement visés. En revanche, si votre fournisseur commercialise encore ce produit après 2027, il devra le mettre en conformité — ou le retirer de la vente.

Quels sont les risques si mon fournisseur ne se met pas en conformité ?

À partir de 2027, les autorités nationales pourront ordonner le retrait du marché des produits non conformes. En tant qu’acheteur, vous risquez de vous retrouver sans support, sans correctifs de sécurité, et potentiellement sans pièces de rechange pour des équipements dont la commercialisation aura été suspendue.

Le CRA remplace-t-il le Règlement Machine ?

Non. Les deux textes coexistent et se complètent. Le Règlement Machine (2023/1230) couvre la sécurité fonctionnelle (risques physiques, SIL/PL). Le CRA couvre la cybersécurité (risques numériques). Un automate de sécurité devra désormais être conforme aux deux règlements.

Quelle norme technique permet de démontrer la conformité CRA pour les systèmes industriels ?

La série de normes IEC 62443 (Security for Industrial Automation and Control Systems) est la référence harmonisée pour le domaine OT. Une démarche de conformité IEC 62443 est la voie la plus directe pour démontrer la conformité CRA d’un système de contrôle-commande.

Un besoin de prestation sur le Cyber Resilience Act ?

Contactez-nous directement, nous vous répondons sous 4h en semaines !

Nous Écrire

Retour en haut